Proyecto de ley, iniciado en Mensaje del ex Presidente de la República, señor Sebastián Piñera Echeñique, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.

Boletín N° 14.847-06

MENSAJE DE S.E. EL PRESIDENTE DE LA REPÚBLICA CON EL QUE INICIA UN PROYECTO DE LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN.

_________________________________

Santiago, 02 de marzo de 2022.

A S.E. LA PRESIDENTA DEL H. SENADO

MENSAJE Nº 469-369/

Honorable Senado:

En uso de mis facultades constitucionales, tengo el honor de someter a vuestra consideración un proyecto de ley marco sobre ciberseguridad e infraestructura crítica de la información.

I. ANTECEDENTES

Las tecnologías emergentes de la sociedad digital han generado un proceso de cambio cultural amplio, el cual se ha acelerado y profundizado en el contexto de diversas medidas sanitarias, como los confinamientos, producto de la pandemia del COVID-19. La transformación digital ha cambiado la forma de ser y estar en el mundo, y avanza vertiginosamente, digitalizando procesos en las diversas áreas del quehacer, impactando en la forma que se relacionan las personas y la sociedad.

En este contexto, ha sido necesario que también el Estado profundice su transformación digital, la cual comenzó con la publicación de la ley Nº21.180, sobre transformación digital del Estado, publicada el 11 de noviembre de 2019 y ha continuado con el decreto supremo Nº4, de 09 de noviembre de 2020, del Ministerio Secretaría General de la Presidencia, el cual contiene el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley Nº 21.180 sobre transformación digital del Estado. Igualmente, con el decreto con fuerza de ley N° 1, de 2020, del Ministerio Secretaría General de la Presidencia, establece normas de aplicación del artículo 1° de la ley N° 21.180, de transformación digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la Administración del Estado que indica y las materias que les resulten aplicables.

Esta modernización, que es una tarea continua y permanente, enmarcada dentro del principio rector consagrado en el artículo primero de nuestra Carta Fundamental, reconoce que el Estado está al servicio de las personas. Así, mientras se ha avanzado en robustecer el acceso a diversos servicios públicos mediante canales digitales, se hace necesario asegurar que dichas prestaciones serán entregadas con todos los resguardos y estándares de seguridad necesarios.

De este modo, se transita decididamente hacia un Estado que sea más integrador, ágil, innovador y más efectivo para cumplir su función de servir al bien común, para mejorar la calidad de vida de las personas, modernizar la función pública y potenciar el desarrollo económico, productivo, industrial y de servicios, fortaleciendo la integridad, disponibilidad de la información en el ciberespacio y la confidencialidad y seguridad en el tratamiento de los datos de los ciudadanos.

Manifestaciones concretas de lo anterior se encuentran en numerosas plataformas que proveen acceso a trámites que tradicionalmente debían realizarse de forma presencial, como la Comisaría Virtual, o las solicitudes de beneficios estatales por medio de la Clave Única, incorporándose próximamente los procedimientos administrativos y la gestión documental electrónica.

Esta evolución sociocultural implica enfrentar desafíos en distintos ámbitos, en el área de la tecnología y aquellos referidos a habilidades relacionales y al analfabetismo digital. A su vez, los desafíos en materia de ciberseguridad requieren una convergencia, coordinación y articulación público-privada, para la gestión de alertas preventivas y de incidentes de ciberseguridad.

Para el adecuado funcionamiento de la ciberseguridad en el país, es necesario gestionar los riesgos e implementar los más exigentes estándares que otorguen confianza y seguridad, en las instituciones públicas como privadas. Para esto, se requiere planificación, implementación, seguimiento y evaluación constante en el desarrollo de la ciberseguridad, con un marco completamente integrado que considere una nueva visión de lo multisectorial y transectorial, enfatizando el trabajo conjunto de los sectores público y privado, para beneficio mutuo y general.

Esta mirada prioriza la colaboración y la coordinación, permitiendo un trabajo conjunto con todos los actores, tanto locales como globales, valorando el importante rol de la ciencia, la tecnología y la investigación en la ciberseguridad.

El vertiginoso desarrollo de la sociedad digital conlleva un mayor riesgo de vulnerabilidad en todas las estructuras digitales de la sociedad, pero especialmente en aquellos sectores estratégicos donde existe infraestructura de la información que resulta crítica, la regulación sobre ciberseguridad resulta un elemento lógico y necesario.

Por este motivo, el proyecto de ley que vengo en someter a su consideración permitirá establecer el marco regulatorio necesario para el desarrollo robusto de la ciberseguridad, tanto en su dimensión operativa como regulatoria.

II. FUNDAMENTOS

1. Relevancia de la ciberseguridad

La ciberseguridad es un tema recurrente en la discusión pública, pues en una sociedad que ha comenzado a transitar desde los soportes físicos hacia la infraestructura de la información, el permanente riesgo de incidentes de ciberseguridad y ciberataques comienza a formar parte de los elementos que deben considerarse. En este sentido, la gestión del riesgo y el control de la vulnerabilidad, son elementos de suyo relevantes.

La ciberseguridad es clave en todo el proceso de adaptabilidad a la sociedad digital, para la aplicación y desarrollo de tecnologías como la inteligencia artificial, en los diversos procesos socio-relacionales, en la generación de servicios y los procesos productivos. Sin embargo, toda esa potencialidad se puede transformar en riesgo, si no se adoptan los procesos y estándares de una cultura de ciberseguridad, con enfoque colaborativo y sistémico.

El Gobierno del Presidente Sebastián Piñera asumió el compromiso de abordar esta temática en el horizonte de su mandato, en su programa de gobierno, en materia de ciencia, innovación y emprendimiento para embarcarnos en la revolución tecnológica, y estableció dentro de sus objetivos la creación de condiciones para que Chile pueda insertarse exitosamente y de manera protagónica en la cuarta revolución industrial. Para ello se propuso adaptar las regulaciones a los desafíos que impone la revolución digital, considerando el desarrollo de políticas de ciberseguridad. De esta forma, con el presente proyecto de ley, se procura justamente llevar adelante esas políticas, y al mismo tiempo, se da cumplimiento a las medidas que dispone la Política Nacional de Ciberseguridad.

2. Relevancia de la institucionalidad en materia de ciberseguridad

Chile necesita con urgencia una institucionalidad en ciberseguridad, para coordinar esfuerzos que nos permitan enfrentar los nuevos desafíos de seguridad pública, dado por el uso masivo y extensivo de las tecnologías. Este es un problema de creciente importancia que se mantendrá y agudizará en el futuro próximo, atendido el vertiginoso despliegue de infraestructura digital en el ámbito público y privado.

En el país se requiere un órgano encargado de la seguridad en el ciberespacio, que proteja los bienes y activos de la sociedad digital. Es menester señalar que, en los sectores productivos del mundo privado se concentra una gran cantidad de iniciativas digitales y virtuales, que se constituyen en las nuevas infraestructuras críticas de la información de la sociedad digital.

En este contexto, nuestro país requiere una institucionalidad pública que se coordine con el sector privado de manera permanente, para garantizar la seguridad en el ciberespacio, que ayude a prevenir los delitos informáticos y proteja la infraestructura crítica de la información.

Adicionalmente, esta institucionalidad necesita una gobernanza clara y una orgánica definida en sus roles, con amplias competencias, tecnológicamente robusta, confiable para las instituciones públicas y privadas, de interacción nacional y global, altamente profesional, eficiente en su gestión y experimentada.

III. OBJETIVO DEL PROYECTO DE LEY

Este proyecto de ley tiene como propósito establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

Se busca brindar a las personas un nivel de seguridad que considere las experiencias y más altos estándares del ámbito global, con el objeto de permitir el desarrollo de sus actividades personales y sociales, junto con el ejercicio de derechos fundamentales como la libertad de expresión, el acceso a la información, la protección de la vida privada, el tratamiento y protección de datos personales y la propiedad.

Este proyecto de ley permitirá crear la institucionalidad necesaria para implementar en nuestro país estándares en materia de ciberseguridad, promoviendo regulaciones, métricas y protocolos. Asimismo, permitirá que se pueda ejercer la supervigilancia y las coordinaciones de respuestas en la red de conectividad del Estado frente a las emergencia y contingencias de ciberseguridad.

En virtud de lo anterior, a través de este proyecto de ley se fortalecerá la institucionalidad, otorgando protección ante incidentes de ciberseguridad en distintos ámbitos:

Se protegerá al Estado, sus redes y los sistemas informáticos, e infraestructura de la información del sector público, especialmente, aquellas que son esenciales y críticas para los ciudadanos.

Se protegerá la Seguridad Nacional, promoviendo el resguardo de datos, las redes y los sistemas informáticos e infraestructura de la información del sector privado, especialmente aquellas que son esenciales para el adecuado funcionamiento del país, velando y asegurando la continuidad operacional de las infraestructuras críticas de la información del país.

Se prevendrán ciberamenazas al mejorar las instancias de comunicación, coordinación y colaboración entre diversas instituciones, organizaciones y empresas, tanto del sector público como privado, nacionales e internacionales, con el propósito de fortalecer la confianza y entregar una respuesta común a los riesgos que se presentan en el ciberespacio, previniendo el fenómeno del ciberataque y evitando la expansión de los efectos perjudiciales de un incidente de ciberseguridad. Lo anterior, debido a que la prevención de los delitos informáticos es distinta a la prevención de los delitos tradicionales, principalmente por factores como la motivación delictiva, las formas sofisticadas y las capacidades técnicas necesarias para su comisión.

Se gestionarán los riesgos del ciberespacio, lo que permitirá identificar las vulnerabilidades, amenazas y riesgos en el uso, procesamiento, almacenamiento y transmisión de la información. En virtud de lo anterior, se procurará generar las capacidades para la prevención, mitigación, la efectiva y pronta recuperación ante incidentes de ciberseguridad que afecten a instituciones que posean infraestructura crítica de la información, conformando un ciberespacio seguro, estable y resiliente.

IV. CONTENIDO DEL PROYECTO DE LEY

El proyecto de ley se estructura en diez títulos, con cuarenta y un artículos de contenido, y con siete artículos transitorios.

El ámbito de aplicación del proyecto de ley son los órganos de la Administración del Estado; los órganos del Estado y las instituciones privadas que posean Infraestructura Crítica de la Información. Esta iniciativa establece un marco normativo en materia de ciberseguridad, responsabilidades y deberes asociados para los órganos señalados, estableciendo de esta manera, requisitos mínimos para la prevención y resolución de incidentes de ciberseguridad y contingencias. En particular, el proyecto de ley consagra lo siguiente:

1. En primer lugar, el título primero contiene las disposiciones generales, definiendo el objeto del proyecto de ley, el cual consiste en sentar las bases de la institucionalidad de la ciberseguridad, los principios rectores y los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establece las atribuciones y obligaciones de los órganos del Estado así como de las instituciones privadas que posean infraestructura de la información calificada como crítica.

Se consagran los principios rectores en la materia, entendiéndolos como aquellos criterios normativos de aplicación general, que cumplen además una función integradora e interpretativa, determinando el sentido y alcance del proyecto de ley en su conjunto, tales como el principio de responsabilidad, de protección integral, de confidencialidad de los sistemas de información, de integridad de los sistemas informáticos y de la información, de disponibilidad de los sistemas de información, control de daños, de cooperación con la autoridad ,y por último, el principio de especialidad en la sanción.

2. En la misma línea, el título segundo de este proyecto de ley se divide en dos párrafos, los cuales establecen la forma de determinación de la infraestructura crítica de la información y las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica:

A saber, para determinar y calificar la infraestructura de la información como crítica, se establecen diversos factores que permitirán realizar dicha calificación, tales como el impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información; la capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo; la pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB); y afectación relevante del funcionamiento del Estado y sus órganos.

Cabe señalar que el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo, determinará aquellos sectores o instituciones que constituyen servicios esenciales según lo dispuesto en esta iniciativa, y que por lo tanto, poseen infraestructura crítica de la información.

Además, se establece que se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Se establecen los deberes generales de los órganos del Estado cuya infraestructura de la información sea calificada como crítica, esto es, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado. Entre los deberes específicos se establece la implementación de un sistema de gestión de riesgo permanente; mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos; elaborar e implementar planes de continuidad operacional y ciberseguridad; realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según corresponda; adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad.

Esta iniciativa establece las facultades normativas de los reguladores o fiscalizadores sectoriales con competencia en sus respectivos sectores regulados, con la facultad para dictar instrucciones, circulares, órdenes, normas técnicas y normas de carácter general, las que deberán considerar los estándares establecidos por la Agencia Nacional de Ciberseguridad.

3. Cabe destacar que el título tercero es relevante, ya que crea y regula la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto es asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en la materia de ciberseguridad, y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial que posean infraestructura crítica de la información.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio del Interior y Seguridad Pública, la cual tendrá su domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras regiones del país.

Entre las atribuciones de la Agencia Nacional de Ciberseguridad destacan: Asesorar al Presidente de la República, en el análisis y definiciones de la política nacional de ciberseguridad, así como los planes y programas de acción específicos para su ejecución y cumplimiento, en general podrá dictar normas técnicas de carácter general y los estándares mínimos de ciberseguridad, además de coordinar e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización de un regulador o fiscalizador sectorial.

La dirección y administración de la Agencia estará a cargo de un Director Nacional, quien será el jefe superior del Servicio. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882.

Esta iniciativa crea el Registro Nacional de Incidentes de Ciberseguridad, el cual será administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter de reservado. En este registro se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Sobre la base de este registro se podrán realizar las respetivas investigaciones por parte de la Agencia, así como comunicar las alertas a CSIRT Sectoriales y a los órganos del Estado y las instituciones que posean infraestructura de la información calificada como crítica, que corresponda al caso. Se mandata que un reglamento expedido por el Ministerio del Interior y Seguridad Pública determine la forma en que se confeccionará el referido registro, su operación y toda otra norma necesaria para su adecuado funcionamiento.

Se crea y regula el Consejo Técnico de la Agencia Nacional de Ciberseguridad, el cual tiene por finalidad asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles medidas para abordarlas. El Consejo estará integrado por el Director Nacional de la Agencia y cuatro consejeros designados por el Presidente de la República, entre personas de destacada labor en el ámbito de la ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes permanecerán en su cargo durante seis años, renovándose en pares cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Esta iniciativa detalla las funciones del Consejo, así como las disposiciones relativas a su funcionamiento del Consejo, las incompatibilidades de los miembros del Consejo, y las causales de cesación del cargo de consejero.

Se crea y regula el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, denominado “CSIRT Nacional”, el cual tendrá entre sus funciones: responder ante incidentes de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica; coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad; servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias; prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad; ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques; consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del Registro Nacional de Incidentes de Ciberseguridad, entre otras.

4. En línea con lo anterior, el título cuarto del presente proyecto de ley regula los Equipos de Respuesta a Incidentes de Seguridad Informáticos Sectoriales “CSIRT Sectoriales” que podrán constituirse por los reguladores o fiscalizadores sectoriales, con el objeto de dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de sus respectivos sectores regulados.

Entre las funciones de los CSIRT Sectoriales se encuentran: responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado y de las instituciones privadas de su sector; coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del Estado y de las instituciones privadas de su sector frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad; prestar colaboración o asesoría técnica en la implementación de políticas y acciones relativas a ciberseguridad a los CSIRT de las instituciones reguladas, entre otras.

En cuanto a la relación entre la Agencia Nacional de Ciberseguridad y los CSIRT Sectoriales se establecen deberes de información. Así, la Agencia informará a cada CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas, y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad. Del mismo modo, cada CSIRT Sectorial deberá informar a su sector regulado de manera anonimizada de los reportes de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas y de los cursos de acción tomada en cada caso.

Por su parte, toda institución que posea infraestructura crítica de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT, los reportes de incidentes de ciberseguridad e informar respecto del plan de acción que adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su ocurrencia.

Los CSIRT Sectoriales deberán informar a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando éste ha tenido un impacto significativo en la seguridad del sistema informático de una institución que posee infraestructura crítica de la información calificada como crítica o en la continuidad de un servicio esencial. Para estos efectos, se considera que un incidente de ciberseguridad tiene impacto significativo, cuando cumple al menos una de las siguientes condiciones: cuando afecta a una gran cantidad de usuarios; cuando la interrupción o mal funcionamiento es de larga duración; cuando afecta a una extensión geográfica considerable; cuando afecta sistemas de información que contengan datos personales; o cuando afecta la integridad física, la salud, o la vida cotidiana de las personas, de manera significativa.

5. Cabe señalar que en el título quinto se crea y se regula el CSIRT de Gobierno y el CSIRT de Defensa. El primero de ellos es responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. El segundo de ellos, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, es responsable de la coordinación y protección de la infraestructura de la información calificada como crítica del Sector Defensa.

6. Cabe señalar que en el título sexto se regula la reserva de la información, la cual se considerará secreta y de circulación restringida para todos los efectos legales de todos aquellos antecedentes, datos, informaciones y registros que obren en poder de los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. La obligación de reserva se extiende a todos quienes sin ser funcionarios de la Agencia Nacional de Ciberseguridad tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

La Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a conocer en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Las infracciones a las obligaciones dispuestas en este título serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, sin perjuicio de la responsabilidad administrativa que procediere.

7. En línea con lo anterior el título séptimo establece las infracciones, regula las multas y el procedimiento sancionatorio, junto con establecer una agravante especial.

8. Cabe destacar que en el título octavo se crea y se regula el Comité Interministerial de Ciberseguridad, encargado de asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales en los términos de esta iniciativa.

Este Comité será presidido por el Subsecretario de Interior y estará integrado por diversos subsecretarios de Estado, además del Director General de la Agencia Nacional de Inteligencia y de Ciberseguridad, y por un experto de notable conocimiento en ciberseguridad.

Los funcionarios que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición. Por lo que, la revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

9. El título noveno contempla una modificación al estatuto Orgánico del Ministerio de Defensa Nacional y finalmente, el título décimo contiene las disposiciones transitorias.

Por lo tanto, habiendo expuesto el contenido de este proyecto de ley, reafirmo la convicción que esta iniciativa será un medio efectivo para modernizar el Estado y brindar mayor seguridad en el ciberespacio a las personas e instituciones públicas y privadas. En definitiva, permitirá conectar Chile al mundo digital, avanzando con solidez hacia el desarrollo y enfrentando con visión de Estado los desafíos del futuro.

En consecuencia, tengo el honor de someter a vuestra consideración, el siguiente

PROYECTO DE LEY:

“TÍTULO I

Disposiciones generales

Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los órganos del Estado así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.

Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Agencia: La Agencia Nacional de Ciberseguridad.

2. Ciberataque: Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.

3. Ciberespacio: Dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Las infraestructuras tecnológicas corresponden a los equipos materiales empleados para la transmisión de las comunicaciones, tales como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos, conductores, entre otros.

Los componentes lógicos de la información, en tanto, son los diferentes softwares que permiten el funcionamiento, administración y uso de la red.

4. Ciberseguridad: el conjunto de acciones destinadas al estudio y manejo de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención, mitigación y respuesta frente a estos, así como para reducir sus efectos y el daño causado, antes, durante y después de su ocurrencia, respecto de los activos informáticos y de servicios.

5. Equipo de respuesta a incidentes de seguridad informática o CSIRT: Centros conformados por especialistas multidisciplinarios capacitados para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad, en forma rápida y efectiva, y que actúan según procedimientos y políticas predefinidas, coadyuvando asimismo a mitigar sus efectos.

6. Estándares Mínimos de Ciberseguridad: Corresponden al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica.

7. Gestión de incidente de Ciberseguridad: Conjunto ordenado de acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

8. Incidente de ciberseguridad: Todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos a través sistemas de telecomunicaciones y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.

9. Infraestructura Crítica de la Información: corresponde a aquellas instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que éste debe proveer o garantizar.

10. Red o sistema de información: Medio en virtud del cual dispositivos, redes o plataformas almacenan, procesan o transmiten datos digitales, ya sea a través de redes de comunicaciones electrónicas, dispositivos o cualquier grupo de redes interconectadas o dispositivos o sistemas de información y plataformas relacionadas entre sí.

11. Regulador o fiscalizador sectorial: Son aquellos servicios públicos dentro de cuyas funciones se encuentra la regulación y/o supervigilancia de uno o más sectores regulados.

12. Resiliencia: Capacidad de las redes o sistemas de información para seguir operando pese a estar sometidos a un incidente de ciberseguridad o ciberataque, aunque sea en un estado degradado, debilitado o segmentado; y, también, la capacidad de restaurar con presteza sus funciones esenciales después de un incidente de ciberseguridad o ciberataque, por lo general con un efecto reconocible mínimo.

13. Riesgo: Toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes o sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto negativo en éstas.

14. Sector regulado: Sector que representa alguna actividad económica estratégica nacional, que se encuentra sometido a la supervigilancia de un regulador o fiscalizador sectorial.

15. Servicios esenciales: Todo servicio respecto del cual la afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente:

a) La vida o integridad física de las personas;

b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones;

c) Al normal funcionamiento de obras públicas fiscales y medios de transporte;

d) A la generalidad de usuarios o clientes de sistemas necesarios para operaciones financieras, bancarias, de medios de pago y/o que permitan la transacción de dinero o valores; y

e) De modo general, el normal desarrollo y bienestar de la población.

