La obligación de informar sobre incidentes o ataques a la futura Agencia Nacional de Ciberseguridad resalta la necesidad de una colaboración público-privada eficaz para asegurar una respuesta efectiva ante cualquier incidente.
Con fecha 8 de abril fue publicada en el Diario Oficial la Ley Marco de Ciberseguridad que crea una Agencia Nacional de Ciberseguridad (ANCI), la cual tendrá por finalidad regular, fiscalizar y sancionar a todos los organismos públicos y privados que presten servicios esenciales y que queden sujetos a esta regulación.
Para efectos de esta ley, son servicios esenciales aquellos que resultan fundamentales para el funcionamiento del país y la calidad de vida de la sociedad. Quedan comprendidos dentro de esta regulación los siguientes sectores:
- Generación, transmisión o distribución eléctrica.
- Transporte, almacenamiento o distribución de combustibles.
- Suministro de agua potable o saneamiento.
- Telecomunicaciones e infraestructura digital.
- Servicios digitales y tecnología de la información gestionada por terceros.
- Transporte terrestre, aéreo, ferroviario o marítimo.
- Bancos, servicios financieros y medios de pago.
- Administración de prestaciones de seguridad social.
- Servicios postales y de mensajería.
- Prestación institucional de servicios de salud.
- Producción y/o investigación de productos farmacéuticos.
Esta norma establece un estándar de cumplimiento mínimo, exigiéndole a las empresas que adopten mejores herramientas para proteger los derechos de las personas en el ciberespacio, así como para evitar la comisión de ilícitos relativos a la suplantación de identidad y otros delitos informáticos, como el acceso ilícito, sabotajes, interceptaciones de servicios y otros ataques que comprometan la seguridad en el entorno digital.
La labor fiscalizadora de la ANCI implica también facultades sancionatorias, pudiendo imponer multas que podrían alcanzar los 40.000 UTM, es decir, cerca de $2.600 millones de pesos.
Esta Agencia dictará normas, protocolos y estándares mínimos que deberán ser considerados por los sujetos obligados a esta ley en orden a prevenir, reportar y resolver incidentes de ciberseguridad y ataques a través de medios informáticos.
¿Cuándo entra en vigencia?
La entrada en vigencia de la Ley no se encuentra previamente establecida en la norma, sino que se establece que la fecha será determinada mediante uno o más Decretos con Fuerza de Ley (DFL) expedidos por el Presidente de la República. El plazo de dictación para el/los DFL deberá ser como máximo un año desde la publicación de la Ley en el Diario Oficial y la entrada en vigencia en ningún caso podrá ser dentro de un periodo inferior a 6 meses desde esa fecha.
La publicación de esta nueva ley resulta ser un paso importante para la construcción de una legislación nacional integral en materia de ciberseguridad, y se inserta dentro de un marco normativo que, en términos generales, busca guiar a los organismos públicos y privados a mejorar los estándares de seguridad en un mundo cada vez más globalizado y conectado.
Es especialmente relevante verificar si la clasificación de los servicios que presten las distintas entidades públicas o privadas pueden ser calificados como esenciales y en esta línea, verificar el estándar de cumplimiento que exige la norma, en miras a adoptar las herramientas que resulten necesarias para proteger los derechos de las personas en el ciberespacio, así como para evitar la comisión de ilícitos relativos a la suplantación de identidad y otros delitos informáticos.
Para obtener más información, pueden contactar a nuestro equipos Compliance e IP, Tech and Data:
Eugenio Gormáz | Socio | egormaz@az.cl
Francisca Franzani | Directora grupo Compliance | ffranzani@az.cl
Antonia Nudman | Asociada Senior | anudman@az.cl
Jaime Viveros | Asociado | jviveros@az.cl
Sé parte de nuestra plataforma multimedia y podrás recibir las últimas novedades legales, eventos, podcazt y webinars.