Se aprueba el Reglamento de Reporte de Incidentes de Ciberseguridad de la Ley N°21.663.

El 1 de marzo entraron en vigencia las normas que quedaron pendientes de la Ley Marco de Ciberseguridad, según lo estipulado por el DFL N°1-21.663, y de esta forma, comenzó a regir en su totalidad la nueva normativa.

Estas directrices corresponden a los artículos 5°, 8°, 9° y Título VII de la misma regulación, las cuales son las siguientes:

• Disposiciones sobre calificación de operadores de importancia vital por la Agencia Nacional de Ciberseguridad (ANCI).
• Deberes específicos de los operadores de importancia vital.
• Deber de reportar al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática) los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.
• Infracciones y sanciones contempladas en la ley, que incluye multas de hasta 20 mil UTM en los casos de infracciones gravísimas, las que podrían llegar hasta las 40 mil UTM cuando se trate de operadores de importancia vital.

Además, se publicó en el Diario Oficial el Decreto N°295 del Ministerio del Interior y de Seguridad Pública que aprueba el Reglamento de Reporte de Incidentes de Ciberseguridad de la Ley N°21.663, del cual destacamos los siguientes aspectos clave:

1. Obligación de Reportar: Las instituciones que presten servicios esenciales o los que sean calificados como operadores de importancia vital deben notificar ciberataques e incidentes de ciberseguridad al CSIRT Nacional de la ANCI (Art. 2°).

2. Incidente Significativo: Se considera cuando:

• Interrumpe la continuidad de un servicio esencial (Art. 3°, letra a).
• Afecta la integridad física o salud de las personas (Art. 3°, letra b).
• Compromete la confidencialidad de datos personales (Art. 3°, letra e).
• Implica acceso no autorizado a redes o sistemas informáticos (Art. 3°, letra d).

3. Plazos de Reporte:

• Alerta temprana: Dentro de 3 horas desde que se detecta el incidente (Art. 9°).
• Segundo reporte: Dentro de 72 horas (o 24 horas si afecta servicios esenciales) (Art. 10).
• Plan de acción: En 7 días, detallando medidas de mitigación y recuperación (Art. 11).
• Informe final: En 15 días, consolidando análisis e impacto (Art. 12).

4. Contenido del Informe:

• Identificación de la institución afectada (Art. 5°, letra a).
• Fecha y evidencia del incidente (Art. 5°, letras c y d).
• Impacto en otras instituciones y activos afectados (Art. 5°, letras e y g), entre otros.

5. Plataforma ANCI de Reporte 24/7:

• La Agencia Nacional de Ciberseguridad dispondrá de un sistema tecnológico (plataforma) activo todo el año para recibir y gestionar los reportes (Art. 8°).
• La plataforma permitirá que los reportes de incidentes realizados por los sujetos obligados sean comunicados simultáneamente a otros órganos sectoriales cuando exista la obligación de notificar a más de una autoridad.

6. Protección de Datos: Los reportes no deben incluir datos personales, salvo excepciones establecidas en la normativa (Art. 6°).

Para obtener más información sobre el funcionamiento de la Ley Marco de Ciberseguridad y el Reglamento de Reporte de Incidentes, pueden contactar a:

Rodrigo Albagli | Socio | ralbagli@az.cl

Eugenio Gormáz | Socio | egormaz@az.cl

Ivonne Bueno | Directora az Tech | ibueno@az.cl

Yoab Bitran | Director Grupo Compliance | ybitran@az.cl

Antonia Nudman | Asociada Senior | anudman@az.cl