16. Sistema informático: Todo dispositivo aislado o el conjunto de ellos, interconectados o relacionados entre sí, incluidos sus soportes lógicos, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

17. Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:

1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las ofrece u opera, con independencia de la naturaleza pública o privada del organismo.

2. Principio de protección integral:se deberán determinar los riesgos potenciales que puedan afectar a las redes o sistemas de información y aplicar las medidas organizativas, de gestión y técnicas apropiadas para la protección de los mismos.

3. Principio de confidencialidad de los sistemas de información: los datos, conectividad y sistemas deberán ser exclusivamente accedidos por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.

4. Principio de integridad de los sistemas informáticos y de la información: los datos y elementos de configuración de un sistema sólo podrán ser modificados por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.

5. Principio de disponibilidad de los sistemas de información: los datos, conectividad y sistemas deben estar accesibles para su uso a demanda.

6. Principio de control de daños: los órganos del Estado y aquellas instituciones privadas que posean infraestructura de la información calificada como crítica, en el caso de un incidente de ciberseguridad o de un ciberataque, deben siempre actuar diligentemente y adoptar las medidas necesarias para evitar la escalada del incidente de ciberseguridad o del ciberataque y su posible propagación a otros sistemas informáticos, notificando de igual forma el incidente de ciberseguridad al CSIRT respectivo.

7. Principio de cooperación con la autoridad: los órganos de la Administración del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad, y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

8. Principio de especialidad en la sanción: en materia sancionatoria, se preferirá la aplicación de la regulación sectorial por sobre la establecida en esta ley.

TÍTULO II

De la determinación de Infraestructura Crítica de la Información

Párrafo 1°

Determinación de la infraestructura crítica de la información

Artículo 4. Calificación de la infraestructura de la información como crítica. Cada dos años, el Ministerio del Interior y Seguridad Pública requerirá al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que detalle cuáles son aquellos sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas; y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

Dentro de los ciento veinte días siguientes a la recepción del informe, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo 5. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley.

Artículo 6. Deberes específicos. Los órganos del Estado señalados en el inciso final del artículo 4º y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un sistema de gestión de riesgo permanente con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema debe contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos una vez al año.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

e) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

Artículo 7. Facultades normativas. Los reguladores o fiscalizadores sectoriales podrán dictar instrucciones, circulares, órdenes, normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares de ciberseguridad respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva, las que deberán considerar, a lo menos, los estándares establecidos por la Agencia Nacional de Ciberseguridad.

TÍTULO III

De la Agencia Nacional de Ciberseguridad

Párrafo 1°

Objeto, naturaleza y atribuciones

Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial, y que posea infraestructura de la información calificada como crítica, según los preceptos de esta ley. Se relacionará con el Presidente de la República por intermedio del Ministerio del Interior y Seguridad Pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras localidades o regiones del país.

Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República, en el análisis y definiciones de la política nacional de ciberseguridad, así como los planes y programas de acción específicos para su ejecución y cumplimiento, así como en temas relativos a estrategias de avance en su implementación.

b) Dictar normas técnicas de carácter general y los estándares mínimos de ciberseguridad e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización de un regulador o fiscalizador sectorial, según corresponda.

c) Proponer al Ministro del Interior y Seguridad Pública las normas legales y reglamentarias que se requieran para asegurar el acceso libre y seguro al ciberespacio así como aquellas que estén dentro del marco de su competencia.

d) Coordinar a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.

e) Administrar el Registro Nacional de Incidentes de Ciberseguridad.

f) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad.

g) Requerir de los CSIRT Sectoriales y del CSIRT Nacional la información que sea necesaria para el cumplimiento de sus fines y que sea de responsabilidad de estas instituciones.

h) Diseñar e implementar planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

i) Suscribir convenios con órganos del Estado e instituciones privadas destinados a facilitar la colaboración y la transferencia de información que permita el cumplimiento de los fines de la Agencia.

j) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, en coordinación con el Ministerio de Relaciones Exteriores, cuando corresponda.

k) Prestar asesoría técnica a los órganos del Estado e instituciones privadas cuya infraestructura de la información haya sido calificada como crítica, que estén o se hayan visto afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o haya afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

l) Colaborar y coordinar con organismos de Inteligencia, para enfrentar amenazas que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.

m) Fiscalizar y sancionar el cumplimiento de esta ley, sus reglamentos y la normativa técnica que se dicte en conformidad con la presente ley, cuando ello no corresponda a un regulador o fiscalizador sectorial, según corresponda.

n) Informar a la Agencia Nacional de Inteligencia sobre riesgos e incidentes de ciberseguridad.

o) Conjuntamente con el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de ciberseguridad local.

p) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°

Dirección, organización y patrimonio

Artículo 10. Dirección de la Agencia. La dirección y administración superior de la Agencia estará a cargo de un Director Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 11. Atribuciones del Director Nacional. Corresponderá especialmente al Director Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en funcionarios de las plantas directiva, profesional o técnica de la Agencia, y

g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.

Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores; y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 14.- Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Estatuto Administrativo.

Artículo 15.- De la estructura interna de la Agencia. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

Párrafo 3°

Registro Nacional de Incidentes de Ciberseguridad

Artículo 16. Del Registro Nacional de Incidentes de Ciberseguridad. Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter de reservado, por exigirlo el debido cumplimiento de las funciones de la Agencia, el debido resguardo de los derechos de las personas y la seguridad de la nación. En este registro se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Sobre la base de este registro se podrán realizar las respetivas investigaciones por parte de la Agencia, así como comunicar las alertas a los CSIRT Sectoriales, a los órganos del Estado señalados en el inciso final del artículo 4º y a las instituciones privadas que posean infraestructura de la información calificada como crítica, que corresponda al caso.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública contendrá las disposiciones necesarias para regular la forma en que se confeccionará el referido registro, la operación del mismo y toda otra norma necesaria para su adecuado funcionamiento.

Párrafo 4°

Consejo Técnico de la Agencia Nacional de Ciberseguridad

Artículo 17. Consejo Técnico de la Agencia Nacional de Ciberseguridad. Créase el Consejo Técnico de la Agencia Nacional de Ciberseguridad, en adelante el “Consejo”, que tendrá como objeto asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y cuatro consejeros designados por el Presidente de la República, mediante decreto supremo expedido a través del Ministerio del Interior y Seguridad Pública, entre personas de destacada labor en el ámbito de la ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes permanecerán en su cargo durante seis años, renovándose en pares cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses y estarán afectos al principio de abstención contenido en el artículo 12 de la ley Nº19.880.

Artículo 18. Funciones del Consejo. Corresponderá al Consejo:

a) Asesorar a la Agencia en materias relacionadas con la ciberseguridad y la protección y aseguramiento de la Infraestructura Crítica de la Información;

b) Elaborar el informe que señala el artículo 4º de esta ley, relativo a la determinación de los sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica;

c) Asesorar en la redacción de propuestas de normas técnicas que la Agencia genere, y;

d) Asesorar a la Agencia en todas aquellas materias que ésta solicite.

Artículo 19. Funcionamiento del Consejo. El Consejo sólo podrá sesionar con la asistencia de, al menos, tres de sus miembros, previa convocatoria del Director de la Agencia. Sin perjuicio de lo anterior, el Presidente del Consejo estará obligado a convocar a una sesión extraordinaria cuando así lo requieran, por escrito, a lo menos tres de sus miembros. En todo caso, el Consejo podrá autoconvocarse en situaciones urgentes o necesarias conforme a la decisión de la mayoría de sus integrantes.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento oportuno y eficiente de sus funciones, debiendo celebrar sesiones ordinarias a lo menos una vez cada dos meses, con un máximo de doce sesiones pagadas por cada año calendario, y sesiones extraordinarias cuando las cite especialmente el Presidente del Consejo, o cuando aquéllas se citen por medio de una autoconvocatoria del Consejo. Podrán celebrarse un máximo de cuatro sesiones extraordinarias pagadas por cada año calendario.

Los acuerdos del Consejo se adoptarán por la mayoría absoluta de los consejeros presentes. El Presidente del Consejo tendrá voto dirimente en caso de empate. De los acuerdos que adopte el Consejo deberá dejarse constancia en el acta de la sesión respectiva. Podrán declararse secretas las actas en que, de conformidad a la ley, se traten materias que afectaren el debido cumplimiento de las funciones de la Agencia, la seguridad de la Nación o el interés nacional.

Cada uno de los integrantes del Consejo, con excepción de su Presidente, percibirá una dieta de quince unidades de fomento por cada sesión a la que asista, con un tope máximo de doce sesiones por año calendario. Esta dieta será compatible con otros ingresos que perciba el consejero.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 20. Incompatibilidades de los miembros del Consejo. No podrán ser designados consejeros las personas que desempeñen empleos o comisiones retribuidos con fondos del Fisco, de las municipalidades, de las entidades fiscales autónomas, semifiscales, de las empresas del Estado o en las que el Fisco tenga aportes de capital, y con toda otra función o comisión de la misma naturaleza. Exceptúese a los empleos docentes y las funciones o comisiones de igual carácter de la enseñanza superior, media o especial.

Artículo 21. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria aceptada por la autoridad que realizó la designación.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Sobreviniencia de alguna causal de incompatibilidad de las contempladas en el artículo 19.

f) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

g) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a dos sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción. Con todo, tratándose del ordinal ii) de dicho literal, será necesario, para cursar la remoción, la presentación de la respectiva querella por el delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 5°

Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 22. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante incidentes de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica, de conformidad a lo prescrito en esta ley.

b) Coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad.

e) Ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

f) Consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del registro previsto en los términos del artículo 16.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

h) Requerir a los CSIRT Sectoriales, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Responder, conjuntamente con uno o más CSIRT Sectoriales, en la gestión de un incidente de ciberseguridad o de un ciberataque, dependiendo de las capacidades y competencias de los órganos del Estado que concurren a su gestión, cuando estos puedan ocasionar un impacto significativo en el sector, institución u órgano del Estado, según corresponda. En estos casos, el CSIRT Nacional podrá recomendar, colaborar, compartir información, coordinar y realizar todas las acciones conjuntas necesarias para asegurar una respuesta rápida frente al incidente. Además, podrá supervisar la implementación de medidas de mitigación de corto plazo, e informarse de las medidas de largo plazo adoptadas.

j) Generar y difundir información mediante campañas públicas y prestar asesoría técnica general a personas naturales o jurídicas, que no se encuentran reguladas por esta ley, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Crear y administrar para el cumplimiento de sus funciones una red electrónica de comunicaciones segura destinada a comunicar y compartir información con los otros CSIRT Sectoriales, de Gobierno y Defensa. El funcionamiento de la red de comunicaciones se establecerá en el reglamento de la presente ley.

TÍTULO IV

De los equipos de respuesta a incidentes de seguridad informática sectoriales

Artículo 23. CSIRT Sectoriales. Los reguladores o fiscalizadores sectoriales podrán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de sus respectivos sectores regulados.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública establecerá las instancias de coordinación entre la Agencia Nacional de Ciberseguridad, los reguladores y fiscalizadores sectoriales, así como de sus respectivos CSIRT, dentro del marco que fija esta ley.

Artículo 24. Funciones de los CSIRT Sectoriales. Corresponderá a los CSIRT Sectoriales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración de Estado y de las instituciones privadas de su sector.

b) Coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del Estado y de las instituciones privadas de su sector frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Prestar colaboración o asesoría técnica en la implementación de políticas y acciones relativas a ciberseguridad a los CSIRT de las instituciones reguladas.

d) Ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

e) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos de la Administración de Estado de su sector y de las instituciones reguladas cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

f) Requerir a los CSIRT de sus instituciones reguladas, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas.

g) Generar y difundir información mediante campañas públicas dentro de su sector.

h) Trabajar conjuntamente con el CSIRT Nacional y con otros sectoriales, cuando corresponda, en la gestión de un incidente de ciberseguridad en los casos y forma previstas en el literal i) del artículo 20 de esta ley.

i) Informar al CSIRT Nacional, de vulnerabilidades, incidentes de ciberseguridad y ciberataques detectados o reportados en su sector, junto a sus respectivos cursos o planes de acción para subsanarlos.

j) Prestar asesoría técnica a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas.

Artículo 25. Deber general de informar. La Agencia informará a cada CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas, y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial informará a los órganos de la Administración de Estado y a las instituciones privadas de su sector que posean infraestructura de la información calificada como crítica sobre vulnerabilidades existentes o detectadas en ella, y elaborará recomendaciones para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial deberá informar a su sector regulado de manera anonimizada de los reportes de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas y de los cursos de acción tomada en cada caso.

Toda institución que posea infraestructura de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT los reportes de incidentes de ciberseguridad e informar respecto del plan de acción que adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su ocurrencia. Lo anterior se entiende sin perjuicio de la facultad del regulador de solicitar el cumplimento de esta obligación en un plazo menor si lo considera necesario.

Artículo 26. Deber especial de información a la Agencia. Los CSIRT Sectoriales deberán informar a la Agencia, a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando éste ha tenido un impacto significativo en la seguridad del sistema informático de una institución que posee infraestructura de la información calificada como crítica o en la continuidad de un servicio esencial.

Se considera que un incidente de ciberseguridad tiene impacto significativo si cumple al menos una de las siguientes condiciones:

a) Afecta a una gran cantidad de usuarios.

b) La interrupción o mal funcionamiento es de larga duración.

c) Afecta a una extensión geográfica considerable.

d) Afecta sistemas de información que contengan datos personales.

e) Afecta la integridad física, la salud, o la vida cotidiana de las personas, de manera significativa.

Corresponderá calificar el impacto significativo a los reguladores o fiscalizadores sectoriales o a la Agencia, según corresponda.

La obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado no deja sin efectos el deber de los CSIRT Sectoriales de notificar a la Agencia de la ocurrencia de un incidente de ciberseguridad en el plazo indicado en el inciso primero.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2 letra f) de la ley N°19.628 sobre Protección de la Vida Privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.

TÍTULO V

De los CSIRT del sector público

Artículo 27. Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno. Créase en la Agencia el Equipo de Respuesta a Incidentes de Seguridad Informática de Gobierno, en adelante CSIRT de Gobierno. El CSIRT de Gobierno para todos los efectos, se clasificará como un CSIRT sectorial, responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. Tendrá las siguientes funciones principales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado.

b) Asegurar la implementación de los protocolos y estándares mínimos de ciberseguridad establecidos por la Agencia, en los órganos de la Administración de Estado.

c) Gestionar los ciberataques, incidentes, y vulnerabilidades detectadas, informando estas situaciones al CSIRT Nacional de acuerdo a las normas que se establezcan para tal efecto.

d) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado.

Artículo 28. Centro Coordinador del Equipo de Respuesta ante Incidentes de Seguridad Informáticos del Sector Defensa. Créase el Centro Coordinador del Equipo de Respuesta ante Incidentes Informáticos del Sector Defensa (CCCD o CSIRT Sectorial de Defensa), dependiente del Ministerio de Defensa Nacional, como el organismo dependiente del Comando Conjunto de Ciberdefensa, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, responsable de la coordinación y protección de la infraestructura de la información calificada como crítica, a su vez de los recursos digitales del sector Defensa, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la Seguridad Nacional.

Para efectos presupuestarios, dependerá del Ministerio de Defensa Nacional y, en lo que le sea aplicable, se regirá por la presente ley y por la reglamentación que dicte al efecto el Ministerio de Defensa.

Sus funciones principales serán las siguientes:

a) Responsable de la coordinación y enlace entre los diferentes CSIRT del sector Defensa (Ejército, Armada, Fuerza Aérea, Estado Mayor Conjunto, Subsecretaría de Defensa, Subsecretaría para las Fuerzas Armadas y otros órganos dependientes de dicho sector), con el objeto de asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de la infraestructura de la información calificada como crítica del sector Defensa.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con el CSIRT Sectorial de Defensa, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

TÍTULO VI

De la reserva de información en el sector público en materia de ciberseguridad

Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales órganos de la Administración del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización su Director Nacional, en las condiciones que éste indique.

Los funcionarios de CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales, que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de riesgos y los registros previstos en el artículo 6º, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres;

iii. Los planes de acción y mitigación de riesgos de ciberseguridad y,

iv. Los reportes de incidentes de ciberseguridad.

Artículo 30. Extensión de la obligación de reserva. La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 31. Deber de reserva de la Agencia. La Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a conocer en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Artículo 32. Sanciones. La infracción a las obligaciones dispuestas en el presente título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII

De las infracciones y sanciones

Artículo 33. De las infracciones. Serán consideradas infracciones para efectos de esta ley:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

b) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

c) Entregar maliciosamente información falsa o manifiestamente errónea, e;

d) Incumplir los deberes previstos en el párrafo 2° del Título II.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción. Para determinar la cuantía de la multa, se entenderá por:

a) Faltas gravísimas: aquellas señaladas en los literales b) y c) del inciso precedente. En este caso, la multa será de hasta a 20.000 Unidades Tributarias Mensuales.

b) Faltas graves: aquellas señaladas en el literal a) del inciso precedente. En este caso, la multa será de hasta 10.000 Unidades Tributarias Mensuales.

c) Faltas leves: aquellas obligaciones señaladas en esta ley cuyo incumplimiento negligente o injustificado no tenga señalada una sanción especial, caso en el que la multa será de 10 a 5.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios de la Administración del Estado o de los órganos del Estado se regirán por su respectivo estatuto sancionatorio.

Artículo 34. Procedimiento. Las sanciones que se cursen con motivo de las infracciones contempladas en el artículo precedente, serán impuestas por resolución del Director de la Agencia, de conformidad a lo dispuesto en esta ley.

El procedimiento sancionatorio deberá fundarse en un procedimiento racional y justo, que será establecido en un reglamento dictado por el Ministerio del Interior y Seguridad Pública y deberá, al menos, establecer:

a) El procedimiento para designar al funcionario de la Agencia que llevará adelante el procedimiento;

b) El contenido de la formulación de cargos, la cual deberá señalar circunstanciadamente los hechos constitutivos de infracción, las normas legales que fueron infringidas y la gravedad de la infracción;

c) El plazo para formular descargos, el cual no podrá ser inferior a 15 días hábiles;

d) Un periodo para rendir y observar la prueba, el cual no podrá ser inferior a 10 días hábiles, pudiendo aportar las partes los medios de prueba que estimen pertinentes;

e) La forma y contenido de la resolución que absuelve o condena, la cual deberá contener la exposición de los hechos, el razonamiento que permite arribar a la resolución y la decisión que acoge o desecha los cargos formulados.

Tratándose de sectores regulados, las sanciones serán impuestas por los reguladores o fiscalizadores sectoriales y el procedimiento corresponderá al determinado por la normativa sectorial respectiva.

Artículo 35. Agravante especial. Si como consecuencia de la perpetración de un delito resultare la destrucción, inutilización o alteración grave del funcionamiento de infraestructura crítica de la información, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos soportados por infraestructura de la información calificada como crítica o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de un sistema informático que formare parte de la Infraestructura Crítica de la Información.

TÍTULO VIII

Del Comité Interministerial de Ciberseguridad

Artículo 36. Comité Interministerial de Ciberseguridad. Créase el Comité Interministerial de Ciberseguridad, en adelante el Comité, cuya función será asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales.

Artículo 37. De los integrantes del Comité. El Comité será presidido por el Subsecretario del Interior y estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario de Defensa o quien éste designe;

b) Por el Subsecretario de Relaciones Exteriores o quien éste designe;

c) Por el Subsecretario de Justicia o quien éste designe;

d) Por el Subsecretario General de la Presidencia o quien éste designe;

e) Por el Subsecretario de Telecomunicaciones o quien éste designe;

f) Por el Subsecretario de Economía y Empresas de Menor Tamaño o quien éste designe;

g) Por el Subsecretario de Hacienda o quien éste designe;

h) Por el Subsecretario de Minería o quien éste designe;

i) Por el Subsecretario de Energía o quien éste designe;

j) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe;

k) Por el Director Nacional de la Agencia Nacional de Inteligencia;

l) Por el Director Nacional de la Agencia Nacional de Ciberseguridad;

m) Por un representante de la Subsecretaría del Interior, experto en materias de ciberseguridad.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 38. De la secretaría ejecutiva. El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

El Director Nacional de la Agencia dirigirá la Secretaría Ejecutiva y le corresponderá, entre otras funciones, despachar las convocatorias, según le instruya el Subsecretario del Interior; coordinar y registrar las sesiones del Comité e implementar los acuerdos que se adopten.

Artículo 39. De la información reservada. Constituido el Comité en sesión secreta, los funcionarios que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 40. Del reglamento. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

TÍTULO IX

De las modificaciones a otros cuerpos legales

Artículo 41. Incorpórase al siguiente literal k), nuevo, en el artículo 25 de la ley Nº 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional:

“k) Conducir el Centro Coordinador CSIRT del Sector Defensa en coordinación con la Subsecretaría de Defensa.”.

