Chile
Nuevo modelo de gobernanza que promueve la implementación de estándares de ciberseguridad
El 1 de marzo de 2025 entraron en vigencia los artículos diferidos de la Ley No. 21.663, Ley Marco de Ciberseguridad (la ”LMC”), vigente desde el 1 de enero de 2025, fecha en la que también comenzó sus actividades la Agencia Nacional de Ciberseguridad (la “ANCI”). Esta Ley creó un nuevo modelo de gobernanza que promueve la implementación de estándares de ciberseguridad tanto en el sector público como privado, colocando a Chile como un líder en América Latina de este ámbito.
Principales implicancias:
- Entran en vigencia las facultades de la ANCI para iniciar el primer proceso de calificación de Operadores de Importancia Vital (“OIV”): La ANCI identificará mediante resolución, a los prestadores de servicios esenciales (los “PSE”) que sean calificados como OIV. Los PSE declarados como OIV deberán reunir los siguientes requisitos: (a) que la provisión del servicio dependa de las redes y sistemas informáticos, y (b) que la afectación, interceptación, interrupción o destrucción del servicio tenga un impacto significativo en: (i) la seguridad y el orden público, (ii) la provisión continua y regular de servicios esenciales, (iii) en el efectivo cumplimiento de las funciones del Estado o, en general, (iv) de los servicios que éste debe proveer o garantizar.
Además, la ANCI podrá calificar como OIV a instituciones privadas que, aunque no tengan la calidad de PSE, reúnan los requisitos indicados en la letra (a) y (b) y cuya calificación sea indispensable (i) por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o (ii) por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas. - Entran a regir los deberes específicos de los OIV: Una vez determinados por la ANCI los OIV, estos tendrán deberes específicos. Entre otros: (a) implementar un sistema de gestión de seguridad de la información continuo, manteniendo un registro de las acciones ejecutadas que compongan dicho sistema, (b) elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse y someterse a revisiones, (c) realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas, (d) informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la ANCI, sobre la ocurrencia de incidentes o ciberataques, (e) contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, y (f) designar un delegado de ciberseguridad.
- Obligación de reportar por los PSE y OIV los incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT Nacional: La regulación prevé un esquema de reportes continuos que deben emitirse dentro de los plazos y con la información solicitada en la Ley como en el Reglamento de Reporte de Incidentes de Ciberseguridad (ver más). Adicionalmente, la ANCI aprobó y publicó una taxonomía de incidentes de ciberseguridad (ver más).
- Aplicación del regimen de infracciones y sanciones: A partir del 1 de marzo de este año, la ANCI podrá fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones a la Ley. Al efecto, la ANCI podrá imponer multas dependiendo de la gravedad de la infracción, siendo estas últimas clasificadas en Infracciones Leves (hasta 5.000 UTM para PSE o 10.000 UTM para OIV), Graves (hasta 10.000 UTM para PSE o 20.000 para OIV) y Gravísimas (hasta 20.000 UTM para PSE o 40.000 para OIV).