La ley, que complementa la Política nacional de ciberseguridad 2023-2028, fue promulgada bajo el nombre de “Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información”, y permite que se cree la Agencia Nacional de Ciberseguridad (ANCI); el Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT Nacional); el CSIRT de la Defensa Nacional; el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado. Esta última, proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.
En palabras de la ministra del Interior, Carolina Tohá, “este proyecto nos va a poner a la vanguardia en la región latinoamericana en esta materia. Vamos a tener una agencia encargada de este tema que va a definir estándares tanto para los servicios esenciales como para los operadores que tienen funciones vitales”.
En octubre del año pasado, el Comité Asesor de la Hoja de Ruta de Ciberseguridad, impulsada por Microsoft y el Centro de Innovación UC Anacleto Angelini, emitió un comunicado alertando sobre la necesidad de actuar desde la urgencia de institucionalizar la ciberseguridad, recomendando una institucionalidad con liderazgo y base técnico-tecnológica.
“Ciberseguridad es uno de los mejores ejemplos de políticas públicas de Chile porque esta ley se aprobó de forma unánime y esa es una señal muy potente para el país. Esta política pública surge de esfuerzos colaborativos, trasciende gobiernos y nos une como país. En la Hoja de Ruta de Ciberseguridad, las distintas industrias, la academia y el sector público se alinearon para mejorar la ciberseguridad del país. Por lo tanto, tanto la Hoja de Ruta más otros esfuerzos que se han hecho nos dan cierta garantía de que la nueva ley no quedará con baja ejecución, sino que tendrá alto impacto, afirma Francisca Yáñez, National Technology Officer de Microsoft y Chair de la Hoja de Ruta de Ciberseguridad.
Por su parte, Ramón Molina, Director Ejecutivo del Centro de Innovación UC y Co-chair de la iniciativa, destaca que “esta ley plantea de forma explícita la necesidad de mecanismos de colaboración público-privados e interinstitucionales. Además, la Agencia Nacional de Ciberseguridad que creará esta ley tendrá un rol de fomento del I+D+i. Todos estos son ámbitos que desarrollamos ampliamente en la Hoja de Ruta, que ya tienen resultados escalables”.
Implicaciones de la Ley Marco de ciberseguridad e infraestructura crítica de la información
La Agencia Nacional de Ciberseguridad tiene como objetivo principal asesorar al Presidente de la República en dichas materias, y además, podrá calificar otros servicios como esenciales, mediante resolución del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento.
Los criterios generales para la identificación de los Operadores de Importancia Vital -que tendrán la obligación de prevenir, reportar y resolver incidentes de ciberseguridad-, son que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: la seguridad y orden público, la provisión continua y regular de servicios esenciales en el cumplimiento de las funciones del Estado o de los servicios que éste debe proveer o garantizar.
Desafíos tecnológicos y organizacionales ante la implementación de la Ley
Lo anterior supone desafíos tecnológicos, de talentos y organizacionales. En particular, éstos deberán adicionalmente asegurar, entre otras cosas, la certificación de sus planes y programas de capacitación continua a sus equipos.
La ley considera Servicios Esenciales a los organismos de administración del Estado y el Coordinador Eléctrico Nacional; y los servicios prestados bajo concesión de servicio público.
En cuanto al mundo privado, son considerados servicios esenciales los que provean: Generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones, infraestructura digital, servicios digitales y tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de servicios de salud; y producción y/o investigación de productos farmacéuticos.
También se destaca que la agencia podrá multar a los infractores de la normativa de ciberseguridad, donde las sanciones se categorizan en leves, que van entre 0 a 5000 UTM para los Servicios Esenciales (SE) y hasta 10.000 UTM para los Operadores de Importancia Vital (OIV); graves que llegan a 10.000 UTM para las SE y 20.000 para las OIV; y gravísimas que llegarán hasta las 20.000 para las SE y las 40.000 para los OIV.
Colaboración Público-Privada: Clave para el éxito de la legislación de ciberseguridad
A su vez, se crearán el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT), que dependerá del Ministerio de Defensa; y un Comité Interministerial de Ciberseguridad, que estará integrado por los subsecretarios del Interior, de Defensa, de RR.EE., de la Secretaría General de la Presidencia, de Telecomunicaciones, de Hacienda, de Ciencias, Tecnología, Conocimiento e Innovación, y quienes dirijan las Agencia Nacional de Inteligencia (ANI) y la de Ciberseguridad (ANCI).
Por su parte, el senador Kenneth Pugh, quien participó en el Comité Asesor de la Hoja de Ruta de Ciberseguridad, destacó, al igual que la Chair de la iniciativa, que dicho proyecto de ley no tuvo abstenciones en sus trámites, lo que permitió que avanzara con mayor celeridad.
El Programa de Industrias del Futuro del Centro de Innovación UC continuará facilitando la implementación de las iniciativas propuestas de la HDR de Ciberseguridad durante los próximos años, así como continuará empujando líneas de trabajo estratégicas asociadas a tecnologías emergentes como el 5G, Smart Cities, IA e Hidrógeno Verde.