Como el lunes 8 de abril se publicó la Ley Marco de Ciberseguridad en Chile, primera de la región, y hace escasamente 5 días se aprobó en el Congreso la Ley de Protección de Datos, quedando pendiente de control constitucional y promulgación, vamos a lanzar 3 posts desgranando los puntos más interesantes de cada norma, de tal forma que el tercero de ello se lo dedicaremos a la Agencia Nacional de Ciberseguridad (ANCI) y la Agencia de Protección de Datos.
Empecemos…
¿A quiénes aplica?
Servicios esenciales, como el suministro de agua potable, distribución de energía o investigación de productos farmacéuticos, así como a todos aquellos que determine la ANCI. En este caso, se habla exclusivamente de instituciones públicas como prestadoras del servicio.
Operadores de importancia vital, cuya prestación del servicio esencial dependa de redes y sistemas y siempre que la afectación tuviera un impacto significativo en la seguridad y el orden público, así como los actores privados que, además de cumplir los dos requisitos anteriores, hayan adquirido un rol crítico o estratégico.
Esta lista de operadores se revisará cada 3 años.
¿Qué obligaciones deben cumplir?
Ambos deberán aplicar medidas técnicas y organizativas para prevenir, reportar y resolver incidentes, así como implementar los protocolos y estándares que publique la ANCI.
En el caso de los operadores de importancia vital, además:
- Implementar y mantener un SGSI, realizar un análisis de riesgos de las redes, sistemas y datos, así como un análisis de impacto de negocio (BIA).
- Llevar un registro de acciones ejecutadas dentro del SGSI.
- Diseñar, implementar y probar un Plan de continuidad operacional y ciberseguridad, los cuales deben estar certificados y revisados cada 2 años.
- Revisión continua, ejercicios, simulacros y análisis de las redes y sistemas.
- Informar a los afectados si se han visto comprometidos gravemente sus datos personales o los sistemas de un tercero.
- Contar con programas de formación y concienciación.
¿Qué y en qué plazos deben notificarse los incidentes?
Ambos deberán reportar en un máximo de 3 horas los ataques de impacto significativo, que son aquellos con capacidad de interrumpir la continuidad del servicio o afectar a la integridad física, mental y/o datos personales.
A las 72 horas (o 24, si lo decide el CSIRT), la actualización del estado del incidente. En el caso de los operadores de vital importancia, deberá informar del plan de la acción que se está llevando a cabo en los 7 días siguientes a la notificación.
Ambos deberán remitir un informe final en 15 días. Si en ese tiempo no se ha resuelto, los 15 días empezarán a contar desde que se gestiona el incidente.
¿A qué Infracciones y sanciones se enfrentan?
Antes de nada, debemos decir que el plazo de prescripción es de 3 años, viéndose interrumpido con la notificación de la formulación de cargos.
| Sujeto/infracción | Leve | Grave | Muy grave |
| Ambos | Entregar fuera de plazo información que se requiere en caso de incidente. Incumplir instrucciones de la ANCI si no estaban ligadas a infracción grave o gravísima. | No haber implementado los protocolos y estándares establecidos por la ANCI en materia de gestión de incidentes. No haber implementado los estándares particulares de ciberseguridad Entregar fuera de plazo información que se requiere en caso de incidente. Entregar información falsa o errónea.Incumplir la obligación de reporte de incidentes. Negarse a cumplir instrucciones de la ANCI u obstaculizar el procedimiento. Reincidencia de infracción leve en menos de un año. | Entregar información falsa o errónea necesaria para la gestión de un incidente o uno muy significativo Incumplir instrucciones en un incidente de impacto significativo Reincidencia de infracción grave en menos de un año. |
| Operador esencial | No mantener el registro de acciones de seguridad. No comunicar al CSIT la realización continua de operaciones de revisión. No contar con programas de formación No designar al delegado de ciberseguridad (CISO). No dar cumplimiento a la instrucción particular de la ANCI de certificar los planes de continuidad. No contar con las certificaciones que exija la ley. | No haber implementado el SGSI No haber elaborado o implementado planes de continuidad y ciberseguridad. No informar a los afectados. No adoptar medidas para mitigar el incidente o su propagación. | No adoptar las medidas necesarias para reducir el impacto cuando el incidente es significativo. |
En cuanto a las sanciones, debemos señalar que las multas en Chile, habitualmente, se fijan en unidades tributarias (UTM), que es una unidad de dinero creada en 1974 cuyo valor se determina por la variación porcentual del IPC. El valor vigente en cada momento puede consultarse aquí.
Dicho esto, las multas que acarrean las infracciones son:
- Leves: de 5.000 a 10.000 UTM, este último caso si es operador vital.
- Graves: de 10.000 a 20.000 UTM si es operador vital.
- Muy graves: De 20.000 a 40.000 UTM si es operador vital.
Ahora bien, existe una reducción del 25% por pronto pago, siempre que no se recurra y a misma se realice en los 5 primeros días, aun cuando todas deben ser pagadas en los 10 días siguientes a la notificación.
Por último, la entrada en vigor del contenido marco está por determinar, si bien no será inferior a seis meses desde la publicación. En el caso de los reglamentos de desarrollo, estos deberán ser publicados en un plazo de seis meses.