TÍTULO X

Disposiciones transitorias

Artículo Primero Transitorio.- Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley, expedidos por intermedio del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Fijar la planta de personal de la Agencia Nacional de Ciberseguridad.

En el ejercicio de esta facultad, el Presidente de la República deberá dictar todas las normas necesarias para la adecuada estructuración y operación de la planta de personal que fije, así como el número de cargos para cada planta, los requisitos específicos para el ingreso y promoción de dichos cargos, sus denominaciones y niveles jerárquicos para efectos de la aplicación de lo dispuesto en el Título VI de la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, y en el artículo 8º del decreto con fuerza de ley Nº 29, de 2004, del Ministerio de Hacienda. Igualmente, fijará su sistema de remuneraciones y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

Además, podrá establecer las normas para el encasillamiento del personal en la planta que fije, las que podrá incluir a los funcionarios que se traspasen desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

2. Determinar la fecha para la entrada en vigencia de las plantas que fije, del traspaso y del encasillamiento que se practique. Además, fijará la fecha en que la Agencia entrará en funcionamiento, pudiendo contemplar un período para su implementación.

3. Determinar la dotación máxima de personal de la Agencia Nacional de Ciberseguridad, a cuyo respecto no regirá la limitación establecida en el inciso segundo del artículo 10 de la ley Nº 18.834.

4. Disponer, sin solución de continuidad, el traspaso de los funcionarios titulares de planta y a contrata, desde la Subsecretaría del Interior.

En el respectivo decreto con fuerza de ley que fije la planta de personal, se determinará la forma en que se realizará el traspaso y el número de funcionarios que serán traspasados por estamento y calidad jurídica, pudiéndose establecer, además, el plazo en que se llevará a cabo este proceso, quienes mantendrán, al menos, el mismo grado que tenía a la fecha del traspaso. A contar de la fecha del traspaso, el cargo del que era titular el funcionario traspasado se entenderá suprimido de pleno derecho en la planta de la institución de origen. Del mismo modo, la dotación máxima de personal se disminuirá en el número de funcionarios traspasados.

La individualización del personal traspasado se realizará a través de decretos expedidos bajo la fórmula "Por orden del Presidente de la República", por intermedio del Ministerio del Interior y Seguridad Pública. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho.

5. Los requisitos para el desempeño de los cargos que se establezcan en el ejercicio de la facultad prevista en este artículo no serán exigibles para efectos del encasillamiento respecto de los funcionarios titulares y a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley. Asimismo, a los funcionarios o funcionarias a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley, y a aquellos cuyos contratos se prorroguen en las mismas condiciones, no les serán exigibles los requisitos que se establezcan en los decretos con fuerza de ley correspondientes.

El uso de las facultades señaladas en este artículo quedará sujeto a las siguientes restricciones, respecto del personal al que afecte:

a) No podrá tener como consecuencia ni podrán ser considerados como causal de término de servicios, supresión de cargos, cese de funciones o término de la relación laboral del personal traspasado.

b) No podrá significar pérdida del empleo, disminución de remuneraciones respecto del personal titular de un cargo de planta, modificación de los derechos estatutarios y previsionales del personal traspasado. Tampoco importará cambio de la residencia habitual de los funcionarios fuera de la Región en que estén prestando servicios, a menos que se lleve a cabo con su consentimiento.

c) Respecto del personal que en el momento del encasillamiento sea titular de un cargo de planta, cualquier diferencia de remuneraciones se pagará mediante una planilla suplementaria, la que se absorberá por los futuros mejoramientos de remuneraciones que correspondan a los funcionarios, excepto los derivados de reajustes generales que se otorguen a los trabajadores del sector público. Dicha planilla mantendrá la misma imponibilidad que aquella de las remuneraciones que compensa. Además, a la planilla suplementaria se le aplicará el reajuste general antes indicado.

d) Los funcionarios traspasados conservarán la asignación de antigüedad que tengan reconocida, así como también el tiempo computable para dicho reconocimiento.

6.Podrá disponer el traspaso, en lo que corresponda, de los bienes que determine, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo Segundo Transitorio.- El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese solo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal.

Artículo Tercero Transitorio.- El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo Cuarto Transitorio.- Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo Quinto Transitorio.- En el tiempo intermedio en que los ministerios, subsecretarías, superintendencias y demás órganos de la Administración del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de éstos, de conformidad a lo dispuesto en el artículo 22, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

Artículo Sexto Transitorio.- Para los efectos de la renovación parcial de los miembros del Consejo Técnico de la Agencia a que se refiere el inciso segundo del artículo 17, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Dos consejeros durarán en sus cargos por un plazo de dos tres años;

b) Dos consejeros durarán en sus cargos por un plazo de seis años.

Artículo Séptimo Transitorio.- El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas leyes de Presupuestos del Sector Público.”.

Dios guarde a V.E.

SEBASTIÁN PIÑERA ECHENIQUE

Presidente de la República

RODRIGO DELGADO MOCARQUER

Ministro del Interior y Seguridad Pública

CAROLINA VALDIVIA TORRES

Ministro de Relaciones Exteriores (S)

BALDO PROKURICA PROKURICA

Ministro de Defensa Nacional

RODRIGO CERDA NORAMBUENA

Ministro de Hacienda

JUAN JOSÉ OSSA SANTA CRUZ

Ministro Secretario General de la Presidencia

LUCAS PALACIOS COVARRUBIAS

Ministro de Economía, Fomento y Turismo

HERNÁN LARRAÍN FERNÁNDEZ

Ministro de Justicia y Derechos Humanos

JUAN CARLOS JOBET ELUCHANS

Ministro de Minería

GLORIA HUTT HESSE

Ministra de Transportes y Telecomunicaciones

JUAN CARLOS JOBET ELUCHANS

Ministro de Energía

ANDRÉS COUVE CORREA

Ministro de Ciencia, Tecnología Conocimiento e Innovación

INFORME FINANCIERO

INFORME DE LA COMISIÓN DE DEFENSA NACIONAL recaído en el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. BOLETÍN N° 14.847-06.

Objetivos / Constancias / Normas de Quórum Especial / Consulta Excma. Corte Suprema (no hubo) / Asistencia / Antecedentes de Hecho / Aspectos Centrales del Debate / Discusión en General / Votación en General / Texto / Acordado / Resumen Ejecutivo.

HONORABLE SENADO:

La Comisión de Defensa Nacional tiene el honor de informar respecto del proyecto de ley individualizado en el epígrafe, iniciado en Mensaje de S.E. el ex Presidente de la República, señor Sebastián Piñera Echenique.

Esta proposición legal debe ser conocida, enseguida, por la Comisión de Seguridad Pública. Posteriormente, durante el segundo trámite reglamentario, deberá ser analizada por la Comisión de Hacienda, en su caso, según la tramitación acordada por la Sala.

Se hace presente que, de conformidad a lo dispuesto en el artículo 36 del Reglamento de la Corporación, la Comisión discutió solo en general esta iniciativa de ley, la que resultó aprobada por la unanimidad de sus miembros (5X0).

- - -

OBJETIVOS DEL PROYECTO

Establecer la institucionalidad necesaria para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

- - -

CONSTANCIAS

- Normas de quórum especial: sí tiene.

- Consulta a la Excma. Corte Suprema: no hubo.

- - -

- - -

NORMAS DE QUÓRUM ESPECIAL

A. Normas orgánicas constitucionales, según el artículo 38 de la Constitución Política de la República, en relación con el artículo 66, inciso segundo, del mismo Texto Supremo:

- Artículos 8; 9 letras a), b), d), h), l) y m); 10; 13; 17; 22; 23; 24 letra b); 27; 28; 34; 36; 37; 38 y 41, permanentes.

- Artículos segundo; quinto y sexto de las disposiciones transitorias.

B. Normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, y 66, inciso tercero, ambos de la Carta Fundamental:

- Artículos 16; 29; 30; 31 y 39, permanentes.

- - -

ASISTENCIA

- Senadores y Diputados no integrantes de la Comisión: Honorable Senadora señora Ximena Órdenes.

- Representantes del Ejecutivo e invitados: del Ministerio del Interior y Seguridad Pública: la exministra, señora Izkia Siches.

De la Subsecretaría de Defensa: el exsubsecretario, señor Fernando Ayala.

De la Subsecretaría de Telecomunicaciones: el Subsecretario, señor Claudio Araya.

De Carabineros de Chile: el General Subdirector, General Inspector, señor Esteban Díaz.

De la Policía de Investigaciones de Chile: el Jefe Nacional de Gestión Estratégica, Prefecto, señor Erick Menay.

El exsubsecretario de Telecomunicaciones, señor Jorge Atton.

El exsubsecretario de Telecomunicaciones y docente del Centro de Investigación en Ciberseguridad de la Universidad Mayor, señor Pedro Huichalaf.

De la Cámara Chilena de Infraestructura Digital: la Directora Ejecutiva, señora Corina Gómez.

El profesor de Derecho Informático de la Pontificia Universidad Católica de Valparaíso, señor Renato Jijena.

La profesora de la Universidad Adolfo Ibáñez, señora Romina Garrido.

El profesor de la Universidad del Desarrollo, señor Juan Pablo González.

El experto internacional en seguridad cibernética, señor Israel Reyes.

Del Comité Chileno del Consejo Internacional de Grandes Redes Eléctricas: el Coordinador de Ciberseguridad en Sistemas Eléctricos, señor Eduardo Morales.

De la Fundación País Digital: el Presidente, señor Pelayo Covarrubias.

- Otros: del Ministerio del Interior y Seguridad Pública: la ex Jefa de Gabinete de la exministra, señora Ana Lya Uriarte; la ex Jefa de Comunicaciones, señora Vanessa Azócar; la asesora legislativa, señora Leslie Sánchez, y el ex asesor legislativo, señor Tomás Razazi.

De la Subsecretaría de Defensa: el Jefe de la División de Desarrollo Tecnológico e Industria, señor Yerko Benavides, y el exasesor, señor Gonzalo Díaz de Valdés.

De Carabineros de Chile: el Jefe de Gabinete Técnico de la Subdirección General, Coronel, señor Jorge Montre; el Director de la Dirección de Tecnología, Información y Comunicaciones, Coronel, señor Enrique Villarroel, y el encargado de ciberseguridad, señor Jonathan Ponce.

De la Policía de Investigaciones de Chile: el Jefe de la Brigada Congreso Nacional, Subprefecto, señor Rodrigo Carreño, y la ayudante de la Jefatura Nacional de Gestión Estratégica, Comisario, señora Paulina González.

- Asesores parlamentarios: del Honorable Senador señor Araya, señor Pedro Lezaeta; del Honorable Senador señor Macaya, señor Carlos Oyarzún; del Honorable Senador señor Pugh, señores Pascal de Smet d´Olbecke y Michael Heavey, y del Comité Unión Demócrata Independiente, señora María Teresa Urrutia.

- - -

- - -

ANTECEDENTES DE HECHO

Para el debido estudio de este proyecto de ley, se ha tenido en consideración el mensaje de Su Excelencia el ex Presidente de la República, don Sebastián Piñera Echenique.

I. Antecedentes

El mensaje que da origen a esta iniciativa pone de relieve que las tecnologías emergentes de la sociedad digital han generado un cambio cultural amplio, el que se ha acelerado y ahondado en el contexto de diversas medidas sanitarias -como el confinamiento-, producto de la pandemia del COVID-19. Así, previene, se ha alterado la forma de ser y estar en el mundo.

En este escenario, asegura que ha sido indispensable que el Estado profundice su transformación digital. Esta, recuerda, comenzó con la publicación de la ley Nº 21.180, el año 2019, y ha continuado con el decreto supremo Nº 4, del Ministerio Secretaría General de la Presidencia, promulgado en 2020 y publicado en 2021, el cual contiene el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en el texto legal anteriormente mencionado. Señala que reflejo de ello es, asimismo, el decreto con fuerza de ley N° 1, del Ministerio Secretaría General de la Presidencia, de igual fecha, que establece normas de aplicación del artículo 1° de la ley N° 21.180, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley a los órganos de la Administración del Estado que indica y las materias que les resulten aplicables.

Esta modernización, sostiene, es una tarea incesante y permanente, enmarcada dentro del principio consagrado en el artículo 1° de la Carta Fundamental, conforme al cual el Estado está al servicio de las personas. Asevera que los pasos encaminados a robustecer el acceso a diversos servicios públicos mediante canales digitales deben ir acompañados de garantías para que dichas prestaciones sean entregadas con los resguardos y estándares de seguridad necesarios.

De este modo, observa, se transita decididamente hacia un Estado que sea más integrador, ágil, innovador y efectivo en cumplir su función de servir al bien común; para mejorar la calidad de vida de sus habitantes; modernizar la función pública y potenciar el desarrollo económico, productivo, industrial y de servicios, fortaleciendo la integridad, la disponibilidad de la información en el ciberespacio, y la confidencialidad y seguridad en el tratamiento de los datos de los ciudadanos.

Manifestaciones concretas de lo anterior, precisa, se encuentran en numerosas plataformas que proveen acceso a trámites que tradicionalmente debían realizarse de forma presencial, como la Comisaría Virtual o las solicitudes de beneficios estatales por medio de la Clave Única.

Sin embargo, advierte que esta evolución implica enfrentar desafíos en distintos ámbitos, como los relativos al área de la tecnología y aquellos referidos a habilidades relacionales y al analfabetismo digital, pero, además, subraya, obliga a afrontar retos en materia de ciberseguridad, lo que requiere convergencia, coordinación y articulación público-privada para la gestión de alertas preventivas y de incidentes de dicha índole.

Para el adecuado funcionamiento de la seguridad informática en el país, afirma, es imprescindible administrar los riesgos y poner en marcha los más exigentes estándares que otorguen confianza y certeza, tanto en las instituciones públicas como privadas. Para esto, acota, se requiere planificación, implementación, seguimiento y evaluación constante en el desarrollo de la ciberseguridad, con un marco integrado que considere una nueva visión de lo multisectorial y transectorial, enfatizando el trabajo conjunto de los sectores mencionados, para beneficio mutuo y general.

Esta mirada, declara, prioriza la colaboración y la coordinación, permitiendo la labor mancomunada de todos los actores, tanto locales como globales, valorando el importante rol de la ciencia, la tecnología y la investigación en la ciberseguridad.

El vertiginoso desarrollo de la sociedad digital, hace ver, conlleva un mayor riesgo de vulnerabilidad en todas las estructuras, pero especialmente en aquellos sectores estratégicos donde existe infraestructura crítica de la información.

Por este motivo, explica, el proyecto establece el marco regulatorio para el desarrollo robusto de la seguridad informática, tanto en su dimensión operativa como regulatoria.

II. Fundamentos

1. Relevancia de la ciberseguridad

El mensaje destaca que la ciberseguridad es un tema recurrente en la discusión pública. Ello, ahonda, porque en una sociedad que transita desde los soportes físicos hacia la infraestructura de la información, el permanente peligro de incidentes y ciberataques comienza a formar parte de los elementos que deben considerarse. En este sentido, sentencia, la gestión del riesgo y el control de la vulnerabilidad son elementos de suyo relevantes.

Recalca que la seguridad es clave en el período de adaptabilidad para la aplicación y el desarrollo de tecnologías, como la inteligencia artificial, en los diversos procesos socio-relacionales, en la generación de servicios y las cadenas productivas. Sin embargo, connota, toda esa potencialidad se puede transformar en amenaza si no se adoptan los estándares de una cultura de ciberseguridad, con enfoque colaborativo y sistémico.

En ese marco, apunta que la Administración del ex Presidente de la República, señor Sebastián Piñera, asumió el compromiso de abordar esta temática en su programa de Gobierno para embarcar al país en la revolución tecnológica, y estableció dentro de sus objetivos la creación de condiciones para que Chile pueda insertarse, exitosamente y de manera protagónica, en la cuarta revolución industrial. Con tal objetivo, detalla, se propuso adaptar las regulaciones a los desafíos impuestos, contemplando el desarrollo de políticas de ciberseguridad. De esta forma, con el proyecto de ley se procura llevar adelante esas políticas y, al mismo tiempo, dar cumplimiento a las medidas que dispone la Política Nacional de Ciberseguridad.

2. Relevancia de la institucionalidad en materia de ciberseguridad

Con posterioridad, el ex Primer Mandatario pone de manifiesto que Chile precisa con urgencia una institucionalidad en ciberseguridad para coordinar esfuerzos que permitan enfrentar nuevos retos, atendido el uso masivo y extensivo de las tecnologías. Alerta que este es un problema de creciente importancia que se mantendrá y agudizará en el futuro, debido al acelerado despliegue de infraestructura digital.

Profundizando en el punto, expresa que el país requiere un órgano encargado de la seguridad en el ciberespacio, que proteja los bienes y activos de la sociedad digital. Sobre el particular, puntualiza que en los sectores productivos del mundo privado se concentra una gran cantidad de iniciativas digitales y virtuales, que se constituyen en las nuevas infraestructuras críticas de la información.

En este contexto, insiste, el país demanda una institucionalidad pública coordinadora, capaz de prevenir los delitos informáticos y proteger los activos referidos.

Adicionalmente, prosigue, se necesita una gobernanza clara y una orgánica definida en sus roles, con amplias competencias, tecnológicamente robusta, confiable, de interacción nacional y global, altamente profesional, eficiente en su gestión y experimentada.

III. Objetivo del proyecto de ley

Expone que la iniciativa de ley tiene como propósito establecer la institucionalidad para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias y resguardar la seguridad de las personas en el ciberespacio.

En virtud de lo anterior, nota, a través de esta proposición legal:

- Se protegerá al Estado, sus redes y los sistemas informáticos e infraestructura de la información del sector público, especialmente aquellas que son esenciales y críticas para los ciudadanos;

- Se resguardará la Seguridad Nacional;

- Se prevendrán ciberamenazas, al mejorar las instancias de comunicación, coordinación y colaboración entre diversas instituciones, organizaciones y empresas, tanto del sector público como privado, nacionales e internacionales, con el propósito de fortalecer la confianza y entregar una respuesta común a los riesgos que se originan en el ciberespacio, y

- Se gestionarán los peligros del espacio virtual, lo que permitirá identificar las vulnerabilidades, amenazas y riesgos en el uso, procesamiento, almacenamiento y transmisión de la información. Para ello, especifica, se procurará generar las capacidades para la prevención, mitigación y efectiva y pronta recuperación ante incidentes que afecten a instituciones que posean infraestructura crítica de la información.

IV. Contenido del proyecto de ley

Luego, describe que la iniciativa de ley se estructura en base a diez títulos, con cuarenta y un artículos permanentes y siete disposiciones transitorias.

Comunica que el ámbito de aplicación de la proposición legal serán los órganos de la Administración del Estado; los demás de carácter público, y las instituciones privadas que posean infraestructura crítica de la información. Añade que esta propuesta de ley establece un marco normativo en materia de ciberseguridad, responsabilidades y deberes asociados para las entidades referidas, considerando requisitos mínimos para la prevención y resolución de incidentes de ciberseguridad y contingencias. En particular, ahonda, consagra lo siguiente:

1. Título I

Contiene las disposiciones generales, definiendo el objeto del proyecto y fijando ciertas definiciones y principios rectores, entendiendo estos últimos como aquellos criterios normativos de aplicación general que cumplen, además, una función integradora e interpretativa, determinando el sentido y alcance del texto en su conjunto.

2. Título II

Se divide en dos párrafos, los cuales consagran la forma de especificación de la infraestructura crítica de la información y las obligaciones de las instituciones que la posean.

Para considerar como crítica una infraestructura de la información, se contemplan diversos factores que posibilitarán realizar dicha calificación, tales como el impacto de una posible interrupción o mal funcionamiento de los componentes; la capacidad del sistema informático para ser sustituido o reparado en un corto tiempo; las pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB), y la afectación relevante del funcionamiento del Estado y sus órganos.

Pormenoriza que el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo, señalará aquellos sectores o instituciones que constituyen servicios esenciales, según lo dispuesto en esta iniciativa y que, por lo tanto, tienen este tipo de activos.

Además, se dispone que se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Adicionalmente, da a conocer, se regulan los deberes generales de los órganos del Estado cuya infraestructura de la información sea calificada como tal.

Por último, indica que este título prescribe las facultades normativas de los fiscalizadores sectoriales, brindándoles la facultad para dictar instrucciones, circulares, órdenes, normas técnicas y de carácter general, las que deberán tener a la vista los estándares establecidos por la Agencia Nacional de Ciberseguridad.

3. Título III

El ex Primer Mandatario hace saber que esta parte de la propuesta legal crea y regula la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto es asesorar al Presidente de la República en asuntos propios de ciberseguridad; colaborar en la protección de los intereses nacionales en el ciberespacio; coordinar el actuar de las instituciones con competencia en la materia, y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un fiscalizador sectorial.

Agrega que la Agencia se relacionará con el Jefe de Estado por intermedio del Ministerio del Interior y Seguridad Pública, y que tendrá su domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras regiones del país.

