A fines de octubre de 2022, en la Sala del Senado, se aprobó en general -y por unanimidad- el proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (Boletín N°14847-06). Asimismo, se fijó como plazo para presentar indicaciones el día 11 de noviembre.
El objetivo principal de la iniciativa es establecer la institucionalidad necesaria para robustecer la ciberseguridad, el trabajo preventivo, la formación de la cultura pública en materia de ciberseguridad digital, y enfrentar contingencias tanto en el sector público como en el privado.
A continuación, encontrarán 3 elementos significativos del proyecto:
- ¿A quiénes aplicaría la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información?
- Órganos de la Administración del Estado.
- Órganos del Estado, como por ejemplo municipalidades, entidades fiscales autónomas; empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.
- Instituciones privadas que posean Infraestructura Crítica de la Información, donde encontramos compañías del sector energético, bancario o del rubro de las telecomunicaciones.
- ¿Cuáles serán los factores a considerar a efectos de determinar si un sector o institución posee infraestructura crítica?
La infraestructura crítica de la Información es definida como las instalaciones, redes, sistemas plataformas, servicios y equipos físicos de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado, y en general, de los servicios que este debe proveer o garantizar. Sobre la base de lo anterior, cada dos años, la infraestructura de sectores o instituciones podrá ser calificada como crítica considerando los siguientes factores:
- Impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información. El que deberá ser evaluados bajo ciertos criterios.
- Capacidad del sistema informático, red o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.
- Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).
- Afectación relevante del funcionamiento del Estado y sus órganos.
- ¿Cuáles serán las obligaciones de las instituciones que posean infraestructura de la información calificada como crítica?
- Aplicar permanentemente medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad, gestionar riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado.
- Implementar un sistema de gestión de riesgo permanente.
- Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos.
- Elaborar e implementar planes de continuidad operacional y ciberseguridad. Los que deberán ser actualizados periódicamente, a lo menos una vez al año.
- Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas.
- Adoptar las medidas necesarias para reducir el impacto y propagación de un incidente de ciberseguridad.
- Contar con las certificaciones de los sistemas de gestión y procesos que se determinen.
El proyecto ahora comenzará su discusión en particular, y representantes del Gobierno han hecho patente su objetivo de introducir mejoras y aligerar el modelo de gobernanza, el que considera la creación de la Agencia Nacional de Ciberseguridad. El objeto principal de la Agencia sería asesorar al Presidente de la República en estas materias, como también la colaboración activa en el resguardo de los intereses nacionales en el ciberespacio.
En az estamos siempre monitoreando los avances legislativos con el objetivo de informar y concientizar respecto de la importancia de prevenir contingencias y mitigar riesgos asociados a este tipo de amenazas. Consideramos que la aprobación de una Ley Marco en Ciberseguridad supone un gran avance para nuestro país ya que brindaría certeza jurídica ante amenazas que son cada vez más cotidianas para todos.
Para obtener más información sobre estos temas, pueden contactar a nuestro equipo az Tech:
Eugenio Gormáz | Socio | egormaz@az.cl
Gonzalo Navarro | Director az Tech | gnavarro@az.cl
Antonia Nudman | Asociada IP, Tech and Data | anudman@az.cl
Natalia González | Asociada IP, Tech and Data | ngonzalez@az.cl
Constanza Pasarin | Asociada IP, Tech and Data | cpasarin@az.cl