En el país desde hace unos años se ha ido recorriendo un camino legislativo orientado a la seguridad de la información y ciberseguridad en general, estableciendo bases sólidas y marcando un rumbo en distintos ámbitos tales como la propia Constitución Política de la República (artículos 8º, 19, 24, 39 y siguientes) y leyes como la ley Nº 20.285, sobre acceso a la información pública, la Ley N°21.180 de Ley de Transformación Digital del Estado, la Ley N°21.459 para Delitos Informáticos, y la Ley N°21.521 conocida como Ley Fintec, adicionalmente de proyectos que se encuentran en proceso de tratamiento dentro del Gobierno, tales como el proyecto de ley sobre Tratamiento de los Datos Personales que reemplazaría la Ley N° 19.628 vigente desde 1999.
En este contexto, recientemente el 4 de diciembre 2023 se publicó en el Diario Oficial la aprobación y entrada en vigor de la actualización de Política Nacional de Ciberseguridad 2023-2028 en continuación de la anterior que regía para el periodo 2017-2022. Como la misma establece, la ley busca realizar mejoras para hacer frente a los crecientes desafíos que supone la ciberseguridad y protección de datos en el mundo actual, tales como, falta de resiliencia en organizaciones e infraestructura, la carencia de especialistas y sensibilización en ciberseguridad, la falta de sofisticación de la demanda del país por ciberseguridad, y el aumento de delitos en el ciberespacio.
Los principales objetivos descritos en la Política Nacional de Ciberseguridad 2023-2028 son, Infraestructura resiliente, Derechos de las personas, Cultura de ciberseguridad, Coordinación nacional e internacional, y Fomento a la industria y la investigación científica.
En concordancia la Política Nacional de Ciberseguridad 2023-2028 y sus objetivos, el 12 de diciembre 2023 se aprobó el proyecto de ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que busca establecer la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones.
Como puntos focales, la Ley crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades para fiscalizar y sancionar a las instituciones que no implementen medidas de ciberseguridad de acuerdo con la ley o no respondan adecuadamente a los incidentes de los cuales sean objeto. Así como también el CSIRT Sectoriales y de Defensa Nacional.
Asimismo, se establecen los criterios para identificar las empresas u organismos que se denominan servicios esenciales (SE) u Operadores de Importancia Vital (OIV) sin importar si los mismos administrados por el Estado o privadas. Entre ellos se encuentran actividades de generación eléctrica, distribución de combustible y transporte terrestre, aéreo, ferroviario y marítimo, servicios financieros y prestación institucional de salud.
Ante este panorama, solo resta la publicación en el Boletín Oficial de esta Ley Marco para su entrada en vigor, y se disponen de plazos acotados para su implementación:
¿Por qué es importante este conjunto de regulaciones que está en marcha
Permite establecer una línea base de ciberseguridad para instituciones tanto publicas o privadas que va a permitir aumentar el nivel de madurez general en las distintas industrias y sectores.
¿A quién aplicaría esta Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información?
A las empresas u organismos que se identifiquen como servicios esenciales (SE) u Operadores de Importancia Vital (OIV) según los criterios descritos en la Ley y sin importar si son públicos o privados.
¿Cómo me afecta la Ley si soy un organismo u empresa que no es regulado y a partir de los criterios de SE u OVI debería comenzar a cumplirla?
Inicialmente, se debe identificar el nivel de madurez en ciberseguridad actual que posee la empresa u organismo para que posteriormente en base a los requerimientos de ley se solicite las inversiones necesarias para aumentar el nivel de madurez.
¿Se establecen multas en la Ley?
Si, van desde las 10.000 UTM hasta las 40.000 según la categorización de severidad y tipo de institución SE u OIV.
Desde KPMG Chile, entendemos que la adecuación de las empresas u organismos para el cumplimiento de regulaciones especialmente en ciberseguridad requieren el compromiso de la alta dirección, quienes a través de las inversiones especificas y direccionadas, permitan desplegar los tres ejes fundamentales para el cumplimiento de estas, personas, procesos y tecnología.