Entre las atribuciones de la Agencia Nacional de Ciberseguridad, adelanta, destacan: asesorar al Presidente de la República en el análisis y definiciones de la política nacional de ciberseguridad, así como en los planes y programas de acción específicos para su ejecución y cumplimiento. Además, podrá dictar normas técnicas de carácter general y estándares mínimos de ciberseguridad, y coordinar e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización sectorial.

Hace presente que la dirección y administración de la Agencia estará a cargo de un Director Nacional, quien será el jefe superior del servicio, y que esta institución estará afecta al Sistema de Alta Dirección Pública.

Por otro lado, informa que la iniciativa crea el Registro Nacional de Incidentes de Ciberseguridad, de carácter reservado. Puntualiza que en él se ingresarán los datos técnicos y antecedentes para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Previene que sobre la base de este inventario se podrán efectuar las respetivas investigaciones, así como comunicar las alertas a CSIRT Sectoriales, a los órganos del Estado y a las instituciones que posean infraestructura de la información calificada como crítica.

A continuación, señala que este título crea y regula el Consejo Técnico de la Agencia Nacional de Ciberseguridad, el cual tiene por finalidad asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia; en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer posibles medidas para abordarlas.

Pone de relieve que también se establece el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, denominado “CSIRT Nacional”, el cual tendrá entre sus funciones responder ante casos de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un fiscalizador sectorial y que posean infraestructura crítica de la información; coordinar a los CSIRT Sectoriales y prestarles colaboración técnica; servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, y consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del Registro Nacional de Incidentes de Ciberseguridad, entre otras.

4. Título IV

El mensaje manifiesta que en este título se regulan los Equipos de Respuesta a Incidentes de Seguridad Informáticos Sectoriales “CSIRT Sectoriales” que podrán constituirse por los reguladores o fiscalizadores sectoriales, con el objeto de dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información.

En cuanto a la relación entre la Agencia Nacional de Ciberseguridad y los CSIRT Sectoriales, asegura, se contemplan deberes de información. Así, la Agencia dará a conocer a cada CSIRT Sectorial los reportes o alarmas de incidentes y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad. Del mismo modo, prosigue, cada CSIRT Sectorial deberá avisar a su sector regulado de manera anonimizada los reportes de incidentes de ciberseguridad, vulnerabilidades existentes y de los cursos de acción tomados en cada caso.

A su vez, subraya, toda institución que posea infraestructura de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT los reportes de incidentes de ciberseguridad y el plan de acción que adoptó en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo período, contado desde que se tuvo conocimiento de su ocurrencia.

Menciona que los CSIRT Sectoriales deberán comunicar a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando este ha tenido un impacto significativo en el sistema de una institución que tiene infraestructura de la información calificada como crítica o en la continuidad de un servicio esencial. Clarifica que para estos efectos, se considera que un incidente de ciberseguridad tiene impacto significativo, cuando cumple al menos una de las siguientes condiciones: 1) afecta a una gran cantidad de usuarios; 2) supone la interrupción o mal funcionamiento de larga duración; 3) abarca una extensión geográfica considerable; 4) incide en sistemas de información que contengan datos personales o, 5) repercute, significativamente, en la integridad física, la salud o la vida cotidiana de las personas.

5. Título V

Esta parte de la iniciativa de ley crea y regula el CSIRT de Gobierno y el CSIRT de Defensa, siendo el primero el responsable de la prevención, contención, protección, detección y recuperación de los sistemas y respuesta asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. El segundo, en tanto, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, es el órgano responsable de la coordinación y protección de la infraestructura de la información calificada como crítica de dicho sector.

6. Título VI

Conforme a lo prescrito en el mensaje, este título norma la reserva de la información, la que se considerará secreta y de circulación restringida para todos los efectos legales respecto de aquellos antecedentes, datos, informaciones y registros que obren en poder de los CSIRT o de su personal. La obligación de reserva se extiende a todos quienes, sin ser funcionarios de la Agencia Nacional de Ciberseguridad, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Consigna, además, que la Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a saber en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas.

Adelanta que las infracciones a las obligaciones dispuestas en este título serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, sin perjuicio de la responsabilidad administrativa que procediere.

7. Título VII

El ex Primer Mandatario relata que este título establece las infracciones, las multas y el procedimiento sancionatorio.

8. Título VIII

Crea y regula el Comité Interministerial de Ciberseguridad, encargado de asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales en los términos de esta iniciativa.

Acota que el referido Comité será presidido por el Subsecretario de Interior y estará integrado por diversos subsecretarios de Estado, además del Director General de la Agencia Nacional de Inteligencia y de Ciberseguridad y de un experto de notable conocimiento en la materia.

Plantea que los funcionarios que estén en conocimiento de información reservada que sea atingente a los fines del Comité podrán compartirla para su análisis, y que no se podrá levantar acta mientras se encuentre en tal condición. Su revelación será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

9. Título IX

Anuncia que este título modifica el estatuto Orgánico del Ministerio de Defensa Nacional

10. Título X

Contiene las disposiciones transitorias.

Para concluir, el ex Primer Mandatario reafirma su convicción en cuanto a que esta proposición legal será un medio efectivo para modernizar el país y brindar mayor seguridad en el ciberespacio a las personas e instituciones públicas y privadas, permitiendo conectar Chile al mundo digital y avanzar con solidez hacia el desarrollo, además de enfrentar con visión de Estado los desafíos del futuro.

- - -

ASPECTOS CENTRALES DEL DEBATE

La era digital ha generado cambios significativos a nivel mundial y nacional, los que se han incrementado durante la pandemia provocada por el COVID-19.

Chile destaca como uno de los países con mayor crecimiento en uniones fijas a fibra óptica. Actualmente, el 83% de los habitantes tiene acceso a internet y se registran más de 26 millones de conexiones a la red informática descentralizada mediante smartphones, lo que representa un 136% de la población total.

El Estado, por su parte, también ha avanzado en su transformación digital, luego de la publicación de la ley Nº 21.180, el año 2019, lo que ha permitido que, hoy, el 74% de los trámites de la administración central esté disponible en línea.

Si bien los avances indicados han traído múltiples beneficios para el país, también suponen nuevos riesgos y amenazas para la seguridad de la gente y de las instituciones. De hecho, el año 2021, Chile recibió cuatro veces más ataques cibernéticos que en 2020, llegando a las 9.400.000.000. Ello, porque el mayor número de superficie incrementa las posibilidades de accesos indebidos.

En el último tiempo, diversos e importantes organismos han sido objeto de incidentes cibernéticos; entre ellos figuran el Banco Central, la plataforma virtual de Carabineros de Chile, el Servicio Nacional del Consumidor, el Estado Mayor Conjunto y el Poder Judicial.

Estas amenazas han sido posible porque el crecimiento exponencial en conectividad no ha ido acompañado de las medidas de seguridad cibernética requeridas y porque los antivirus han devenido en mecanismos obsoletos.

Una de las herramientas existentes es la Política Nacional de Ciberseguridad, del año 2017, que fija los lineamientos para el resguardo de la seguridad de las personas y de sus derechos, por medio del establecimiento de cinco objetivos estratégicos y un conjunto de medidas para lograr un ciberespacio libre, abierto, seguro y resiliente. Entre estas últimas se encuentra la elaboración y presentación al Congreso Nacional de un proyecto de ley sobre ciberseguridad que consolide la institucionalidad y regule la gestión de incidentes de seguridad informática en el país.

De esta manera, en el marco referido, surge esta iniciativa legal que apunta a robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

Si bien el vertiginoso desarrollo de la sociedad digital conlleva un mayor riesgo de vulnerabilidad en todas las estructuras, especial atención debe ponerse en aquellos sectores estratégicos que poseen infraestructura crítica de la información.

La Comisión dedicó ocho sesiones al estudio de esta proposición legal, recibiendo en audiencia a representantes del Ejecutivo; a las Fuerzas de Orden y Seguridad Pública; a exsubsecretarios de Telecomunicaciones; a académicos expertos en la materia y a agentes de diversas asociaciones vinculadas a la ciberseguridad.

Durante su análisis, miembros de esta instancia legislativa coincidieron en que el proyecto debatido es urgente y relevante para el país, destacando entre sus fortalezas las siguientes:

1) Crea una nueva institucionalidad; coordina acciones y estandariza la regulación, lo que es indispensable y permite adecuar la legislación chilena;

2) Define y establece con claridad la infraestructura crítica de información, así como los principios, responsabilidades y deberes para quienes la poseen;

3) Consagra las instituciones y sectores que tienen servicios esenciales;

4) Fija facultades regulatorias y fiscalizadoras, con atribuciones específicas, generando un Registro Nacional de Incidentes;

5) Contempla infracciones, multas y un procedimiento sancionatorio;

6) Brinda la posibilidad de lograr coherencia sistémica regulatoria entre las diversas normas vinculadas a la materia;

7) Reconoce legalmente unidades que ya existen por decreto en el aparato del Estado, como el Comité Interministerial de Ciberseguridad y el CSIRT del Ministerio del Interior y Seguridad Pública, y

8) Resguarda la seguridad de las personas en el espacio virtual.

Las falencias advertidas, en tanto, fueron los que se expresan a continuación:

1) Naturaleza jurídica del órgano encargado de la ciberseguridad. En este punto, se estimó esencial erradicar posibles problemas de vinculación con las Secretarías de Estado, particularmente con el Ministerio de Defensa Nacional, cuyas competencias dicen relación con todo la seguridad nacional y la soberanía del país;

2) Funciones conferidas a la Agencia Nacional de Ciberseguridad y a su Director Nacional, toda vez que conforme al texto del mensaje, aparece como una institución con atribuciones menores, carente de otras esenciales, como las de coordinación, especialmente respecto del sector privado;

3) Estatuto laboral al que quedarán sometidos los funcionarios del órgano encargado de la ciberseguridad. La contratación de hackers y otras personas talentosas dentro del servicio señalado serán fundamentales para el éxito de su labor, además de impedir su reclusión por bandas criminales. Por ello, se hizo ver la necesidad de considerar un sistema de contratación más flexible que el previsto en el Estatuto Administrativo;

4) Sujeción del cargo de Director Nacional de la Agencia Nacional de Ciberseguridad al Sistema de Alta Dirección Pública. Algunos parlamentarios opinaron que éste debía ser de exclusiva confianza del Presidente de la República;

5) Delimitación de la calidad de la infraestructura crítica. El texto presentado a tramitación dispone que el Ministerio del Interior y Seguridad Pública será el encargado de señalar aquellos sectores o instituciones que la poseen. En algunos países -como Estados Unidos de América y Uruguay- el asunto queda al alero del Ministerio de Defensa Nacional, en atención a que los ataques no solo pueden provenir de hechos internos, sino también externos, razón que amerita su participación.

Adicionalmente, se alertó que el proyecto prescribe que cada dos años el Ministerio del Interior y Seguridad Pública establecerá las infraestructuras críticas, lo que implicará dejar sin protección a otras nuevas que pudieran crearse en el tiempo intermedio.

Asimismo, se previno que no solo hay infraestructuras críticas, sino también procesos de tal carácter que merecen ser protegidos, ejemplo de ellos es el acto eleccionario del pasado 4 de septiembre.

6) Omisión en señalar cuál es el primer organismo competente para enfrentar los ataques. Al respecto, los legisladores se mostraron proclives a que este llamado recaiga en la institución afectada, dado que la ciberseguridad sobrepasa la capacidad de administración del Estado;

7) No se reconoce a las catástrofes naturales como amenazas a la seguridad digital;

8) Ausencia de medidas que eviten conflictos y aseguren una relación armónica entre la Agencia Nacional de Inteligencia y la Agencia Nacional de Ciberseguridad;

9) No se definen grados de alerta, lo que resulta fundamental para orientar los esfuerzos;

10) No se abordan los hackeos neurocognitivos y las operaciones sicológicas en las redes sociales;

11) No se contemplan atribuciones para los CSIRT vinculadas a la ciberinteligencia, dificultándoles la adquisición y el análisis de información para identificar, rastrear y predecir las capacidades, intenciones y actividades cibernéticas que apoyan la toma de decisiones;

12) No se prevén mecanismos para asegurar que este texto legal esté en sintonía con la futura ley que fortalece y moderniza el sistema de inteligencia del Estado;

13) No existe referencia a la ley N° 21.113, que declara el mes de octubre como el de la ciberseguridad;

14) El CSIRT Nacional no es calificado como un órgano supraministerial, lo que le permitiría tener la capacidad de ver qué está pasando en todo el Estado y de determinar cómo este y los privados -que gestionan el 85% de la infraestructura crítica nacional- pueden colaborar;

15) La denominación “CSIRT Nacional” da a entender que este equipo será el encargado de resolver incidentes de ciberseguridad, en circunstancias que no será así;

16) No se advierten mecanismos que permitan la incorporación de nuevos talentos ni tampoco de aquellos que incrementen las capacidades de las personas y su retención, pieza clave para prevenir y enfrentar ciberataques, y

17) Los recursos previstos para esta iniciativa de ley no están a la altura de lo requerido.

- - -

DISCUSIÓN EN GENERAL [1]

A.- Presentación del proyecto de ley por parte de la exministra del Interior y Seguridad Pública, señora Izquia Siches y del exsubsecretario de Defensa, señor Fernando Ayala, y debate preliminar en la Comisión.

Al iniciar el análisis de la iniciativa legal, la Comisión recibió en audiencia a la exministra del Interior y Seguridad Pública, señora Izkia Siches, quien puso de relieve que, en los últimos ocho años, Chile ha avanzado significativamente en el campo de la transformación digital. En efecto, subrayó que la mayoría de los habitantes utiliza tecnologías relacionadas con internet y que cada vez más ciudadanos pueden desenvolverse en ese ambiente.

Proporcionando mayores antecedentes, expresó que el 83% de los chilenos tiene acceso a la aludida red informática. Al respecto, connotó que en 2017 dicha cifra alcanzaba solo el 70% de la población. Pese a ello, prosiguió, un número relevante de personas aún no cuenta con esta herramienta o mantiene conexiones de inferior calidad.

Por otro lado, comunicó que el 67,48% de los hogares posee internet fija, siendo hoy las preferidas las líneas de alta velocidad. En 2017, advirtió, únicamente el 28,9% de las viviendas disponía de esta herramienta.

Destacó que, en la actualidad, se registran más de 26 millones de conexiones a la red informática descentralizada mediante smartphones -en su gran mayoría de tecnología 4G-, lo que representa un 136% de la población total.

Asimismo, resaltó que más de 13 millones de personas ya tienen Clave Única, y que el 74% de los trámites de la administración central del Estado está disponible en línea.

Sin embargo, alertó que los avances generan nuevos riesgos y amenazas para la seguridad de la gente y de las instituciones, además de incrementar la dependencia y vulnerabilidad frente a incidentes informáticos. De hecho, lamentó, el año 2021, Chile recibió cuatro veces más ataques cibernéticos que en 2020.

Para ilustrar el número de este tipo de acciones en América Latina y, particularmente, en Chile, exhibió el cuadro siguiente:

Siguiendo con su exposición, sentenció que el programa de Gobierno del Presidente, señor Gabriel Boric, propone profundizar y desarrollar aún más el proceso de transformación digital, mediante un ambicioso plan que contempla a internet como un servicio básico; la reducción de brechas sociales en su acceso de calidad; la mejor protección de los derechos digitales de las personas; el incremento de los niveles de madurez de la ciberseguridad del país, y el fortalecimiento de las capacidades de ciberdefensa.

Para lograr estos objetivos, pormenorizó, el Ejecutivo continuará con la implementación de la Política Nacional de Ciberseguridad -elaborada durante la Administración de la ex Presidenta de la República, señora Michelle Bachelet-que fue el resultado de un intenso diálogo público-privado. En este punto, dijo que, durante meses, el Comité Interministerial de Ciberseguridad recibió en audiencia a representantes de servicios públicos; de organizaciones gremiales y de la sociedad civil, además de académicos y expertos nacionales e internacionales.

Explicó que el año 2017, luego de dos años de trabajo, se aprobó este primer instrumento de Estado que fija los lineamientos políticos para el resguardo de la seguridad de las personas y de sus derechos, por medio del establecimiento de cinco objetivos estratégicos y un conjunto de medidas para lograr un ciberespacio libre, abierto, seguro y resiliente.

Recordó que durante el Gobierno del ex Presidente, señor Sebastián Piñera, en tanto, la Política Nacional de Ciberseguridad fue confirmada, avanzándose en su implementación y en el cumplimiento de las medidas de corto y mediano plazo.

Durante esta Administración, anunció, se dará inicio a su evaluación y actualización para el período 2022-2026, en base a un proceso abierto y participativo.

En el mismo orden de consideraciones, reiteró que la finalidad de la política citada consiste en promover un ciberespacio libre, abierto, seguro y resiliente.

En relación con los objetivos estratégicos previstos para dicha herramienta al año 2022, expuso lo siguiente:

Apuntó que para asesorar al Primer Mandatario en el análisis e implementación de la Política Nacional de Ciberseguridad y otras medidas asociadas, se creó el Comité Interministerial sobre Ciberseguridad, órgano presidido por el Subsecretario del Interior e integrado, además, por los Subsecretarios de Defensa, de Hacienda, de Economía, de Energía, de Relaciones Exteriores, de Minería, de la Secretaría General de la Presidencia, de Telecomunicaciones y de Justicia; las Intendencias; las Gobernaciones y los órganos y servicios públicos creados para el cumplimiento de la función administrativa, incluidos la Contraloría General de la República, el Banco Central, las Fuerzas Armadas y las Fuerzas de Orden y Seguridad Pública, las municipalidades y las empresas públicas creadas por ley. Asimismo, indicó, el sector privado se integra en la medida que pertenezca a áreas estratégicas, o se haya establecido un convenio de colaboración público-privado.

Declaró que la Política Nacional referida contiene un conjunto de medidas de corto y mediano plazo que han sido implementadas con éxito por los últimos dos Gobiernos. Entre ellas, especificó, destacan las de orden legislativo, por un lado, y administrativas y técnicas, por otro.

Sostuvo que entre las primeras se encuentran las que se señalan a continuación:

1) Suscripción y aprobación del Convenio de Budapest sobre Ciberdelincuencia, acuerdo internacional para combatir los delitos informáticos mediante el establecimiento de una legislación penal y procedimientos comunes entre los Estado Parte.

2) Ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al tratado referido.

3) Ley Nº 21.113, que declara el mes de octubre como el de la ciberseguridad.

4) Proyecto de ley, en segundo trámite constitucional, que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Boletín N° 11.144-07).

Acerca de las medidas administrativas y técnicas, enunció las siguientes:

1) Establecimiento de requisitos actualizados en materia de ciberseguridad para los sectores económicos regulados, como el de las telecomunicaciones, el financiero y las instituciones de seguridad social, donde se han dictado instrucciones, normas técnicas y resoluciones sobre ciberseguridad en los últimos años;

2) Fortalecimiento de las capacidades para la investigación y análisis forense de los delitos informáticos, mediante la creación de la Jefatura Nacional de Cibercrimen de la Policía de Investigaciones y las mejoras procesales contenidas en la ley N° 21.459;

3) Incorporación en la Encuesta Nacional Urbana de Seguridad Ciudadana de preguntas específicas sobre ciberdelitos, que ha evidenciado el incremento constante de este tipo de crímenes en los últimos años, e

4) Implementación de una plataforma para la notificación e información sobre incidentes de ciberseguridad, que ahora es administrada por el CSIRT de Gobierno.

Luego, planteó que la Política Nacional de Ciberseguridad contempla, como medida de corto plazo, la elaboración y presentación al Congreso Nacional de un proyecto de ley sobre ciberseguridad que consolide la institucionalidad y regule la gestión de incidentes de seguridad informática en el país. En efecto, explicó que la aludida herramienta dispone que Chile necesita un modelo que se haga cargo de las funciones y atribuciones esenciales, tales como la gestión de episodios de ciberseguridad; la coordinación interinstitucional; la función normativa técnica; la asesoría general al Gobierno, y la implementación y evaluación de dicha política, entre otras.

Juzgó que el sistema de gobernanza debe llevarse a cabo en atención a los requerimientos del país y al nivel de desarrollo digital, y debe ser coherente y complementario a otras iniciativas, como la transformación digital.

En cumplimiento de la mencionada medida de la Política Nacional de Ciberseguridad, remarcó que el ex Presidente de la República, señor Sebastián Piñera, envió a tramitación, al finalizar su mandato, la propuesta legal en estudio.

Formulando algunos comentarios iniciales a su respecto, afirmó que la Administración comparte la necesidad de disponer de un modelo de gobernanza a nivel central en este ámbito. Acotó que la experiencia de otras naciones, con mayor o similar nivel de desarrollo al de Chile, evidencia que la ciberseguridad de un país precisa una institucionalidad especializada.

Estimó que dicho modelo debe construirse sobre tres pilares esenciales:

1) Normas, políticas y obligaciones de ciberseguridad tanto para el sector público como para el privado;

2) Capacidades operacionales, y

3) Fortalecimiento de derechos y de la cultura digital.

Con todo, adelantó que el Gobierno evalúa la posibilidad de que la institucionalidad se materialice en un servicio público y no en una Agencia -como se sugiere en el texto en debate-, contemplando un enfoque de protección de derechos, que centralice la labor de las tres columnas fundamentales, además de incorporar las funciones que la Política Nacional de Ciberseguridad considera trascendentes.

