Ley de Ciberseguridad en Chile
Autora: Karen Collante

Ley de Ciberseguridad en Chile

Brotek Brotek

Brotek

Fortaleciendo la infraestructura tecnológica, ciberseguridad y seguridad de la información de tu empresa 🔐

Fecha de publicación: 24 abr 2024
Seguir

Todo lo que tienes que saber sobre esta nueva ley 21.663 y cómo puede impactarte.

El Congreso Nacional de Chile aprobó el proyecto de ley que establece el marco jurídico para la ciberseguridad e infraestructura crítica de la información en Chile (Boletín Nº 14.847-06). 

La nueva ley de ciberseguridad en Chile cambiará la forma en que protegemos nuestra información y la seguridad de nuestras instituciones. Aquí te mencionaremos los principales cambios para que tu organización pueda ponerse al día.

¿Qué es una infraestructura crítica?

Cuando hablamos de infraestructura crítica nos referimos a los sistemas y activos de tecnologías de la información que son vitales para el funcionamiento de una sociedad, esto es, aquellos cuya interrupción o disfunción podría tener un impacto debilitante en la seguridad nacional, la economía, la salud pública y otras funciones vitales de un país.

Esta ley crea una nueva institucionalidad para la protección de estas infraestructuras. Es por esto que se crea la Agencia Nacional de Ciberseguridad (ANCI) y todo el mecanismo para la interacción con el CSIRT Nacional, así como, también, las obligaciones y sanciones a las cuales las organizaciones estarán sujetas.

¿Quiénes están obligados a cumplirla?

La Ley de Ciberseguridad regulará tanto servicios públicos como privados.

La nueva legislación impone a los prestadores de “servicios esenciales” y “operadores de importancia vital”, incluyendo sectores como servicios públicos, telecomunicaciones, salud, energía, transporte, energía, finanzas, servicios digitales y servicios de tecnología de la información gestionados por terceros, etcétera, una serie de obligaciones cuyo cumplimiento es supervigilado.

¿Qué instituciones están calificadas como servicio esencial?

Las instituciones que presten servicios calificados como esenciales, son:

  • Aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional;
  • los prestados bajo concesión de servicio público,
  • los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.

¿Qué organizaciones están calificadas como operadores de importancia vital?

Aquellos que sean calificados como operadores de importancia vital, que son aquellos quienes reúnan los siguientes requisitos:

  • Que la provisión de dicho servicio dependa de las redes y sistemas informáticos, y
  • Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.

¿Quiénes podrán calificar como operadores de importancia vital?

A instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

Recomendado por LinkedIn

Publicada la Ley Marco de Ciberseguridad (Ley N°21.663)
Pablo Andrés Méndez Méndez Hace 8 meses
NIS2: la ciberseguridad se robustece
Jerson Alexander Fernández Sandoval Hace 2 semanas
Tiempos de ciber-inseguridad
Daniel Álvarez Valenzuela Hace 6 años

¿Qué es la ANCI?

La Ley de Ciberseguridad crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo rector de la ciberseguridad del país encargado de regular, fiscalizar y sancionar a todos los organismos públicos y privados que presten servicios esenciales.

Asimismo, se crearon más instituciones como ser el "Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional" cada uno CSIRT Nacional y el CSIRT de Defensa.


"¿Qué acciones de ciberseguridad debo implementar?"

Como CISO o responsable de seguridad, quizás te haces esta pregunta. En este caso la ley exigirá a las organizaciones que:

  • Implementen sistemas de gestión de seguridad de la información.
  • Se establezca y realice la gestión de los riesgos asociados a ciberseguridad.
  • Se confeccione protocolos de respuesta ante incidentes y contemplando los canales de comunicación para informar los mismos cuando ocurran al CSIRT Nacional.
  • Existan planes de continuidad de negocio y plan de recuperación ante desastres.
  • Se realicen simulacros y pruebas de interrupciones operativas periódicos.
  • Se designe un delegado de ciberseguridad, quien estará en contacto con la ANCI.
  • Exista programas de concientización, capacitación y educación para la organización.

¿Cuáles son las sanciones?

La ley menciona que habrá una escala de infracciones, según su gravedad.

La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo con la siguiente escala:

  1. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales, o hasta 10.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
  2. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales, o hasta 20.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
  3. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales, o hasta 40.000 unidades tributarias mensuales si se trata de un operador de importancia vital.


Desde Brotek podemos ayudarte a evitar sanciones y a implementar las medidas de ciberseguridad exigidas por la ley.

Si tienes alguna duda sobre cómo esta ley afecta tu organización y quieres ponerte en regla con la misma, no dudes en conectarte con nosotros a través de nuestro sitio web ➡️ Contáctanos ⬅️

Escrito por Karen Collante para Brotek.

Para más información, podes completar el formulario, enviar correo a ciberseguridad@brotek.com.ar o comunicarte directo con Brian Suarez .


Brotek Blog Brotek Blog

Brotek Blog

492 seguidores

+ Suscribirse

Inicia sesión para ver o añadir un comentario.

Más artículos de este autor

Otros usuarios han visto

Ver temas