Promulgación Ley de Ciberseguridad: Aspectos Clave

Este martes 26 de marzo, el Presidente Gabriel Boric promulgó la Ley Marco de Ciberseguridad, marcando un hito significativo en el fortalecimiento de la seguridad digital en Chile y estableciendo un estándar alineado con las buenas prácticas internacionales en materia de ciberseguridad.

Esta legislación, diseñada para hacer frente al creciente panorama de amenazas cibernéticas, introduce una serie de cambios significativos que todas las empresas deben conocer y comprender. Aquí te presentamos un resumen de los aspectos clave:

Aspectos clave:

• Cambios en el marco normativo: La nueva ley establece un modelo de gobierno a nivel nacional con la creación de varias entidades dedicadas a la ciberseguridad. Esto incluye la Agencia Nacional de Ciberseguridad (ANCI), el CSIRT de Defensa, el Consejo Multisectorial y el Comité Interministerial. Estas entidades tendrán la responsabilidad de regular, fiscalizar y asesorar en asuntos de ciberseguridad a nivel nacional.

• Organizaciones afectadas: La ley identifica varios tipos de organizaciones sujetas a las nuevas obligaciones. Esto incluye a aquellas que prestan servicios esenciales tanto a nivel estatal como privado, así como a entidades del Estado y operadores de importancia vital. Es importante que las organizaciones comprendan si están incluidas en estas categorías y qué acciones deben tomar para cumplir con la ley.

  • Las normas regularán el funcionamiento en los Servicios Esenciales (SE) y los Operadores de Importancia Vital (OIV), estos últimos, prestadores de dichos servicios esenciales.
  • La ley considera los siguientes Servicios Esenciales (SE): Organismos de administración del Estado y el Coordinador Eléctrico Nacional; y los servicios prestados bajo concesión de servicio público. Aquellos prestados por instituciones privadas bajo concesión de servicio público en los siguientes sectores:
    • Generación, transmisión o distribución eléctrica.
    • Transporte, almacenamiento o distribución de combustibles.
    • Suministro de agua potable o saneamiento.
    • Telecomunicaciones; infraestructura digital.
    • Servicios digitales y tecnología de la información gestionados por terceros.
    • Transporte terrestre, aéreo, ferroviario o marítimo.
    • Banca, servicios financieros y medios de pago.
    • Administración de prestaciones de seguridad social.
    • Servicios postales y de mensajería.
    • Prestación institucional de servicios de salud.
    • Producción y/o investigación de productos farmacéuticos.  

• Nuevas obligaciones: Las organizaciones afectadas por la ley deberán cumplir con una serie de obligaciones relacionadas con la prevención, resolución y reporte de incidentes de ciberseguridad. Esto incluye la implementación de medidas tecnológicas, organizacionales y físicas para proteger sus sistemas y datos, así como la elaboración de planes de continuidad operacional y ciberseguridad.

• Sanciones por incumplimiento: La ley establece sanciones significativas para las organizaciones privadas que no cumplan con sus obligaciones en materia de ciberseguridad. Estas sanciones pueden variar en gravedad y van desde multas monetarias hasta otras medidas correctivas impuestas por la Agencia Nacional de Ciberseguridad. 

  • Las sanciones podrán ser leves, graves y gravísimas. Entre estas últimas se considera no adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, cuando éste posea un impacto significativo.
  • Las sanciones a aplicar por la Agencia de Ciberseguridad van de 0 a 5.000 UTM ($ 64.793 valor UTM hoy) en el caso de las infracciones leves para los SE y hasta 10.000 UTM para los OIV. Las graves hasta 10.000 UTM para los SE y 20.000 UTM para las OIV y las gravísimas hasta las 20.000 UTM para las SE y las 40.000 UTM para los OIV.

Recomendaciones generales

Para abordar de manera dosificada todas las implicancias de esta nueva legislación, Widefense recomienda:

• Evaluar el estado de madurez de ciberseguridad: Comenzar con una evaluación del estado de madurez de ciberseguridad ayuda a detectar brechas de incumplimiento y optimizar los recursos para actuar sobre las nuevas obligaciones. El Servicio WSC de Widefense ayuda en este sentido a conocer la condición de protección, identificar las acciones de mayor impacto y  priorizar su ejecución para lograr resultados prácticos, efectivos y verificables. 
• Crear un plan estratégico de ciberseguridad: Desarrollar un plan estratégico proporciona beneficios clave alineados a los requerimientos de la nueva ley, como es abordar los requisitos legales, un enfoque centrado en riesgos y una planificación de mejora de la resiliencia empresarial y optimización de recursos. Nuestros Servicios de Consultoría pueden ayudar a las empresas a definir este plan alineando la ciberseguridad con el negocio.

• Mantenerse actualizado sobre las regulaciones: Es importante que las empresas estén al tanto de los cambios en las regulaciones de ciberseguridad y ajusten sus políticas y procedimientos en consecuencia para garantizar el cumplimiento continuo.

Contáctanos ahora para comenzar tu viaje hacia una ciberseguridad sólida y confiable.

¡Conoce nuestras soluciones aquí y cuida la ciberseguridad de tu organización!