Calificó como crucial que la nueva gobernanza establezca estándares y obligaciones de seguridad digital tanto al sector público como al privado, y que la protección de las personas y sus derechos sean el centro de toda acción en esta área.

Hizo hincapié en que próximamente, y a partir de los resultados que arroje el trabajo del Comité Interministerial de Ciberseguridad -espacio de coordinación interinstitucional del Estado en materia de ciberseguridad-, el Ejecutivo formulará indicaciones a esta iniciativa de ley con el objeto de fortalecerla.

Para concluir, relevó dos hitos significativos vinculados al asunto objeto de debate: la constitución de una mesa de trabajo público -privada sobre ciberseguridad en la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado, y la inclusión del derecho a la seguridad informática en el artículo 88 del borrador de nueva Constitución, que será sometido a plebiscito el próximo 4 de septiembre.

A continuación, la Comisión escuchó al exsubsecretario de Defensa, señor Fernando Ayala, quien reiteró que la ciberseguridad es una materia radicada en el Ministerio del Interior y Seguridad Pública, razón por la cual la Cartera que representa adhiere a los planteamientos realizados por la exsecretaria de Estado que le precedió en el uso de la palabra.

No obstante, reconoció que el tema es de suma importancia a nivel mundial, reflejándolo así la reciente creación en Australia del Ministerio de Ciberseguridad y el ataque ocurrido en Costa Rica, en el mes de mayo de 2022, a pocos días de haber asumido su nuevo Presidente de la República, hecho que motivó la declaración de estado de emergencia.

Deteniéndose en los comentarios vertidos por el expersonero de Gobierno, el Honorable Senador señor Huenchumilla le solicitó que, en una próxima sesión, el Ministerio de Defensa Nacional emita su opinión respecto del proyecto en discusión. Detalló que su análisis por parte de esta Comisión así lo justifica. Además, prosiguió, ello permitirá a la Sala del Senado tener una visión sistémica de esta iniciativa de ley.

A su turno, el Honorable Senador señor Macaya juzgó que la propuesta legal es urgente y relevante para el país. Además, estimó que existe consenso a este respecto por parte del Ejecutivo y del Congreso Nacional, pese a las legítimas diferencias en ciertos aspectos, como la protección de datos personales.

Su Señoría consultó los tiempos que el Gobierno contempla para su tramitación.

El Honorable Senador señor Araya anunció que, habida consideración de la trascendencia de esta iniciativa legal, la respaldaría. Connotó que el país avanzó significativamente en transformación digital tras la pandemia provocada por el COVID-19; sin embargo, lamentó, la legislación nacional no tiene las herramientas imprescindibles para dar certeza y tranquilidad a los ciudadanos en torno a que habrá un correcto funcionamiento del mundo tecnológico.

Formulando algunos comentarios acerca del proyecto, subrayó que resulta fundamental revisar las funciones conferidas al órgano encargado de la ciberseguridad, más allá de si se opta por un servicio público o por una agencia nacional. Destacó que esta última, conforme al texto del mensaje, aparece como una institución más bien decorativa, con atribuciones menores, carente de otras esenciales, como las de coordinación, especialmente respecto del sector privado, siendo este el caso de la banca.

En sintonía con lo planteado, preguntó a los integrantes del Ejecutivo si existe la intención de reforzar las facultades del Director Nacional de la Agencia de Ciberseguridad. Su Señoría fue tajante en demandar mayores potestades para dicha figura.

Posteriormente, expresó su preocupación por el estatuto laboral al que quedarán sometidos los funcionarios del órgano encargado de la ciberseguridad. Así, fue enfático en sostener que dicho organismo requeriría de personas con grandes conocimientos en cibernética -e incluso de hackers, como ocurre en la experiencia comparada-, que suelen no cumplir con el perfil tradicional de quienes se desempeñan en la Administración Pública. Avizoró que muchos no podrán ingresar si se aplican las normas del Estatuto Administrativo. Por ello, exhortó a prever un sistema de contratación más flexible.

Siguiendo con el examen de la institucionalidad, discrepó de la propuesta efectuada por el Gobierno anterior, en orden a que el cargo de Director Nacional de la Agencia Nacional de Ciberseguridad quede sujeto al Sistema de Alta Dirección Pública. Por el contrario, opinó, debe ser de exclusiva confianza del Presidente de la República, sin perjuicio de establecer ciertos requisitos. Luego, consultó la opinión del Ejecutivo.

A su turno, el Honorable Senador señor Saavedra puso de relieve que una de las consecuencias de la pandemia provocada por el COVID-19 fue motivar el uso intensivo de las tecnologías y, como corolario, la inmersión del país en la revolución digital. No obstante, advirtió que este nuevo escenario obliga al legislador a dictar un cuerpo normativo que esté a la altura de aquel, que brinde seguridad y evite catástrofes.

También adujo que la regulación que se adopte deberá abarcar tanto al sector público como al privado, y que supondrá la implementación de políticas públicas que trasciendan a los diversos Gobiernos. Además, sentenció que será fundamental tener a la vista la experiencia comparada.

Fijando su atención en la discusión sobre el órgano encargado de la ciberseguridad -una agencia nacional o un servicio público-, el Honorable Senador señor Galilea manifestó que al momento de adoptar la decisión hay que tener presente ciertos aspectos, como son la dependencia y la jerarquía de las instituciones dentro del Estado.

En este contexto, declaró que la creación de un Ministerio de Ciberseguridad, verbigracia, como ocurrió recientemente en Australia, posibilita una relación directa con otras Carteras de Estado. Especificó que algo parecido podría suceder en el caso de escoger la figura del texto elaborado por el ex Presidente de la República. Por el contrario, continuó, si se prefiere la segunda opción -un servicio dependiente de alguna Secretaría de Estado- se ocasionarían problemas en la vinculación, por ejemplo, con el Ministerio de Defensa Nacional, una de cuyas competencias dice relación con todo aquello que pueda afectar la seguridad nacional y la soberanía del país.

Una discusión similar, recordó, se originó con motivo de la iniciativa de ley que crea la Subsecretaría de Recursos Hídricos en el Ministerio de Obras Públicas y una nueva institucionalidad nacional de recursos hídricos, y modifica los cuerpos legales que indica (Boletín N° 14.446-09). Puntualizó que algunos se inclinan por una Agencia Nacional del Agua en lugar de la figura señalada. Sin embargo, connotó que esta última erradica conflictos con otros Ministerios, como el del Medio Ambiente o el de Agricultura.

En un orden distinto de ideas, alertó que las funciones de la Agencia Nacional de Ciberseguridad refieren, principalmente, a aspectos normativos y de supervisión, mas no queda clara la extensión de su facultad sancionatoria. Tampoco, remarcó, se observan con claridad sus atribuciones en materia de investigación.

Finalmente, notó que según el informe financiero que acompaña la proposición de ley, los recursos previstos no están a la altura de lo requerido.

El Honorable Senador señor Huenchumilla, deteniéndose en la intervención de la exministra del Interior y Seguridad Pública, mostró su preocupación ante el número de ataques cibernéticos en América Latina y, especialmente, en Chile.

Observó que al recaer la discusión sobre algo intangible, puede ser difícil de comprender. Se trata, prosiguió, de la seguridad en el ciberespacio, que abarca tanto al mundo público como al privado. Ejemplo de este último, ilustró, es el sector bancario, área fundamental para el funcionamiento de la economía y de los particulares, cuyos datos personales podrían verse vulnerados.

En cuanto al riesgo al que se encuentran expuestas las instituciones públicas, especial inquietud expresó acerca de las Fuerzas Armadas y de los organismos dedicados a obtener información fundamentándose en la seguridad nacional.

Sentenció que la legislación deberá poner atención en la institucionalidad ofrecida, de modo que sea capaz de anticiparse a eventuales incidentes de ciberseguridad. Adicionó que el Estado, en su conjunto, debe evitar posibles ataques, para lo cual la coordinación entre diversos sectores es esencial. Además, juzgó, se precisa fortalecer los servicios de inteligencia.

Seguidamente, coincidió con la prevención formulada por el Honorable Senador señor Araya, en relación con el régimen aplicable a los funcionarios de la Agencia Nacional de Ciberseguridad.

Respondiendo las inquietudes planteadas por los legisladores, la exministra del Interior y Seguridad Pública, señora Izkia Siches, compartió el diagnóstico de los integrantes de la Comisión, declarando que Chile enfrenta una nueva dimensión que requiere un abordaje legislativo veloz y una adecuada institucionalidad.

Reiteró que convocaría prontamente al Comité Interministerial de Ciberseguridad para estudiar detalladamente el proyecto de ley, particularmente, la naturaleza jurídica del órgano encargado de la ciberseguridad -con las fortalezas y debilidades de cada opción- y el financiamiento correspondiente.

Todo lo anterior, adelantó, podría motivar la presentación de indicaciones por parte del Ejecutivo.

Para concluir, anunció que Su Excelencia el Presidente de la República daría urgencia al despacho de esta proposición de ley.

El exsubsecretario de Defensa Nacional, señor Fernando Ayala, enfatizó que si bien la ciberseguridad es un tema de futuro, Chile está atrasado en la materia. Recordó que recientemente el Banco Central fue objeto de un ciberataque -que se tradujo en la sustracción de US $150.000-, previniendo que incidentes como este podrían replicarse en Codelco o en otras empresas públicas, acarreando grandes perjuicios económicos.

Añadió que si bien el país ha avanzado en cobertura de internet de manera significativa, aún existen sectores de la sociedad que no han podido acceder al servicio, y otros que solo han logrado uno de mala calidad.

En virtud de lo expuesto, juzgó que el tema objeto de debate precisa ser analizado con profundidad y prioridad, en pos de todos los habitantes.

Luego, el Honorable Senador señor Galilea recomendó solicitar a la Biblioteca del Congreso Nacional un informe de la experiencia comparada para organizar la institucionalidad en torno a la ciberseguridad.

El Honorable Senador señor Saavedra acotó que el país está ad portas de un cambio estructural, ya que se debate un proyecto de ley que crea el Ministerio de Seguridad Pública (Boletín N° 14.614-07). Su Señoría planteó que en dicha Cartera de Estado debiera alojarse el órgano a cargo de la ciberseguridad.

B.- Exposiciones de los invitados y debate suscitado en la Comisión con ocasión de ellas.

1) Exposición de Carabineros de Chile.

El General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, contextualizando la importancia de la iniciativa de ley, comunicó que, en las últimas veinticuatro horas, el Centro de Seguridad de la Información de la institución que integra registró 941.000 intentos de sabotaje, lo que evidencia las múltiples acciones tendientes a afectar su ciberseguridad. La cifra, dijo, deja al descubierto la necesidad de avanzar en la dirección prevista en el proyecto.

Con todo, recordó que los ataques han impactado tanto a entidades públicas como privadas, destacando aquella dirigida en contra del Banco Estado, que perjudicó a más de 7.000.000 de personas.

Los daños referidos, connotó, no solo provienen de hackers, sino también de empresas -que tienen vínculos con el crimen organizado- dedicadas a acceder ilegalmente a sistemas informáticos ajenos y a manipularlos. Insistió en que es esencial una arquitectura institucional capaz de prevenir y de hacer frente a tales agresiones. No obstante, aclaró que se requiere una gobernanza general en materia de ciberseguridad, y otra específica para el área de defensa.

Continuando con su intervención, llamó a tener en consideración que los antivirus se han transformado en mecanismos obsoletos, toda vez que, actualmente, existen diversas formas de ingresar a los registros que contienen los datos de las diferentes entidades.

A la luz de lo señalado, juzgó que establecer un marco jurídico para el desarrollo de la ciberseguridad, tanto en su dimensión operativa como regulatoria, ampliará y fortalecerá el trabajo preventivo y la formación de una cultura pública, pasos fundamentales para que los órganos del Estado posean herramientas de defensa ante este tipo de atentados.

Añadió que la nueva dimensión de la seguridad exige la capacitación y el entrenamiento del personal de Carabineros de Chile, para que esté alerta ante eventuales ataques.

Luego, dio a conocer los principales ilícitos informáticos en Chile, a saber: el acceso indebido a la información (9,8%); el espionaje (25,5%); la difusión de información (4,9%), y el sabotaje (59,8%). Especificó que, entre los años 2019 y 2021, acumularon un total de 184 casos policiales.

Notó que en tres de las cinco figuras delictuales mencionadas se observa un incremento significativo en el periodo referido. Detalló que el espionaje informático aumentó en 313%, mientras que la difusión de información y el sabotaje, en un 100%.

Adicionalmente, expresó que los principales lugares afectados por los ciberdelitos corresponden a domicilios particulares (56,5%); otros servicios privados (23,9%), industria o empresas (8,2%), entidades bancarias (7,6%), e instituciones públicas (3,8%).

Relató que, durante el año 2019, la plataforma virtual de Carabineros de Chile fue víctima de acceso ilegal, hecho que permitió la obtención de gran parte de la información contenida en los registros institucionales. Aseguró que, después de un proceso investigativo, se ubicó a los responsables, siguiéndose, hoy en día, un proceso penal en su contra.

De todo lo expuesto, subrayó, se desprende la trascendencia de un marco legislativo como el de la iniciativa de ley.

Adentrándose en el análisis de la proposición legal, opinó que consagra importantes principios, como el de cooperación con la autoridad; el de responsabilidad; el de protección integral; el de confidencialidad de los sistemas de información; el de integridad de estos últimos; el de disponibilidad; el de control de daños, y el de especialidad en la sanción.

Por otro lado, puso de manifiesto que la propuesta en estudio establece preceptos claros relativos a cómo se determinan los sectores que poseen infraestructura crítica de la información y las obligaciones derivadas.

En línea con lo anterior, relató que Carabineros de Chile cuenta con un sistema de seguridad de la información y se encuentra adscrito al CSIRT del Ministerio del Interior y Seguridad Pública. En consecuencia, continuó, en la aludida Cartera de Estado está radicado el control de esta institución ante posibles ataques. Con todo, anunció que, en la actualidad, se discute permanentemente quién es el primer llamado a defender la organización-Carabineros de Chile o el equipo de respuesta a incidentes de seguridad informática de la Secretaría de Estado mencionada-. Este aspecto relevante, estimó, tampoco se desprende con claridad de la lectura del texto presentado a tramitación, cuestión que el respectivo reglamento debería precisar.

Dando a conocer la infraestructura crítica del organismo policial, acompañó el gráfico siguiente:

Los sistemas depositarios de la información de Carabineros de Chile, expuso, son fundamentales. De hecho, arguyó, en ellos convergen todas las plataformas de la institución, como la consulta de antecedentes policiales; el manejo de las centrales de comunicaciones; la conducción de vehículos policiales; la información desde los cuarteles fronterizos hacia las unidades operativas, y el manejo, dirección y control de las acciones que se realizan a lo largo del territorio.

Resaltó que las repetidoras que se observan, en tanto, son propias de la policía uniformada y merecen especial cuidado, toda vez que, además de ser esenciales para ella, también los son para otros organismos, como Onemi, Bomberos, Directemar y el SAMU. A mayor abundamiento, declaró que fueron significativas después del terremoto del año 2010, así como también para los diferentes eventos naturales que ha debido sortear el país en los últimos años.

Siguiendo con el análisis del proyecto de ley, elogió que prescriba con exactitud los deberes generales de las instituciones que poseen infraestructura crítica de la información, así como los específicos de algunas de ellas y sus facultades normativas.

Adicionalmente, alabó la creación de la Agencia Nacional de Ciberseguridad. Sin embargo, aconsejó especificar su naturaleza jurídica. A este respecto, recomendó que, en caso de optarse por un servicio público, sus funcionarios no queden adscritos al Estatuto Administrativo, puesto que dificultaría la contratación de hackers y de otros especialistas capaces de enfrentar los ataques. En este contexto, se mostró partidario de la figura de la agencia, diseño que, además, permite alianzas con otras entidades.

Fijando su atención en las atribuciones del órgano aludido precedentemente, previno que no se le confiere la posibilidad de investigar las agresiones de ciberseguridad, lo que resulta fundamental para una correcta estrategia de defensa.

En un orden distinto de consideraciones, estuvo conteste con la creación del Registro Nacional de Incidentes de Ciberseguridad, puesto que dicho instrumento acumulará las experiencias vividas; prevendrá agresiones y aportará las soluciones pertinentes.

En relación con el Consejo Técnico de la Agencia Nacional de Ciberseguridad, propuso que estén representados en él ciertos servicios básicos, como las empresas de agua, luz e internet, entre otras.

A continuación, apreció el establecimiento del Equipo Nacional de Respuesta a Incidentes de Seguridad Informática -CSIRT Nacional-, así como el CSIRT del sector público, correspondientes a los de Gobierno y Defensa. Indicó que, pese a que estos órganos operan en la actualidad, aún no está claro cómo responden ante ciertos eventos. Sobre el particular, postuló que la regulación debiera señalar cuál es el competente en cada caso, según el tipo de infraestructura, datos y consecuencias, entre otros factores. Planteó que tal precisión cobraría especial valor, por ejemplo, en los ataques a la plataforma Comisaría Virtual, cuyo uso aumenta exponencialmente.

Haciendo ver la solidez de la recomendación formulada, recordó que el sistema nombrado cobró un rol fundamental durante el primer año de la pandemia provocada por el COVID-19, evitando el traslado de las personas a los cuarteles policiales para la obtención de permisos, además de atochamientos y gastos materiales. Agregó que los trámites efectuados en dicho periodo ascendieron a 756.000.000, alcanzándose un máximo de 2.400.000 en un día.

El uso del referido portal, aseveró, se ha ampliado en el último tiempo, denunciándose directamente en él los hurtos, el maltrato animal y los daños a la propiedad privada. Adicionalmente, prosiguió, prontamente se incluirán las acusaciones por violencia intrafamiliar y algunas que están en evaluación, como el abandono de hogar; el no pago de pensión de alimentos; la pérdida de documentos y de teléfono móvil, y los reclamos por el actuar policial. En definitiva, reiteró, la Comisaría Virtual es un ícono del buen funcionamiento de la entidad policial.

Para concluir, ofreció la colaboración de la institución en la tramitación de esta iniciativa, especialmente en el aporte de datos que sean indispensables para legislar.

El Honorable Senador señor Pugh señaló que Carabineros de Chile, al igual que otros organismos, es víctima de ataques cibernéticos, cuyo origen puede ser diverso.

El espacio virtual, resaltó, conecta todo el mundo, traspasando fronteras. Por consiguiente, constató, los incidentes pueden provenir de distintas latitudes y no solo del mismo país. Además, consignó, pueden emanar incluso de órganos estatales. Por esta razón, es primordial tener una ley marco que defina la forma de operar ante estos eventos, concluyó.

Refiriéndose al organismo competente para enfrentar los ataques, se mostró proclive a que el primer llamado a este cometido sea la institución afectada, haciendo ver que la ciberseguridad sobrepasa la capacidad de administración del Estado. Opinó que hacerlo de manera colectiva es complejo, ya que supone una entidad capaz de gestionar atentados en contra de todas las organizaciones.

En lo que atañe a las disposiciones aplicables a los funcionarios de la Agencia Nacional de Ciberseguridad, coincidió con el General Subdirector de Carabineros acerca de la conveniencia de flexibilizar su régimen de contratación. Pormenorizó que los hackers y otras personas talentosas dentro del servicio señalado serán fundamentales para el éxito de su labor, además de impedir su reclusión por bandas criminales.

Compartió, asimismo, la apreciación relativa a que el proyecto tiene falencias en materia de investigación de los incidentes de ciberseguridad. No obstante, enunció que la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado trabaja en la generación de una red de indagación.

También llamó a reflexionar sobre la importancia de propagar la cultura de la ciberseguridad, puesto que los individuos constituyen la primera línea de defensa. Por este motivo, ahondó, en el caso de la institución recibida en audiencia, cada funcionario que opera un sistema debe ser capaz de reaccionar ante este tipo de eventos y de instruir a sus colegas.

A modo de fortalecer la proposición de ley, sugirió tener a la vista el modelo de integración existente en España. Puntualizó que dicho país creo el Centro Nacional de Protección de Infraestructuras Críticas -CNPIC-, cuya dotación asciende a 54 personas, distribuyéndose en partes iguales entre funcionarios de la Guardia Civil -equivalente a Carabineros de Chile- y de la Policía Nacional -semejante a la Policía de Investigaciones. La composición, recalcó, apunta a balancear el peso de ambas y a lograr una adecuada organización.

Por último, afirmó que el Presidente del aludido país, el año en curso, externalizó el Centro de Operaciones de Ciberseguridad para utilizar las competencias de la industria local, alcanzando una integración completa.

El Honorable Senador señor Huenchumilla preguntó cuál es el propósito que motiva la comisión de ataques cibernéticos a Carabineros de Chile.

Su Señoría advirtió que tales atentados suelen perseguir la obtención de dinero, como ocurre en el caso de las agresiones en contra de los bancos. Otras veces, prosiguió, buscan acceder a datos personales.

