El presente Reglamento comenzará a regir desde la fecha de iniciación de las actividades de la Agencia, de conformidad a lo dispuesto en el artículo 1° transitorio de la ley N° 21.663.
El pasado 01 de marzo se publicó en el Diario Oficial el Decreto N° 295, del Ministerio del Interior y Seguridad Pública, el cual aprueba el reglamento de reporte de incidentes de Ciberseguridad de la Ley N°21.663.
En primer término, el reglamento establece el deber de reporte por parte de las instituciones públicas y privadas que presten servicios calificados como esenciales y aquellas que hubieren sido calificadas como operadores de importancia vital de conformidad a la ley y su reglamento, quienes tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.
Para tales efectos, se considerarán que un incidente de ciberseguridad tiene efecto significativo si es capaz de producir alguno de los siguientes efectos: a) Interrumpir la continuidad de un servicio esencial. En dicho caso deberá considerarse, tanto los servicios entregados por proveedores, como la cadena de suministro, de una institución que preste servicios esenciales o de un operador de importancia vital. b) Afectar la integridad física o la salud de las personas. c) Afectar la integridad o confidencialidad de activos informáticos, o la disponibilidad de alguna red o sistema informático, aun cuando esto no produzca o hubiere producido afectación inmediata en la provisión del servicio. d) Utilizar o ingresar sin autorización a redes o sistemas informáticos, aun cuando esto no produzca o hubiere producido afectación inmediata en la provisión del servicio. e) Afectar sistemas informáticos que contengan datos personales.
En ese sentido, para determinar la importancia de los efectos de un incidente de ciberseguridad se deberán tener especialmente en consideración el número de personas afectadas; la duración del incidente; y/o la extensión geográfica con respecto a la zona afectada por el incidente.
Por otro lado, los informes de ciberataques e incidentes de ciberseguridad deberán realizarse a través de la plataforma de notificación dispuesta por la Agencia, la que deberá estar operativa las veinticuatro horas, todos los días del año.
Además, las instituciones obligadas a reportar que hubieren tomado conocimiento de la ocurrencia de un incidente de ciberseguridad, deberá enviar una alerta sobre la ocurrencia del evento en el plazo máximo de tres horas, contado desde que hubiere tomado conocimiento de la ocurrencia del incidente.