El Gobierno de Chile ha dado un paso trascendental en la consolidación de una infraestructura digital segura y resiliente con la promulgación de la Ley 21.663, conocida como Ley Marco de Ciberseguridad.
Esta normativa, publicada el 8 de abril de 2024 y con vigencia desde enero de 2025, establece una institucionalidad robusta y principios orientadores para enfrentar las crecientes amenazas en el ciberespacio.
Objetivo de la Ley
El propósito de esta ley es estructurar, regular y coordinar las acciones de ciberseguridad del Estado, además de fijar requisitos mínimos para prevenir, contener y resolver incidentes cibernéticos. También establece atribuciones claras para las instituciones públicas y privadas que prestan servicios esenciales o que sean consideradas de importancia vital.
Creación de la ANCI y fortalecimiento institucional
Uno de los principales hitos es la creación de la Agencia Nacional de Ciberseguridad (ANCI), organismo técnico descentralizado que tendrá a su cargo:
• Asesorar al Presidente de la República.
• Dictar protocolos, estándares e instrucciones obligatorias.
• Supervisar y coordinar a los CSIRT (Equipos de Respuesta ante Incidentes de Seguridad Informática).
• Administrar un Registro Nacional de Incidentes de Ciberseguridad.
• Fiscalizar y sancionar infracciones a la ley.
Además, se crea la Red de Conectividad Segura del Estado (RCSE) y el Consejo Multisectorial sobre Ciberseguridad, con funciones consultivas.
Los operadores de servicios esenciales o de importancia vital deberán:
• Implementar un sistema de gestión de seguridad de la información.
• Contar con planes de continuidad operacional y ciberseguridad certificados.
• Realizar ejercicios, simulacros y análisis constantes de sus sistemas.
• Designar un delegado de ciberseguridad.
• Reportar incidentes graves en un plazo máximo de 3 horas desde su detección.
Estos reportes deben incluir información técnica, medidas adoptadas y evaluación de impacto, y deben enviarse tanto al CSIRT Nacional como, en algunos casos, a las autoridades sectoriales.
Infracciones y sanciones
Las infracciones se clasifican en leves, graves y gravísimas, con multas que pueden llegar a las 40.000 UTM. La Agencia tendrá facultades sancionatorias, incluyendo la solicitud de acceso a sistemas informáticos en caso de incidentes significativos, previa autorización judicial si es una entidad privada.
Enfoque estratégico y derechos fundamentales
La ley promueve principios como la seguridad desde el diseño, la coordinación interinstitucional, el control de daños y el respeto por la privacidad y los derechos fundamentales. También excluye como dato personal la dirección IP en los reportes y establece reglas claras sobre la confidencialidad de información crítica del Estado.
TLine – Creando Confianza