En línea con lo expuesto, adujo que la situación de la institución invitada apuntaría en esa última dirección, o a desestabilizarla. Con todo, sostuvo que el primer objetivo podría obtenerse por medio de sabotajes a compañías mundiales.

Atendiendo la interrogante formulada por el Presidente de la Comisión, el General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, fue enfático en manifestar que los atentados cibernéticos al organismo que representa persiguen tres grandes objetivos:

1) Demostrar a otros hackers mayor capacidad.

2) Apropiarse de datos. En este punto, dio cuenta de que Carabineros de Chile maneja la información de los detenidos que son puestos a disposición del Ministerio Público. Sin ellos, resaltó, no es posible su formalización y se torna imposible la labor de los fiscales, lo que generaría un gran daño al sistema.

3) Adquirir antecedentes del personal que ha participado en investigaciones o en actividades de control del orden público. Indicó que las acciones aludidas les permiten conocer la identidad de familiares, su domicilio y vehículos, todo lo cual facilita ataques en su contra. Afirmó que esta última hipótesis es la que motiva mayor preocupación.

El Honorable Senador señor Saavedra connotó que la ciberseguridad debe ser una pieza fundamental en la institucionalidad y en la legislación, ya que la digitalización abarca diversos sectores y se expande cada día más. De este modo, razonó, una agresión virtual al Metro de Santiago o a los vuelos nacionales sería catastrófica para la seguridad de los chilenos.

En sintonía con lo expresado, planteó que el Estado debe adoptar medidas para evitar estos incidentes. Por ello, aspiró a una estructura que garantice una mirada y control generales, sin perjuicio de vigilancias específicas. Tal modelo, adelantó, facultaría reunir en un solo lugar los medios de que el país dispone para asegurar el bienestar de la población.

El General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, abocándose a los comentarios realizados por el legislador que le antecedió en el uso de la palabra, destacó que las policías, habitualmente, están coordinadas entre sí, como también con sus pares internacionales.

A reglón seguido, sentenció que la experiencia demuestra que los actos que atentan contra la ciberseguridad suelen provenir de empresas diseñadas para tomar posesión de determinados sistemas. Una vez que lo hacen, puntualizó, la institución afectada solo tiene dos alternativas: pagar por la liberación o denunciar para que intervenga algún organismo estatal que logre poner término a la agresión. Explicó que, en la actualidad, cuando ello ocurre, no es posible conocer qué acciones se han adoptado para resolver el problema.

El Honorable Senador señor Macaya preguntó qué porcentaje de los ataques cometidos termina en persecución penal. Vislumbró que una cifra menor llega a esa etapa.

Acto seguido, consultó si Carabineros de Chile contempla alguna forma de coordinación adicional con la Policía de Investigaciones de Chile.

Al respecto, el General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, contestó que los datos proporcionados al inicio de su exposición solo dicen relación con las denuncias por ellos recibidas y cuya investigación está en manos de la Fiscalía. Sin embargo, aclaró, hay estadísticas que maneja la PDI y otras el Ministerio Público. La cifra consolidada, concluyó, la posee esta última institución.

Al finalizar, postuló que, si bien el Registro de Incidentes de Ciberseguridad es preponderante, también es fundamental asegurar la investigación, de modo de conocer mayores antecedentes para la defensa y prevención de agresiones a la ciberseguridad.

2) Exposición de la Policía de Investigaciones de Chile.

El Jefe Nacional de Gestión Estratégica de la Policía de Investigaciones, Prefecto, señor Erick Menay, valoró la iniciativa de ley, expresando que mejorará la ciberseguridad, además de crear la institucionalidad y regular algunos asuntos urgentes, como la determinación de la infraestructura crítica de la información.

Alertó que el mundo es volátil, incierto, complejo y ambiguo, y que la globalización acelera este fenómeno, puesto que, junto a los beneficios, conlleva riesgos y amenazas, que aumentan en áreas vulnerables como el espacio virtual. Sostuvo que los ataques que mayor preocupación provocan son aquellos que recaen en la defensa.

En el último tiempo, enfatizó, producto del incremento de la transformación digital, el número de delitos cibernéticos se expandió de manera significativa. Adicionó que particular cuidado existe cuando las amenazas tienen ribetes transnacionales, principalmente, vinculadas al crimen organizado.

Refiriéndose a la organización policial que integra, recordó que su función primordial radica en la investigación de los delitos; sin embargo, declaró, también participa en otras instancias, como aquellas que permiten mejorar la seguridad en el espacio virtual. En efecto, dio cuenta de que la PDI, consciente de la relevancia de la materia, trabaja en consolidar internamente una institucionalidad para hacer frente a los riesgos y amenazas, no solo desde la perspectiva del cibercrimen, sino también desde una interna, a fin de mantener resilientes los sistemas de información.

En sintonía con lo manifestado, subrayó que la entidad, desde el año 2000, tiene una unidad especializada para investigar los delitos informáticos.

Acotó que las brigadas investigadoras del cibercrimen constituyen una respuesta frente al creciente desarrollo de dichos delitos, y a la conveniencia de tener unidades dedicadas a la investigación y a la solución de los problemas que enfrenta la ciudadanía en el ciberespacio.

Por otro lado, consignó que se estableció, el año 2019, el Centro Nacional de Ciberseguridad, vinculado con el CSIRT de Gobierno. Especificó que su labor consiste en responder a incidentes críticos; colaborar y asesorar a la PDI en este tipo de materias, y difundir alertas preventivas.

Comentó que desde su creación se ha capacitado a los funcionarios que trabajan en asuntos relacionados con el cibercrimen y la ciberseguridad, y a los demás de la institución. También, enunció, dicta instructivos sobre la materia.

A continuación, hizo hincapié en que la información que posee la PDI reúne las características para ser calificada como infraestructura crítica. En este sentido, planteó que cobra especial relevancia la relativa al control migratorio; aquella referida a investigaciones criminales complejas y la que versa sobre el sistema de inteligencia del Estado. Fijando su atención en esta última, remarcó que su vulneración podría incidir en la seguridad de las personas.

Continuando con su intervención, sostuvo que, de acuerdo a datos de Fortinet -una de las empresas líderes en ciberseguridad- en Chile, el año 2021, hubo más de 9.400.000.000 intentos de ciberataques, cifra que cuadriplica aquella del 2020. Adicionó que, conforme a los antecedentes de la PDI, en tanto, el año 2021 se registraron 28.000 eventos maliciosos; 1.500 de los cuales iban dirigidos en contra de la institución referida.

En relación con las razones que se esconden detrás de los ataques, estimó que muchos buscan la obtención de recompensas económicas; otros la validación frente a hackers y, algunos, simplemente, dañar y desestabilizar.

En ese contexto, previno que resulta indispensable brindar a los ciudadanos seguridad en el ciberespacio, permitiéndoles el normal desarrollo de sus actividades personales y sociales. Sin embargo, hizo presente que se requiere coordinación, pues de lo contrario no es posible evitar ni enfrentar este tipo de amenazas.

Por último, reveló la voluntad de su institución en orden a cooperar en la tramitación de esta iniciativa, poniendo a disposición de esta instancia legislativa la experiencia acumulada a lo largo de dos décadas, en pos de una adecuada ley marco de ciberseguridad.

El Honorable Senador señor Araya, centrando su atención en la exposición del General Subdirector de Carabineros, observó que una de los planteamientos realizados a la exministra del Interior y Seguridad Pública, señora Izkia Siches, en una sesión anterior, radicó en la naturaleza jurídica de la Agencia Nacional de Ciberseguridad y en el régimen laboral aplicable a sus funcionarios. Reiteró que su sujeción al Estatuto Administrativo sería un obstáculo para que personas con conocimiento y experiencia en el ámbito informático decidan desempeñarse en ella.

En relación a la intervención del Jefe Nacional de Gestión Estratégica de la PDI, en tanto, aseguró que la persecución penal de los delitos cibernéticos seguirá en manos de dicha entidad, y que al nuevo servicio le corresponderán atribuciones diferentes.

Seguidamente, quiso saber su parecer respecto a la estructura propuesta en la iniciativa de ley para la Agencia Nacional de Ciberseguridad, así como las funciones encomendadas. A mayor abundamiento, consultó si está a la altura de lo que se requiere hoy en día. En este punto, llamó a tener en cuenta que la mayor cantidad de incidentes que repercuten en la vida de los ciudadanos se produce en el sector privado. Tal es el caso, detalló, del comercio electrónico.

A la luz de lo expuesto, preguntó si la composición del Consejo Técnico de la Agencia Nacional de Ciberseguridad asegura horizontalidad en el trabajo, para una adecuada política de ciberseguridad para todos los actores.

Respondiendo la interrogante del legislador que le precedió en el uso de la palabra, el Jefe Nacional de Gestión Estratégica de la Policía de Investigaciones, Prefecto, señor Erick Menay, insistió en que la entidad que representa celebra esta propuesta legal que persigue prevenir, contener, resolver y dar respuesta a incidentes de ciberseguridad, generando la institucionalidad y la normativa imprescindibles. Reiteró que en la elaboración de los reglamentos a que alude el proyecto de ley, la PDI puede colaborar con su conocimiento y experiencia en la materia.

A su turno, el General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, puso de relieve que la conformación del Comité Interministerial de Ciberseguridad incluye, dentro de sus integrantes, al Subsecretario del Interior, lo que supone la colaboración de la PDI y de Carabineros de Chile.

Acto seguido, afirmó que el marco sugerido en la iniciativa legal es un avance en comparación al existente. Al respecto, adujo que el modelo actual carece de integración y colaboración, piezas clave para dar solución a los problemas de ciberseguridad.

El Honorable Senador señor Pugh destacó el rol de la Academia Nacional de Estudios Políticos y Estratégicos (Anepe) en la producción de conocimiento y en la capacitación a diversos funcionarios del Estado, siendo este el caso del Prefecto Menay.

Celebró que la Jefatura Nacional de Cibercrimen, en tanto, esté a cargo del Prefecto Luis Silva, quien se encuentra cursando un curso de formación dictado por el Instituto de Ciberseguridad, ubicado en la ciudad de León, en España.

Al igual que ellos, apuntó, se requiere que personas altamente preparadas trabajen para el Estado y tengan redes de contacto internacionales. Más aún, profundizó, si se tiene a la vista que recientemente se aprobó el segundo protocolo adicional a la Convención de Budapest, instrumento que permite a las policías coordinarse mundialmente tanto con el sector público como el privado. En este punto, acotó que son las empresas las que tienen la capacidad de entregar datos para perseguir adecuadamente el cibercrimen.

Fijando su atención en la legislación comparada, recordó que España creó, como parte de su estrategia de seguridad y de defensa, el foro Nacional de Ciberseguridad, e informó que en un sentido similar trabaja la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado.

En otro orden de ideas, dijo que recientemente se publicó la ley N° 21.459, que establece normas sobre delitos informáticos, lo que lo ha llevado a Chile a ser un país líder en la materia. No obstante, recalcó que es fundamental seguir avanzando en esa senda, previniendo ataques orquestados que se dirigen a desestabilizar las democracias y a destruir el Estado de derecho. Para ello, argumentó, es preciso fomentar la cultura de ciberseguridad. Sobre el particular, afirmó que la ley N° 21.113, que declara octubre como el mes nacional de la ciberseguridad, fomenta el desarrollo de actividades relacionadas en dicho periodo. A este respecto, consultó a los representantes de las policías qué ejercicios han ejecutado en el marco del cuerpo normativo recién individualizado.

Para finalizar, preguntó qué porcentaje de incidentes provienen desde direcciones del protocolo de internet del extranjero.

En relación con las interrogantes planteadas por el parlamentario que le antecedió en el uso de la palabra, el Jefe Nacional de Gestión Estratégica de la Policía de Investigaciones, Prefecto, señor Erick Menay, respondió que la institución que integra creó recientemente la Jefatura de Coordinación Internacional, a fin de dar mayor relevancia a esa área del quehacer de la entidad. Adicionalmente, anunció, forma parte de la Organización International de Policía Criminal, Interpol, conformada por 195 países.

A su turno, el General Subdirector de Carabineros de Chile, General Inspector, señor Esteban Díaz, atendiendo la consulta del Honorable Senador, fue tajante en señalar que el número de agresiones diarias es tan elevado que los equipos competentes limitan su labor en prevenirlos, contenerlos y resolverlos. En paralelo, agregó, hacen la denuncia correspondiente al Ministerio Público, para que este órgano investigue los hechos.

Enseguida, comentó que la Universidad de Santiago de Chile imparte un programa especial de ciberseguridad, en el cual se han formado muchos de sus funcionarios, de modo de dotarlos de las herramientas imprescindibles para hacer frente a estos ataques. A lo anterior, indicó, se suman otras formas de capacitación de la institución y la contratación de especialistas.

A mayor abundamiento, informó que existe un equipo especial, dentro del Departamento O.S.9, Investigación de Organizaciones Criminales, de Carabineros, que patrulla durante las veinticuatro horas del día el espacio virtual, detectando posibles hackeos, además de ventas de drogas y de armas, y contrabando de mercancías, entre otros ilícitos.

3) Exposición del ex Subsecretario de Telecomunicaciones, señor Pedro Huichalaf.

El señor Pedro Huichalaf advirtió que el proyecto de ley aborda dos aspectos: ciberseguridad, por un lado, e infraestructura crítica, por otro.

Enseguida, se detuvo en las fortalezas de la iniciativa legal. Al respecto, juzgó que ellas son las siguientes:

1) Crea una nueva institucionalidad; coordina acciones y estandariza la regulación, lo que es indispensable y permite adecuar la legislación chilena;

2) Define y establece con claridad la infraestructura crítica de información, así como los principios, responsabilidades y deberes para quienes la poseen. En efecto, admitió que no solo se identifica aquella, sino que, además, se determina la forma en que operará y las sanciones que se derivarán en caso de incumplimiento;

3) Consagra las instituciones y sectores que tienen servicios esenciales, hasta hoy inexistente en el ordenamiento jurídico, con lo cual resulta igual la ciberseguridad de las pymes a la de un sistema nacional de transmisión eléctrica. Esta propuesta legal, explicó, eleva los estándares para unos y deja a los demás sujetos a las reglas generales;

4) Fija facultades regulatorias y fiscalizadoras, con atribuciones específicas, generando un Registro Nacional de Incidentes. Remarcando la importancia de este último instrumento, recordó que en materia de seguridad digital un aspecto esencial es la información;

5) Contempla infracciones, multas y un procedimiento sancionatorio, junto con instituir una agravante especial.

Su principal debilidad, en tanto, estimó, radica en la delimitación de la calidad de la infraestructura crítica. Sobre el particular, connotó que el texto en tramitación dispone que el Ministerio del Interior y Seguridad Pública será el encargado de señalar aquellos sectores o instituciones que la poseen. Consideró que la primera interrogante que surge de dicha decisión es por qué esta facultad corresponderá a esta Cartera de Estado. Asimismo, postuló, surgen dudas respecto a qué ocurrirá en caso de crearse el Ministerio de Seguridad Pública.

Informó que, en algunos países -como Estados Unidos de América y Uruguay- el asunto queda al alero del Ministerio de Defensa Nacional. En este punto, manifestó que es dable preguntarse cuál será el rol de esta última Secretaría de Estado en Chile. A mayor abundamiento, hizo hincapié en que los ataques no solo pueden provenir de hechos internos, sino también externos, razón que amerita su participación, sin perjuicio de resguardar la debida coordinación entre ambos organismos.

Continuando con su intervención, advirtió que la proposición de ley analizada no precisa cuáles son los sectores críticos, sino que encomienda tal determinación a un reglamento. Notó que, en el caso de EE.UU., la Agencia de Ciberseguridad e Infraestructura define cuáles son y los clasifica en 16 sistemas de vital importancia.

Adicionalmente, criticó, el proyecto prescribe que cada dos años el Ministerio del Interior y Seguridad Pública establecerá las infraestructuras críticas, lo que implicará dejar sin protección a otras nuevas que pudieran crearse en el tiempo intermedio. En atención a lo expuesto, sugirió incorporar medidas de flexibilización para casos como el referido.

Adentrándose en lo que denominó las amenazas de la iniciativa legal, subrayó que la primera es el debilitamiento institucional. Justificando su aseveración, observó que son múltiples los actores que se interrelacionan, como la Agencia Nacional de Ciberseguridad, los CSIRT sectoriales, el CSIRT de Gobierno, el CSIRT de Defensa y el Comité Interministerial de Ciberseguridad, lo que obligará a tener una mirada coordinada.

En sintonía con lo señalado, consignó que actualmente diversos decretos contienen normativa de ciberseguridad, tal como ocurre en las áreas bancaria, de telecomunicaciones y de casinos.

Por otro lado, destacó que los reguladores sectoriales definirán las infracciones de ciberseguridad y, en caso de no hacerlo, corresponderá a la Agencia Nacional de Ciberseguridad tal función, arriesgando posibles faltas de concordancia en la materia.

También llamó a tener en cuenta que las principales amenazas a la seguridad digital provienen de las naciones extranjeras, del crimen organizado, del espionaje y de las catástrofes naturales, no recogiéndose estas últimas en el texto. Al respecto, apuntó que en la ley general de telecomunicaciones existe una regulación de infraestructura crítica para este sector, pero solo respecto de las antenas, dejando fuera, por ejemplo, la fibra óptica.

Otros riesgos, prosiguió, son la vulnerabilidad de los softwares-muchos de los cuales ya no tienen soporte técnico-; la infraestructura deficiente -toda vez que no hay un estándar de instalación ni resguardos adecuados para ella-, y las guerras híbridas, además de las causas sin especificar.

Centrando su atención en las oportunidades que ofrece el proyecto, sentenció que brinda la posibilidad de lograr coherencia sistémica regulatoria entre las diversas normas vinculadas a la materia, y que son las que siguen:

1) Ley de delitos informáticos. Apuntó que este texto normativo solo considera la mirada del delincuente, mas no establece la obligación de las empresas atacadas de custodiar la información;

2) Proyecto de ley sobre protección de datos personales (Boletín N° 11.092-07);

3) Reglamento de infraestructura de telecomunicaciones;

4) Política Nacional de Ciberseguridad y la de Ciberdefensa. Recordó que en virtud de esta última se otorgó a las Fuerzas Armadas la facultad de declarar la guerra a otro Estado en caso de ataque digital;

5) Proyecto de modernización del Estado;

6) Iniciativa para reconocer el acceso a internet como un servicio público de telecomunicaciones (Boletín N° 11.632-15), y

7) Nueva Constitución. Sin embargo, adelantó, el borrador propuesto a la ciudadanía no incorpora la creación de una entidad encargada de la ciberseguridad.

Realizando algunas sugerencias de enmiendas a la iniciativa legal, exhibió las siguientes:

• Incorporar un sistema flexible de determinación de infraestructura crítica;

• Establecer exigencias de estándares ISO, así como capacitación en ciberseguridad a funcionarios y trabajadores estratégicos, además de certificados de obsolescencia tecnológica en instalaciones de infraestructura y en sistemas informáticos;

• Contemplar obligaciones de corrección, actualización o medidas de respuestas ante avisos de vulnerabilidades;

• Unificar criterios en materia de infracciones y multas;

• Perfeccionar el procedimiento sancionatorio, definiendo quién realiza los cargos y quien resuelve y sanciona, sin perjuicio de introducir el trámite de apelación de las penas;

• Reincorporar la figura del hacker ético, para contribuir a la identificación de vulnerabilidades y promover la formación de capital humano;

• Exigir la presencia de un oficial de seguridad que sea la contraparte de la institución o empresa con infraestructura crítica, y

• Otorgar la facultad a la Agencia Nacional de Ciberseguridad de declarar estado de emergencia ante ciberataques y facultar el trabajo conjunto con entidades afectadas en casos graves.

Aseguró que esas modificaciones permitirán tener un entorno seguro y resiliente.

Deteniéndose en la interrupción del servicio de telecomunicaciones ocurrida el día 8 de agosto de 2022, indicó que a las 19:30 horas se reportó la caída de internet fijo y móvil de Movistar, sumándose posteriormente la de WOM y VTR. Agregó que a las 20:10 horas, la Subsecretaría de Telecomunicaciones tomó contacto con las empresas referidas, comunicándoles que si el corte excedía las seis horas, los clientes tendrían derecho a ser compensados. Notó que solo dos horas después de ocurridos los hechos, a las 21:30 horas, Movistar informó “intermitencias” desde la Región de Valparaíso al norte, asegurando que ella obedecía a imponderables externos, sin especificar las razones. Finalmente, relató, a las 23:15 horas la citada compañía dio a conocer el restablecimiento de sus operaciones.

Destacó que tal como se aprecia en el evento previamente descrito, la regulación no contempla mecanismos de transparencia para los usuarios ni para el Estado, desconociéndose si hubo un ciberataque o los motivos que desencadenaron la falta de comunicación. Además, lamentó, no hay un organismo que se haga responsable de hechos como el citado.

4) Exposición del ex Subsecretario de Telecomunicaciones, señor Jorge Atton.

El señor Jorge Atton coincidió con el invitado que le precedió en el uso de la palabra, en cuanto a que el proyecto de ley amerita enmiendas para estar a la altura de lo requerido.

