Ley 21.663: Lo que debes saber del Marco de Ciberseguridad 2024 en Chile

Este 26 de marzo de 2024 marcó un antes y un después en la historia tecnológica de Chile con la promulgación de la trascendental Ley Marco de Ciberseguridad (Ley N°21.663). ¡Descubre cómo esta legislación pionera está redefiniendo la seguridad digital en nuestro país!.

La importancia de esta norma trasciende al rubro de la informática y las telecomunicaciones. No hay ámbito de la vida nacional que hoy funcione con ausencia de computadores, bases de datos, información procesada por sistemas automáticos, o canales de telecomunicaciones. La robustez de todo el sistema nacional tanto económico, social y político obligatoriamente pasa por sistemas informáticos o telemáticos.

Pero en el fondo, qué importa tener o no tener una ley regulatoria de estas características. Podríamos resumirlo en lo siguiente:

1. Determina quienes son los obligados a cumplir ciertos deberes y en qué ámbitos se aplica lo preceptuado.

2. Define conceptos en los que no siempre todos estamos de acuerdo.

3. Fija los objetivos que todos los actores deben perseguir y por supuesto sus obligaciones.

4. Crea una orgánica necesaria para el cumplimiento de los objetivos legales. En primer lugar, crea la Agencia Nacional de Ciberseguridad (ANCI)

5. Define las infracciones para cuando los actores se desvían de la norma y establece las sanciones a aplicar en dicho caso.

6. Establece los procedimientos necesarios para cumplir con lo anterior.

Algunos antecedentes de esta ley los podemos encontrar en otras normas vigentes tal como, la Ley 21459 sobre delitos informáticos, Ley 19974 Sobre el sistema de inteligencia del estado y crea la agencia nacional de inteligencia, Decreto 83 de 2004 norma técnica sobre seguridad y confidencialidad de los documentos electrónicos, Decreto 1299 de 2004 regula la red de conectividad del estado que administra el ministerio del interior y fija los procedimientos requisitos y estándares tecnológicos para la incorporación a dicha red de instituciones públicas, Decreto 1 de 2015 norma técnica sobre sistemas y sitios web de los órganos de la administración del estado, Decreto 533 de 2015 Crea comité interministerial sobre ciberseguridad.

La ley recién dictada viene a dar un marco común a todas las normas dispersas.

Ámbito y actores

La ley concentra su aplicabilidad en aquellos actores que llama prestadores de servicios esenciales (PSE) y en los operadores de importancia vital (OIV). Por servicios esenciales incluye varios sectores que están en la base económica del país. Partiendo por los prestados por órganos de la Administración del Estado, por concesionarios de servicios públicos, e incluye los servicios prestados por otras instituciones privadas que aun cuando no requieran obtener dicha concesión, sí requieren un permiso especial para operar o al menos su operación es controlada por un órgano administrativo. En ese grupo están las empresas de transporte; la distribución de combustible, electricidad, agua potable; telecomunicaciones; infraestructura digital, servicios digitales y de tecnología de la información; servicios financieros; prestadores de servicios sociales y de salud; entre otros. Además, la ANCI podrá calificar a otros servicios como esenciales.

Las entidades PSE (o incluso cualquiera que no tenga ese carácter) pueden o no ser calificadas como OIV. Esto lo realiza la ANCI en base a ciertos criterios como la dependencia de sistema informáticos y redes y el grado de afectación que la interrupción de entrega de servicios pueda causar al orden público.

La importancia de esto está relacionada con las obligaciones impuestas. Si bien a un PSE se le aplica la norma, es a los OIV a quienes se establece una serie de deberes específicos como implementar un sistema de gestión de seguridad de la información (el estándar más extendido es el de la familia ISO27000), elaborar e implementar planes de continuidad operacional y ciberseguridad, realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de redes, contar con las certificaciones señaladas en la ley (y que la ANCI definirá por reglamento).

Para el resto de los obligados (las PSE no OIV) los deberes aún no están definidos. Este es un punto para destacar. La ley fija un marco común, pero deja a la potestad reglamentaria el definir los detalles operativos. A lo largo del articulado se descubren diversas materias que se dejan para un posterior reglamento. Sea dictado por el Presidente de la República, ministerios sectoriales o la misma ANCI. En muchos artículos que contempla la dictación de estas normas posteriores se contempla un mecanismo de consulta pública y de coordinación entre órganos.

Orgánica

Ya hemos mencionado la creación de la ANCI. Es importante señalar que será un órgano funcionalmente descentralizado que contará con personalidad jurídica y patrimonio propio. Esto es necesario por ser un órgano técnico. Sus autoridades serán elegidas por el sistema de ADP. La ley le asigna amplias facultades incluso en materia de inteligencia nacional.

Se crea un Consejo Multisectorial sobre Ciberseguridad (CMC) de carácter consultivo y donde participan consejeros ad honorem nombrados por el P. de la R. entre gente que provengan del sector industrial o comercial, académico y de organizaciones de la sociedad civil. Su función es asesorar y formular recomendaciones a la ANCI en las materias de su competencia.

Dentro de la ANCI se crea un Equipo Nacional de Respuestas a Incidentes de Seguridad Informática o CSIRT Nacional. El actual CSIRT depende del Ministerio del Interior. Aparte de este CSIRT, se crea uno especializado de la Defensa Nacional. Algo obvio por cuanto las amenazas a los sistemas de defensa deben ser tratados en otro ámbito y de una forma diferente.

Además, se crea un Comité Interministerial sobre Ciberseguridad. No es que actualmente no exista, sólo se le integra a la orgánica de esta ley y designa al director de la ANCI como su presidente.

Aunque no es un órgano, mencionamos que se crea una Red de Conectividad Segura del Estado. Actualmente existen normas técnicas sobre esto dictadas por razones de servicio. Con esto se vuelve un imperativo legal el contar con esta red.

Infracciones y sanciones

Como no serviría de nada regular algo de esta importancia sin establecer las consecuencias al incumplimiento, la ley en su título VII contempla que se considerará infracciones leves, graves y gravísimas tanto para PSE como a los OIV. Las sanciones variarán según el grado, partiendo desde las 5000UTM y llegando a las 40.000UTM. Para determinar el monto se establecen ciertos criterios como las medidas adoptadas, la probabilidad de ocurrencia, la gravedad de los efectos, la reiteración y el tamaño y capacidad económica del infractor.

Conclusión

Falta mucho aun por conocer. La ley 21663 aun no rige por la falta de decretos y reglamentos necesarios para su aplicación. Desconocemos cómo funcionará específicamente y qué obligaciones dictará la ANCI y los ministerios involucrados, pero es posible que las decisiones tomadas no difieran mucho de las metodologías y estándares aplicados mundialmente.

Contar con asesoramiento en estas materias es esencial para una empresa no sólo para cumplir con la ley sino para su sostenibilidad.

¿Qué sigue?

Todavía estamos esperando más detalles sobre cómo se aplicará esta ley, ya que los decretos y reglamentos específicos aún están por definirse. Lo que sí sabemos es que las decisiones probablemente seguirán estándares globales y prácticas ya conocidas en ciberseguridad.

Mantenerse informado y preparado es más esencial que nunca. Si tienes dudas sobre cómo esta ley podría afectar a tu negocio, ¡contacta a nuestros expertos! Estamos aquí para ayudarte a navegar estos cambios y asegurar que tu empresa no solo cumpla con la ley, sino que también prospere en un entorno seguro y regulado.

‍