¿Cuál es el objetivo de la ley?
La ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, así como entre esos organismos y los particulares. También establece los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; además de fijar las atribuciones y obligaciones de los organismos del Estado. Define también los deberes de las instituciones que están obligadas a cumplir con lo que dispone la ley.
¿Cómo define la ley el concepto de ciberseguridad?
Ciberseguridad es la preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.
La resiliencia en ciberseguridad es la capacidad de una entidad para prevenir y resistir los incidentes de seguridad informática y para recuperarse de ellos.
¿Qué es un ciberataque?
Es un intento de destruir, exponer, alterar, deshabilitar, o exfiltrar (robar datos) u obtener acceso o hacer uso no autorizado de un activo informático (recursos tecnológicos de la información y comunicación).
¿Qué es la Agencia Nacional de Ciberseguridad (ANCI)?
La Agencia Nacional de Ciberseguridad se crea como un servicio público descentralizado, con personalidad jurídica y patrimonio propio, de carácter técnico y especializado. Su objetivo será asesorar al Presidente o Presidenta de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar la actuación de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.
La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública. Tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.
La Agencia tendrá un director o directora nacional y un subdirector. Ambos nombramientos se harán con el Sistema de Alta Dirección Pública.
¿Qué se entiende en esta ley por Administración del Estado?
Para la aplicación de esta ley, se entiende por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.
También las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que el Estado tenga participación accionaria superior al 50 por ciento o mayoría en el directorio.
¿En qué ámbito se aplicará la ley?
Se aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital. Esas entidades serán las obligadas a las disposiciones que establece la ley.
¿Cuáles son los servicios esenciales?
Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional y los prestados bajo concesión de servicio público.
También son servicios esenciales los que prestan instituciones privadas que realizan las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; bancos, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.
La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada.
¿Qué son los operadores de importancia vital?
La Agencia podrá calificar como operadores de importancia vital a entidades que presten un servicio que dependa de las redes y sistemas informáticos.
La Agencia deberá, al menos cada tres años, revisar y actualizar la calificación de operadores de importancia vital, mediante una resolución dictada por el director o la directora nacional.
¿Qué es el CSIRT?
Es el Equipo de Respuesta ante Incidentes de Seguridad Informática. La sigla CSIRT se debe a que en inglés es Computer Security Incident Response Team.
A través de los CSIRT se busca prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva.
¿Qué funciones tiene el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática?
Es una entidad que se crea dentro de la Agencia Nacional de Ciberseguridad. Sus funciones son:
¿Cómo opera el deber de reportar para las instituciones públicas y privadas obligadas?
Todas las instituciones públicas y privadas consideradas tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, dentro de ciertos plazos que están determinados por la ley.
Los plazos para reportar serán los siguientes:
¿Deberán los organismos autónomos constitucionales cumplir los procedimientos?
El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes, y considerar las recomendaciones que efectúe la Agencia. Pero esas instituciones no estarán sujetas en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia, sin perjuicio de que deberán tener mecanismos de reporte de incidentes de ciberseguridad, y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.
¿Qué es el Consejo Multisectorial sobre Ciberseguridad?
La ley crea el Consejo Multisectorial sobre Ciberseguridad, entidad consultiva que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.
Integrarán el consejo, el director o directora nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem (sin salario) designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia. Dos deberán provenir del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil.
¿Qué deberes tienen las instituciones obligadas?
Las instituciones obligadas deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
¿Qué es la Red de Conectividad Segura del Estado?
Es una red que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado.
¿Qué es el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional?
Es una entidad que se crea como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa, y de los servicios esenciales y operadores vitales para la defensa nacional.
¿La ley establece sanciones?
Las infracciones a las obligaciones que establece la ley a los sujetos obligados por ella se califican en leves, graves y gravísimas.
Se considerarán infracciones graves las siguientes:
Las infracciones gravísimas son:
¿Cuáles son los montos de las multas?