Sentando algunos principios básicos en la materia, hizo hincapié en que los esfuerzos en ciberseguridad deben reflejar la naturaleza del espacio a proteger, el que no posee fronteras y es de alcance global. Además, agregó, las normas deben estar basadas en la gestión de riesgos y el foco en identificar qué requiere ser resguardado, por qué, de qué y cómo.

Asimismo, postuló, es indispensable balancear el intercambio de información con la protección de la privacidad. Hoy, constató, existe reticencia a compartir los antecedentes de ciberincidentes, ante el temor de afectar la reputación o las ganancias económicas, o de dañar la imagen del país o la defensa nacional.

También enfatizó que las mejoras prácticas en ciberseguridad deben adaptarse rápidamente a los constantes cambios y a las nuevas tecnologías que emergen diariamente. Por ello, remarcó, las normas que emanen de este proyecto de ley deben ser flexibles. En este punto, advirtió que tecnologías-como la 5G- no se recogen en la iniciativa en estudio.

Otro principio básico, prosiguió, es que debe emplearse un enfoque multisectorial para la definición de estándares, políticas y mejores prácticas.

A continuación, juzgó que el país ha avanzado en innovación y modernización digital; sin embargo, ha descuidado los mecanismos de ciberseguridad. Estos últimos, alertó, deben evolucionar a la par de las primeras, a fin de resguardar la infraestructura crítica, las transacciones, los procesos y las bases de datos, entre otros.

Siguiendo con su intervención, recordó que la Política Nacional de Ciberseguridad, establecida el año 2017, fijó los lineamientos del Estado hasta el año 2022 para alcanzar el objetivo de contar con un ciberespacio libre, abierto, seguro y resiliente, a través de acciones que permitan identificar y gestionar los riesgos. Dicho instrumento, especificó, consagra cinco ejes estratégicos, a saber: 1) infraestructura; 2) legislación; 3) difusión; 4) colaboración internacional, y 5) desarrollo de la industria de ciberseguridad.

De la citada política, indicó, solo ha surgido la ley de delitos informáticos. A la luz de lo expuesto, estimó que su actualización debe llevarse a cabo en forma paralela con los avances pendientes, a fin de no retrasar aún más al país.

Refiriéndose a la gobernanza, observó que la proposición legal no define una estructura clara sobre el particular. Consignó que, conforme a lo planteado en la Política Nacional de Ciberseguridad del año 2017, debía existir un CSIRT Nacional, además de otro para Defensa, uno para el Gobierno y otro para la infraestructura crítica de los sectores más importantes, tal como se aprecia en el gráfico que sigue:

Declaró que el año 2018, se propuso una gobernanza provisoria de ciberseguridad en tanto no entre en vigencia la Ley Marco de Ciberseguridad, que es la que se ve en la lámina siguiente:

Seguidamente, dio a conocer que las metas a lograr en el periodo de transición hacia el referido cuerpo normativo, en lo que respecta a la actualización de decretos de conectividad y ciberseguridad del Estado, eran las que siguen:

1) Incorporar estándares de seguridad informática a las redes de telecomunicaciones;

2) Contemplar nuevos modelos de ciberseguridad en las instituciones del Estado y actualizar su red de conectividad;

3) Dictar un instructivo presidencial sobre gobernanza transitoria y normas mínimas de seguridad digital para el Estado;

4) Incluir exigencias de ciberseguridad a proveedores del Estado, y

5) Establecer coordinación y mecanismos de intercambio de experiencias y de información con gobiernos y entidades internacionales.

La segunda y la última, notó, solo se han cumplido de manera parcial, mientras que en lo que concierne a la cuarta no se ha hecho nada aún.

En cuanto a las metas vinculadas a los centros de infraestructura crítica, señaló que fueron las que se indican:

1) Implementación del Centro de Respuesta a Incidencias Informáticas y de Ciberseguridad en el sector público (Transportes, Salud y Minería, entre otros). Al respecto, comentó, solo se ha implementado el CSIRT de Gobierno (Medidas N º 6 y N° 9 de la Política Nacional de Ciberseguridad), mientras que en las demás áreas no se observa avances;

2) Creación y puesta en marcha de centros de respuesta ante emergencias informáticas en el sector privado (financiero, telecomunicaciones y energía). Alertó que nada se ha hecho al respecto;

3) Implementación de Centros de Respuesta ante Incidentes Informáticos en divisiones de servicios básicos, financieros o de retail más relevantes. En ello, criticó, tampoco ha habido avances.

4) Capacitación y difusión de buenas prácticas en los organismos del Estado, incentivando campañas de información y difusión en las áreas más sensibles para la población al poseer el resguardo y cuidado de su información personal. Acá, remarcó, los progresos han sido escasos.

En relación con los avances de la agenda legislativa vinculada a la ciberseguridad, formulada el año 2018, relató que su estado es el que se señala a continuación:

1) Ley General de Bancos: aprobada. Sin embargo, no se incorporaron exigencias de ciberseguridad del mercado financiero, sino solo una normativa sectorial para la Comisión del Mercado Financiero;

2) Proyecto de ley sobre protección de datos personales (Boletín N° 11.092-07): en tramitación. Connotó que la protección de estos antecedentes es una medida clave;

3) Ley de delitos informáticos: aprobada. Acotó que la tipifica nuevos ilícitos, avanzando en el cumplimiento del Convenio de Budapest. Además, perfecciona lo concerniente a la prueba;

4) Ley Marco de Ciberseguridad: en tramitación. Hizo hincapié en que este cuerpo legal es fundamental para tener definiciones y responsabilidades sobre la materia, además de crear centros de respuesta ante incidencias informáticas en el sector público y en el privado;

5) Proyecto de ley que modifica la ley N° 18.168, General de Telecomunicaciones, en materia de individualización y registro de datos de los usuarios de servicios de telefonía en la modalidad de prepago (Boletín N° 12.042-15): pendiente. Adelantó que traerá beneficios aparejados a la prevención del delito, disminución del fraude en portabilidad y minimización los ilícitos de ciberseguridad, y

6) Ley de Infraestructura Crítica para Sistemas de Información: pendiente, pero asociada a esta iniciativa de ley. Posibilitará la definición de las instituciones públicas y empresas privadas estratégicas para los sistemas de información y su regulación.

Adentrándose en el análisis de la propuesta legal, anheló su perfeccionamiento, especialmente en lo que respecta a su alcance y estructura. Además, opinó que tiene muchos aspectos indefinidos, y que no hay coherencia con las atribuciones de las distintas áreas sectoriales.

Por otra parte, observó que no quedan claras la gobernanza ni las atribuciones de la Agencia Nacional de Ciberseguridad y su coordinación con el Ministerio de Defensa Nacional.

Finalmente, sentenció, no resuelve el modelo de definición de las infraestructuras críticas para los sistemas de información, y no considera el efecto de la tecnología 5G ni el impacto de internet.

Fijando su atención en la presentación realizada el pasado 6 de julio de 2022 por la exministra del Interior y Seguridad Pública, señora Izkia Siches, sobre este proyecto de ley ante la Comisión, celebró la aseveración relativa a que la ciberseguridad es una política de Estado reafirmada en los tres últimos gobiernos.

Asimismo, valoró la incorporación de requisitos en materia de seguridad informática para los sectores económicos regulados, como el de las telecomunicaciones, el financiero y las instituciones de seguridad social, donde se han dictado instrucciones, normas técnicas y resoluciones en los últimos años (Medida Nº 7 de la Política Nacional de Ciberseguridad). Alabó, también, el fortalecimiento de las capacidades para la investigación y el análisis forense de los delitos informáticos (Medida Nº 15 de la Política Nacional de Ciberseguridad).

Con todo, en lo que concierne a la idea de actualizar la aludida política para el período 2022-2026 a través de un proceso abierto y participativo, discrepó de ella, en atención al retraso del país. De avanzar en esa senda, especificó, podría seguirse el mal ejemplo de la Agenda Digital, la que varía en cada gobierno. A mayor abundamiento, recordó que el proceso llevado a cabo el año 2017 fue abierto y participativo.

Para concluir, concordó en la necesidad de ingresar indicaciones que fortalezcan el proyecto -a fin de progresar en su discusión-, superando las debilidades del texto, a partir del trabajo del Comité Interministerial de Ciberseguridad, espacio de coordinación interinstitucional del Estado en el área.

A continuación, el Honorable Senador señor Araya señaló que una de las dudas que deja esta proposición de ley es la naturaleza jurídica que debe tener el órgano encargado de la ciberseguridad, esto es, si debe ser un servicio público o una agencia.

Por otro lado, arguyó que el Director Nacional de la Agencia Nacional de Ciberseguridad no debe ser nombrado por el Sistema de Alta Dirección Pública -como lo propone el texto en estudio-, sino ser un cargo de la exclusiva confianza del Presidente de la República, sin perjuicio del establecimiento de ciertos requisitos.

En relación con estos temas, demandó conocer la opinión de los invitados.

Atendiendo las consultas del legislador, el señor Jorge Atton respondió que la naturaleza jurídica del organismo citado es un asunto muy discutido en la experiencia comparada.

Comentó que el modelo sugerido en el proyecto es similar al previsto en Israel. Llamó a analizar el sistema de ciberseguridad de Australia, Estado que posee una gobernanza similar a la chilena, y el de Estonia, país que fue víctima de ataques cibernéticos por parte de Rusia, afectando considerablemente sus sistemas de información, lo que lo obligó a dictar una ley de ciberseguridad que es de las más destacadas a nivel internacional y contempla directrices, obligaciones y coordinación entre las diversas entidades involucradas. Con todo, previno que cualquiera que sea la decisión, el régimen debe estar inspirado por la flexibilidad, dado el dinamismo de la materia regulada.

A su vez, el señor Pedro Huichalaf coincidió en la importancia de tener a la vista los modelos de ciberseguridad más destacados del mundo a la hora de determinar la gobernanza.

Pormenorizó que la Comisión de Desafíos del Futuro, Ciencia, Tecnología e Innovación del Senado ha motivado la conformación de diversas mesas de trabajo destinadas a lograr coordinación entre distintos actores, tanto del mundo público como privado, en seguridad digital.

En otro orden de ideas, lamentó la ausencia de representantes del Ejecutivo en la sesión en curso y durante toda la tramitación de la iniciativa de ley. Ahondando en sus planteamientos, reiteró que dada la trascendencia del proyecto objeto de análisis, debe ser impulsado por el referido Poder del Estado.

En efecto, alertó que, pese al tiempo transcurrido desde la instalación del Gobierno, aún no hay un coordinador de ciberseguridad que lidere la iniciativa y vele por su avance con celeridad y con una visión común.

Deteniéndose en el último comentario vertido por el expositor que le precedió en el uso de la palabra, el señor Jorge Atton informó que, recientemente, se incorporó al Ministerio del Interior y Seguridad Pública el señor Daniel Álvarez, quien ha dedicado gran parte de su vida profesional a temas de ciberseguridad, y será el que coordinará y dirigirá este proceso. Adelantó que el nombrado experto conoce las fortalezas y debilidades de esta propuesta legal, lo que posibilitará perfeccionarla a través de las indicaciones correspondientes.

5) Exposición del Subsecretario de Telecomunicaciones, señor Claudia Araya.

El Subsecretario de Telecomunicaciones, señor Claudio Araya, hizo ver a los miembros de la Comisión la especial atención que debiera ponerse en la composición de los órganos contemplados en la iniciativa de ley, a fin de no generar burocracia. Particular consideración, acotó, debe haber respecto a la integración del Consejo Técnico de la Agencia Nacional de Ciberseguridad, así como en la del Comité Interministerial de Ciberseguridad.

Otro aspecto relevante, juzgó, es el relativo a la determinación de la infraestructura crítica de la información.

En línea con lo sostenido, sentenció que la Subsecretaría que encabeza tiene mucho que aportar en materia de redes de telecomunicaciones, las que son fundamentales para que los servicios digitales operen adecuadamente. A mayor abundamiento, recordó que los ataques cibernéticos se concretan a través de ellas y, en consecuencia, deben catalogarse como un activo esencial y resguardarse.

Hoy en día, previno, la industria es reacia a tomar acciones sobre el particular. En parte, adujo, porque la legislación existente -ley N° 20.453, que consagra el principio de neutralidad en la red para los consumidores y usuarios de internet- inhibe a inspeccionar direcciones del protocolo de internet o a tomar medidas de filtrado de contenido.

El Honorable Senador señor Huenchumilla consultó al Personero de Gobierno la opinión de la Cartera de Estado por él representada acerca de la proposición legal analizada.

Atendiendo la inquietud del Presidente de la Comisión, el Subsecretario de Telecomunicaciones, señor Claudio Araya, insistió en la necesidad de analizar pormenorizadamente la composición de los organismos comprendidos en el proyecto de ley.

A su vez, el Honorable Senador señor Araya puso de relieve que el largo tiempo que transcurre desde que el ente regulador toma conocimiento de la caída del servicio de internet de una empresa hasta que esta logra reestablecer sus operaciones, da cuenta de que el modelo existente es anacrónico. Así, resaltó, quedó al descubierto la semana pasada con lo ocurrido con Movistar.

En consecuencia, preguntó cuáles debieran ser las facultades de la Agencia Nacional de Ciberseguridad para cumplir cabalmente su cometido, especialmente ante casos como el citado, para evitar que se repitan.

El Subsecretario de Telecomunicaciones, señor Claudio Araya, contestó que, conforme a lo dispuesto en el decreto N° 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, la facultad de declarar una infraestructura de la información como crítica corresponde a las empresas. Esto, subrayó, se ha transformado en una gran valla, toda vez que las compañías actúan en función de la cantidad de abonados afectados. Sin embargo, advirtió, estos eventos suelen trascender a los particulares. Así, ejemplificó, quedó de manifiesto con la caída de Entel hace algunas semanas, la que repercutió en el quehacer del Servicio de Registro Civil e Identificación.

En virtud de lo indicado, calificó como una función indispensable de la Agencia Nacional de Ciberseguridad definir cuáles son los sectores o instituciones que poseen activos digitales esenciales.

6) Exposición de la Cámara Chilena de Infraestructura Digital.

La Directora Ejecutiva de la Cámara Chilena de Infraestructura Digital, señora Corina Gómez, puso de relieve, en primer término, que la iniciativa de ley objeto de análisis reviste suma importancia para el mercado de las telecomunicaciones, los socios de la entidad que representa y los consumidores.

Argumentó que la organización que dirige es una alianza público privada -que incluye a doce empresas del rubro aludido-, dedicada al despliegue de infraestructura pasiva; es decir, a la construcción de antenas, redes de fibra óptica, pequeños puntos de acceso móvil y centros de procesamiento de datos, entre otros. En definitiva, precisó, su quehacer está en los medios, servicios e instalaciones habilitantes para las comunicaciones a distancia.

Informó que a la Cámara Chilena de Infraestructura Digital se suman, también, municipalidades, como la de Renca y la de Licantén; el Gobernador de la Región de Magallanes y de la Antártica Chilena, y dos institutos profesionales, Inacap e Infocap.

El propósito de su asociación gremial, en tanto, reveló, radica en disminuir la desigualdad tecnológica y habilitar las instalaciones para el despliegue de la comunicación a distancia.

Enfatizó que la proposición legal en estudio es de gran interés para la entidad que integra, atendida la cantidad de transacciones que sus consumidores efectúan. En este sector, connotó, las operaciones que se hacen en dos horas equivalen a las que se llevan a cabo en 36 horas en el comercio minorista y en la banca.

Proporcionando algunos datos del mercado de las comunicaciones a distancia, subrayó que, actualmente, el país se encuentra en un escenario de digitalización total. De hecho, destacó, existen 26 millones de conexiones móviles, cifra superior al número de habitantes. Además, prosiguió, el 67,48 % de los hogares tiene internet fija.

En sintonía con lo expuesto, resaltó que la Organización para la Cooperación y el Desarrollo Económicos posiciona a Chile como uno de los Estados con mayor crecimiento en materia de uniones fijas a fibra óptica, lo que permite que las personas puedan tener una mejor conectividad y menor latencia.

Adicionalmente, dio a conocer que el ranking mundial de velocidades de internet, realizado por la empresa Ookla, ubica al país en el segundo puesto de la banda ancha fija más veloz y el primero en la OCDE, superando en este ámbito a Estados Unidos y a Canadá.

Los antecedentes proporcionados, hizo hincapié, dan cuenta de un mundo globalizado, en donde el tráfico de información es relevante, siendo las redes de telecomunicaciones las encargadas de suministrarla a los consumidores finales.

Ilustrando el avance de la tecnología 4G desde el 2014 a la fecha, exhibió el gráfico que sigue:

A continuación, manifestó que, conforme a lo publicado recientemente por el Observatorio Iberoamericano de la Ciencia, la Tecnología y la Sociedad (OCTS), Chile lidera el ranking en la región en este tipo de servicios, al ser el Estado con mejor conectividad. Esto evidencia, acotó, que ella, la infraestructura digital y el acceso a internet son asuntos estratégicos para el país y, por lo tanto, las leyes vinculadas también tienen este carácter.

Notó que el avance de la tecnología 5G, a abril del año en curso, ha significado más de 545.000 conexiones, lo que ha supuesto un progreso para la agricultura y la telemedicina, entre otras áreas.

Centrando su atención en la iniciativa de ley, apuntó que es necesaria para Chile, toda vez que llevará a una gobernanza de ciberseguridad. Además, prosiguió, elevará los estándares nacionales, al crear la institucionalidad sobre el particular; reconocerá legalmente unidades que ya existen por decreto en el aparato del Estado, como el Comité Interministerial de Ciberseguridad y el CSIRT del Ministerio del Interior y Seguridad Pública; resguardará la seguridad de las personas en el espacio virtual, y definirá a las infraestructuras críticas de la información.

Sin perjuicio de las fortalezas indicadas, juzgó ineludible advertir, también, las oportunidades de perfeccionamiento. La primera, especificó, radica en evaluar la conveniencia de la Agencia Nacional de Ciberseguridad como el órgano idóneo para enfrentar los desafíos y reportar los mejores resultados.

En el mismo orden de ideas, declaró que una de las dudas a resolver es la gobernanza y las atribuciones de dicha entidad, y cómo se coordinará con la Cartera de Defensa Nacional y con el Ministerio del Interior y Seguridad Pública.

Otro aspecto a perfeccionar, continuó, dice relación con la dependencia o autonomía de la Agencia Nacional de Ciberseguridad, toda vez que el texto en debate nada prescribe al respecto.

Asimismo, alertó que dentro de las funciones del organismo aludido se contempla la de prestar asesoría técnica a instituciones públicas y privadas afectadas por un incidente de ciberseguridad. Opinó que tal decisión lleva a cuestionarse si este órgano será un actor más del mercado; es decir, una empresa de ciberseguridad. De ser así, observó, debiera especificarse la imparcialidad que tendrá al momento de brindar este tipo de prestación.

Siguiendo con el análisis de la proposición de ley, planteó que el artículo 2° define un servicio esencial como todo aquel respecto del cual la afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente, de modo general, el normal desarrollo y bienestar de la población. Estimó que atribuir un significado tan amplio a dicha locución posibilita que cualquiera pueda ser calificado como tal.

Fijando su atención en el artículo 4° de la iniciativa legal, expuso que la determinación de una infraestructura como crítica colisiona con aquella prevista en el decreto supremo N° 60, de 2021, del Ministerio de Transportes y Telecomunicaciones. Este último cuerpo normativo, explicó, la define como aquellos sistemas de comunicación a distancia cuya interrupción, destrucción, corte o fallo generaría un serio impacto en la seguridad de la población afectada, adicionando que, para estos efectos, será aquella que sea declarada como tal conforme al artículo 24 del reglamento.

Postuló que, sin lugar a dudas, las redes de telecomunicaciones son activos esenciales para el funcionamiento de la sociedad, puesto que su suspensión podría llegar a paralizar la vida de los habitantes de un país. En efecto, aseveró, existen al menos cuatro sectores que requieren de ellas para su normal funcionamiento, tal como se aprecia en la lámina que sigue:

Luego, reveló que muchos de los asociados de la Cámara Chilena de Infraestructura Digital experimentan el robo de cables de fibra óptica. Comentó que, entre enero y julio de 2022, ha habido más de 7.216 de estos actos de vandalismo en la Región Metropolitana, afectando, principalmente, a los servicios fijos y móviles, mediante su interrupción.

Agregó que diariamente el sector de telecomunicaciones vive más de 60 ilícitos solo en la Capital, lo que genera preocupación en la organización. Arguyó que cifras parecidas se constatan en las regiones del Libertador Bernardo O´Higgins y en la de Valparaíso.

En atención a lo señalado, recordó que el artículo 16 del texto objeto de examen contempla la creación del Registro Nacional de Incidentes de Ciberseguridad. Al respecto, llamó a tener una mirada más aguda sobre la cantidad de reportes que tendrá que recibir este padrón.

