El pasado 08 de abril se publicó en el Diario Oficial, la nueva Ley de Marco Ciberseguridad importante norma que entre otras materias crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo rector de la ciberseguridad del país encargado de regular, fiscalizar y sancionar a todos los organismos públicos y privados que presten servicios esenciales. Los servicios esenciales son aquellos que resultan fundamentales para el funcionamiento del país y la calidad de vida de nuestra sociedad, tales como los servicios relacionados con garantizar la salud, la seguridad, el suministro de energía, agua, combustible, sanitarias, de transporte, bancarios o financieros, entre otros, de esta forma, el ámbito de aplicación de sus normas es amplísimo.
En efecto, la ley señala que “Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos”. Adicionalmente la Ley dispone que la Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del Director o Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público. Consecuencialmente, puede afirmase que el impacto de esta nueva regulación resulta ser transversal.
El objetivo de la ley es “establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio”. Tal como lo menciona en su mensaje, se busca equilibrar normativamente dos extremos que aparentemente están en contraposición: la seguridad en la red, en términos de garantías a la confidencialidad, disponibilidad e integridad de la información y, el debido respeto de los derechos fundamentales de la ciudadanía, tales como la libertad de expresión, el acceso a la información, la protección de la vida privada, el tratamiento y protección de datos personales y la propiedad. Para el cumplimiento de este propósito, la iniciativa consagra principios rectores en la materia, conceptualizándolos como criterios normativos de aplicación general, tales como el principio de respuesta responsable, de seguridad y privacidad por defecto y desde el diseño, de confidencialidad de los sistemas de información, de seguridad en el ciberespacio, control de daños, de cooperación con la autoridad, y, por último, el principio de especialidad o racionalidad en la sanción.
Dentro de los deberes generales aplicables a todas a las entidades destaca el deber de aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado. El cumplimiento de estas obligaciones exige a las empresas la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes o sistemas informáticos.
Esta norma es sin duda un desafío relevante para las empresas, las que deberán abordar su implementación -si es que aún no lo han hecho- de modo urgente.