Por otra parte, afirmó que sería conveniente que el Ministerio Público tenga acceso al citado inventario, a fin de poseer los insumos para la persecución de estos ilícitos. En este punto, hizo presente que hoy se recurre al delito de daños a la propiedad o a los bienes nacionales de uso público, en circunstancias que existe una figura penal específica en el artículo 36 B de la ley general de telecomunicaciones, la que impone penas más gravosas a quienes incurren en esas conductas. Por ello, insistió, se requiere entregar los mecanismos idóneos a la Fiscalía para que pueda formalizar correctamente.

Acto seguido, relató que la Cámara Chilena de Infraestructura Digital forma parte de la Alianza por el Cifrado en América Latina y el Caribe, organización conformada por más de 35 entidades del ecosistema digital que velan por los derechos y las políticas públicas de esta índole.

Puso de manifiesto que el cifrado de extremo a extremo es una tecnología fundamental para la seguridad y privacidad en dicho ambiente, así como también para el respeto, promoción y garantía de los derechos humanos y el desarrollo económico, sostenible e inclusivo.

Para concluir, observó que la institución aludida, tras conocer esta iniciativa de ley, sugirió que, dentro de los principios rectores del artículo 3°, se incluya al de cifrado de extremo a extremo, para que las comunicaciones tengan tal carácter desde su envío hasta su recepción por el destinatario, de manera que nadie pueda acceder a ellas ni interferir en su tránsito.

El Honorable Senador señor Pugh enfatizó que esta iniciativa de ley protegerá la infraestructura crítica de la información, la que el 99% del tiempo está en los cables de fibra óptica que conducen los datos.

En virtud de lo indicado, compartió la preocupación de la entidad recibida en audiencia respecto a la destrucción de los aludidos bienes. Remarcó que constituye un daño a activos que son esenciales para el funcionamiento de la sociedad y de la economía, y produce efectos que pueden llegar a ser mortales.

En relación con la dependencia de la Agencia Nacional de Ciberseguridad, opinó que debe ser un organismo capaz de coordinar todas las actividades. En este contexto, concordó con la idea de un ente de nivel superior, de modo de determinar la atribución de los ataques y, consecuentemente, de responder correctamente.

Acerca de la carta de la Alianza por el Cifrado en Latinoamérica y el Caribe, reconoció que muchas aplicaciones -entre ellas WhatsApp- se encuentran cifradas. Sin embargo, juzgó que es imprescindible que las policías, debidamente autorizadas en ciertos procedimientos, tengan la facultad para intervenir las comunicaciones con la finalidad de probar el hecho delictual.

En sintonía con lo expuesto, connotó que Chile es el primer país en América Latina en actualizar su ley de delitos informáticos y en incorporar el Convenio de Budapest, que permite perseguir el cibercrimen trasnacional con 66 naciones. Subrayó que el segundo protocolo de este tratado habilita a los órganos mencionados para intercambiar evidencia y solicitarla a las compañías. Ello, adujo, porque para saber qué está ocurriendo se requiere el apoyo de las empresas.

A la luz de lo expresado, preguntó a la expositora su parecer respecto a la posibilidad de que las policías, en los casos aludidos, accedan a las comunicaciones cifradas.

Para terminar, recordó que en el plebiscito del próximo 4 de septiembre se empleará infraestructura crítica de la información -llamando a protegerla-, a fin de evitar experiencias como el reciente secuestro de datos del Servicio Nacional del Consumidor.

Atendiendo la consulta del legislador que le precedió en el uso de la palabra, la Directora Ejecutiva de la Cámara Chilena de Infraestructura Digital, señora Corina Gómez, aseguró que la asociación gremial que representa siempre ha acatado la legislación nacional y que así también lo hará en caso de dictarse una normativa como la planteada. No obstante, hizo ver que la protección de la información y de los datos personales son sustanciales para el ejercicio de los derechos fundamentales y para el libre acceso al ecosistema digital y al ciberespacio.

A su turno, el Honorable Senador señor Huenchumilla recordó que, conforme a la tramitación dispuesta por la Sala del Senado, la propuesta legal debe ser estudiada, en general, primeramente, por esta Comisión, la que lo hará desde la óptica de la Defensa Nacional, y, posteriormente, por la de Seguridad Pública, la que la examinará a la luz de la seguridad interior del Estado.

Comunicó que la segunda instancia legislativa citada está analizando, en particular, el proyecto de ley que crea el Ministerio de Seguridad Pública (Boletín N° 14.614-07). Añadió que, oportunamente, se coordinarán ambas iniciativas.

Para finalizar, solicitó a la Directora Ejecutiva de la Cámara Chilena de Infraestructura Digital hacer llegar a esta Comisión mayores antecedentes respecto a los tipos penales aludidos con ocasión de los hechos de vandalismo relatados.

7) Exposición del profesor de Derecho Informático de la Pontificia Universidad Católica de Valparaíso, señor Renato Jijena.

El profesor de Derecho Informático de la Pontificia Universidad Católica de Valparaíso, señor Renato Jijena, juzgó, en primer término, que, quizás, esta proposición de ley debiera ser revisada también por la Comisión de Constitución, Legislación, Justicia y Reglamento, toda vez que contiene algunos aspectos que impactan en materia de derechos fundamentales.

Posteriormente, consignó que el proyecto en estudio tiene dos piedras basales: la ciberseguridad, por un lado, y la infraestructura crítica, por otro.

En términos generales, respaldó la iniciativa de ley. Justificando su posición, puntualizó que está bien estructurada; es completa; propone una legislación moderna; actualiza algunos conceptos, y sus objetivos generales y principios rectores, a priori, parecen bien definidos. Con todo, prosiguió, ello no obsta a la necesidad de depurar algunos de sus aspectos, especialmente los que se repiten, como el concepto de ciberespacio.

Alertó que tal expresión está contenida en la Política Nacional de Ciberseguridad, y que el texto en discusión la reformula. En consecuencia, llamó a revisarlo.

Continuando con el desarrollo de su exposición, puso de relieve que el estado de conectividad de Chile en el contexto del ciberespacio vía redes -y en especial mediante internet- es muy alto y se incrementa a diario, lo que inevitablemente se traduce en riesgos, vulnerabilidades e incidentes de ciberseguridad. Así, especificó, se observa, por ejemplo, en el caso del Servicio Nacional del Consumidor.

En la medida en que hay más servidores y conectividad susceptibles de atentados, mayor será el número de accesos indebidos, lamentó. Esta realidad obliga a adoptar medidas de prevención y a que exista un órgano ad hoc para tal propósito. Al respecto, consideró que la Agencia Nacional de Ciberseguridad será un significativo aporte. Sin perjuicio de ello, advirtió la utilidad de revisar algunas de sus atribuciones, como la fijación unilateral de estándares mínimos de ciberseguridad para los órganos de la Administración del Estado.

Centrándose en el ámbito de aplicación de esta ley marco, sostuvo que abre la puerta a un posible conflicto, dado que ya existe un concepto legal sobre el particular, a menos que ambos sean complementarios. En efecto, planteó que el decreto supremo N° 533, de 2015, del Ministerio del Interior y Seguridad Pública, entiende por ciberseguridad a una condición en el ciberespacio, que se caracteriza por un mínimo de riesgos y amenazas a las infraestructuras tecnológicas, a los componentes lógicos de la información y a las interacciones que se verifican en él, debiendo tener en cuenta las políticas y técnicas para lograr esa condición. Por su lado, acotó, el artículo 2°, N° 4, de esta iniciativa, pone otros énfasis y alude a las acciones para el estudio y el manejo de las amenazas y los riesgos y a la prevención, mitigación y respuesta frente a los eventos que afecten a los activos informáticos y de servicios.

Lo dicho, hizo hincapié, no es algo menor, porque, al momento de fijar los alcances de la aplicación de esta ley, será clave y podría conducir a su judicialización.

En lo que atañe a los principios rectores, los compartió y calificó de idóneos. Algunos, puntualizó, son generales y obvios, como el de responsabilidad, y están en el mundo público y en el privado. Aseveró que en este último sector hay áreas que ya lo contemplan; así, verbigracia, ocurre en el caso de la banca, en donde la Comisión del Mercado Financiero tiene grandes exigencias en la materia. A ello, continuó, se suman textos estandarizados, como ciertas normas ISO.

Sin embargo, anunció, se formulan otros, cuyo alcance deberá ser interpretado según la lex artis y los estándares conocidos de ciberseguridad, como el de protección integral, el de confidencialidad, el de disponibilidad y el de integridad de los sistemas informáticos. Así, por ejemplo, ocurre al aludirse copulativamente a la determinación de los riesgos potenciales que puedan afectar a los sistemas, servidores y redes y -para su protección- a la aplicación de las medidas técnicas, organizativas y de gestión apropiadas, bajo el paraguas de la protección integral. Lo anterior, adelantó, puede acarrear conflictos, por lo que es recomendable un mayor desarrollo en el texto legal.

En cuanto a los objetivos generales, señaló que la propuesta legal declara los cuatro siguientes, que, a priori, el articulado operativiza en forma correcta:

a) Establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado, y entre estos y los particulares;

b) Disponer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad;

c) Contemplar las atribuciones y obligaciones de los órganos del Estado, así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica, e

d) Incluir mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.

Apuntó que un aspecto que parece muy trascendente es el que dice relación con los derechos fundamentales. En este punto, observó que a la Agencia Nacional de Ciberseguridad se le mandata para cautelar, especialmente, la reserva de los secretos y de la información comercial sensible de que conozca -esto es, su confidencialidad-, así como el respeto a los derechos fundamentales del artículo 19, N° 4, de la Constitución Política de la República. Estos últimos, explicó, son dos, diversos y autónomos, siendo el más amplio la protección de datos personales, correspondientes a aquellos que identifican o hacen identificable a una persona natural y, el más restrictivo, la vida privada o privacidad.

Por consiguiente, el señor Jijena valoró que la iniciativa de ley contemple como un deber explícito de la entidad referida respetar la reserva de los antecedentes de las personas.

Para terminar, fijó su atención en el Título VII, referido a las infracciones y sanciones. Sobre el particular, previno que, al margen de los montos de las multas, los elementos a considerar para fijarlas -en una primera lectura- aparecen muy genéricos, reflejándose ello, por ejemplo, en la ponderación relativa a si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones. En atención a tal advertencia, estimó conveniente que, a nivel legal, se fijen criterios de determinación más rígidos y exigentes.

El Honorable Senador señor Pugh remarcó que todas las acciones a desarrollar en el ciberespacio deben ser reguladas. Especificó que piezas esenciales en él son la identidad digital y los derechos de las personas, como la libertad de expresión. Aclaró que este tipo de derechos no corresponde a las máquinas.

Por otro lado, afirmó que los ataques suelen provenir de bandas criminales que trabajan con inteligencia artificial. Agregó que los accesos indebidos se incrementarán en la medida en que aumenten las conexiones, dado que la amplitud de la superficie supone también la de incidentes. Resaltó que la tecnología 5G implicará billones de dispositivos vinculados que proporcionan información, todos los cuales merecen protección.

En el mismo orden de ideas, notó que Chile ingresa a una velocidad increíble a la dimensión digital; en efecto, es el país que tiene la mayor cantidad de conexiones, pese a lo cual aún no posee una legislación sobre ciberseguridad. En consecuencia, hizo un llamado a precaver los riesgos que implica la apertura a tal dimensión, y destacó que esta es la primera normativa en donde quedará establecido qué significa este nuevo espacio.

Estimó también importante otros cuerpos legales que sostienen a este proyecto; entre ellos, la iniciativa sobre protección de datos personales (Boletín N° 11.092-07).

Adicionalmente, dijo que es esencial que la futura ley responda a las transformaciones digitales venideras. Actualmente, recordó, se está pasando del internet 2D al 3D, en donde ocurrirán interacciones desconocidas.

En lo que atañe al modelo más adecuado a implementar, recomendó revisar la experiencia comparada. Con todo, afirmó que el país tiene recursos financieros para el desarrollo de la ciberseguridad, toda vez que existe un crédito del Banco Interamericano de Desarrollo para ello.

Siguiendo con su intervención, anheló el resguardo no solo del sector público, sino también del privado. A mayor abundamiento, aspiró a que los proveedores de servicios del Estado cuenten con sus propios centros de respuesta ante incidentes, y que haya un gran coordinador nacional. Informó que España, en enero del año en curso, creó el Centro de Operaciones de Ciberseguridad, que abarca al mundo físico y al digital, e indicó que medidas como la expuesta son esenciales en escenarios de guerras híbridas, como la que vive Ucrania.

A su vez, el Honorable Senador señor Huenchumilla solicitó al invitado profundizar en el breve análisis constitucional efectuado al aludir al artículo 19, N° 4, de la Carta Fundamental.

Abocándose a los requerimientos del Presidente de la Comisión, el profesor de Derecho Informático de la Pontificia Universidad Católica de Valparaíso, señor Renato Jijena, explicó que una pregunta clave a tener en consideración es cuáles son las responsabilidades que se pueden generar y cómo afectan los bienes jurídicos fundamentales.

Relató que el debate tecnológico está estrechamente vinculado a la confidencialidad. Aclaró que esta es distinta a la privacidad y a la protección de datos. Así, especificó que aquella es un atributo de los sistemas, servidores, redes y bases, entre otros, y que para ello hay obligaciones de secreto y existe el decreto supremo N° 83, del Ministerio Secretaría General de la Presidencia, promulgado en 2004 y publicado en 2005, norma técnica del sistema de ciberseguridad y gestión de la información.

Detalló que una de las atribuciones de la Agencia Nacional de Ciberseguridad se relaciona con el respecto de las garantías constitucionales a las que alude el artículo 19, N° 4, de la Constitución Política de la República, particularmente con la protección de antecedentes personales de los individuos. Notó que, si bien está consagrada en el Texto Supremo, no ha sido objeto de una construcción robusta a nivel legal.

Consideró que el proyecto, al otorgar facultades a la Agencia Nacional de Ciberseguridad, debe analizar bien cuáles serán las que poseerá en materia de fiscalización, evitando transformarla en una entidad de protección de datos que entre en conflicto con la existente.

En definitiva, prosiguió, es indispensable desarrollar más las facultades de control que tendrá en el caso de que los antecedentes referidos sean vulnerados por un incidente de ciberseguridad como, por ejemplo, si se filtraran las bases de información de salud de los ciudadanos, pues el texto solo lo aborda tangencialmente.

El Honorable Senador señor Macaya puso de relieve que la proposición legal en estudio es de suma importancia para el país. Por ello, lamentó la ausencia del Ejecutivo en su tramitación. A mayor abundamiento, expresó que, conforme a nuestro ordenamiento jurídico, es un órgano colegislador.

Adicionalmente, destacó que la Agencia Nacional de Ciberseguridad será una institución pública y, en consecuencia, el Ministerio del Interior y Seguridad Pública y el de Defensa Nacional debieran seguir de cerca su estudio.

En línea con lo expuesto, solicitó al Presidente de la Comisión comunicarse con las Secretarias de Estado aludidas, manifestándoles la preocupación ante el abandono de este proyecto de ley. Además, requirió que les solicitara informar qué medidas adoptarán para perfeccionarlo.

El Honorable Senador señor Saavedra pidió claridad sobre la naturaleza jurídica de la Agencia Nacional de Ciberseguridad, como también respecto a qué ministerios quedará vinculada.

Por otro lado, anheló saber quién, a su vez, controlará a esta entidad, con la finalidad de garantizar que Chile no será vulnerado por países más desarrollados.

Por último, hizo ver que las investigaciones realizadas por las instituciones de educación superior pueden servir como un camino de independencia tecnológica y para proteger la ciberseguridad del Estado, razón por la cual llamó a tenerlas a la vista.

8) Exposición de la Académica de la Universidad Adolfo Ibáñez, señora Romina Garrido.

La académica de la Universidad Adolfo Ibáñez, señora Romina Garrido, afirmó que la necesidad de hablar de seguridad en el espacio virtual surge del incremento de las relaciones humanas en dicho lugar. En efecto, resaltó que este ha devenido en un sitio de interacción, en donde las personas adquieren servicios, realizan compras y ventas, desarrollan relaciones sociales y estudian.

Puso de relieve que, en un contexto de aumento de las capacidades de producción, recolección y tratamiento de datos digitales, la ciberseguridad juega un rol fundamental para la protección de la información. A las razones señaladas, recordó, se suma el hecho que el Estado se ha volcado a ser digital, luego de la entrada en vigencia de la ley N° 21.180. De esta manera, insistió, aquella se torna un elemento básico para llevar adelante el referido proceso, así como el ejercicio de los derechos de los individuos en este nuevo mundo.

Consignó que la Política Nacional de Ciberseguridad del año 2017, que fija una hoja de ruta hasta el 2022, plantea un ecosistema normativo para recorrer la ruta trazada. Dentro de los compromisos asumidos en el escenario citado, acotó, se encuentra la ley de protección de datos -en tramitación en la Cámara de Diputados (Boletín N° 11.092-07)-; la fijación de estándares para ciertos sectores fundamentales de la sociedad, como el bancario, el de las telecomunicaciones, el de las pensiones, el eléctrico y el de la seguridad social; la ley de delitos informáticos, y la ley marco de ciberseguridad, tal como se aprecia en el gráfico que sigue:

Así, observó, esta propuesta legal cumple con uno de los compromisos asumidos en el instrumento indicado, y aborda en un solo texto normativo la gobernanza de la ciberseguridad, por un lado, y la infraestructura crítica de la información, por otro.

Declaró que los objetivos de esta iniciativa de ley consisten en sentar las bases de la institucionalidad de la seguridad virtual, los principios rectores y los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de esta naturaleza, y establecer las atribuciones y obligaciones de los órganos del Estado, así como de las instituciones privadas que posean infraestructura de la información calificada como crítica.

En sintonía con lo expuesto, llamó a tener en cuenta que si bien en la actualidad existe un modelo de gobernanza provisorio, se requiere uno de carácter permanente, capaz de fijar las exigencias básicas para la coordinación de todos los actores participantes.

Adentrándose en el análisis de la proposición de ley, comentó que ella presenta la siguiente estructura:

Puso de manifiesto que, a diferencia de los textos legales de la experiencia comparada, este define la expresión ciberseguridad, concepto en evolución. Al respecto, especificó que se entiende por ella el conjunto de acciones destinadas al estudio y manejo de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención, mitigación y respuesta frente a estos, así como para reducir sus efectos y el daño causado, antes, durante y después de su ocurrencia, respecto de los activos informáticos y de servicios. Celebró en este punto la iniciativa aludida, mas llamó a revisar su descripción para evitar ser presa de ella.

Exhibiendo un esquema del proyecto en estudio, sostuvo que su columna vertebral está constituida por la Agencia Nacional de Ciberseguridad y los órganos que se indican a continuación:

Relató que, en un primer momento, el citado organismo rector será una entidad dependiente del Ministerio del Interior y Seguridad Pública. A futuro, consideró, debiera alojarse en el nuevo Ministerio de Seguridad Pública.

Fijando su atención en las funciones previstas para la Agencia Nacional de Ciberseguridad, informó las siguientes:

1) Asesorar al Presidente de la República en el análisis y definiciones de la política nacional de ciberseguridad, así como en los planes y programas de acción específicos para su ejecución y cumplimiento y en temas relativos a estrategias de avance en su implementación;

2) Coordinar el ecosistema de actores;

3) Dictar la normativa técnica;

4) Administrar el Registro Nacional de Incidentes de Ciberseguridad;

5) Regular y fiscalizar al Estado y a los privados que posean infraestructura de la información calificada como crítica y que no estén sometidos a una competencia específica. Al respecto, juzgó esencial expresar con mayor precisión a quién corresponderá llevar a cabo tales acciones, dado que el texto en debate no señala si tal función corresponderá a Superintendencias, Subsecretarías o al Sernac, y

6) Cursar las sanciones y llevar los procedimientos sancionatorios. Tal labor, puntualizó, corresponde al Director.

Establecido lo anterior, enfatizó que contar con una Agencia Nacional de Ciberseguridad es una necesidad urgente, toda vez que será la institucionalidad coordinadora del ecosistema de seguridad virtual. Añadió que la entidad mencionada es más que un mero organismo técnico. En efecto, subrayó, es una institución de gestión, análisis, de generación de cultura, de colaboración y quien tendrá una mirada estratégica. Ella, descartó, no es centro de respuesta ante incidentes, y deberá coordinarse con la Agencia de Protección de Datos.

Seguidamente, hizo un llamado a revisar su estructura funcional, su dependencia y la relación con otros entes públicos, particularmente en lo que refiere a sus capacidades regulatorias.

Deteniéndose en los CSIRT sectoriales, afirmó que muestran un gran avance. Con todo, manifestó la conveniencia de precisar quiénes cumplirán dicha función.

Aseveró que los órganos referidos constituyen la formalización de una estructura existente. En este punto, recordó que actualmente hay entidades de esta naturaleza con normativa propia. No obstante, alertó, se observa un alto grado de dispersión, requiriéndose la coordinación de la Agencia Nacional de Ciberseguridad.

Adicionalmente, estimó que la cadena de reportes es compleja y que falta claridad en las obligaciones que deben cumplir las instituciones reguladas, debiendo especificarse a quién y cómo comunicar. Ello, justificó, porque compartir información es una pieza clave.

Por otro lado, planteó que es indispensable que los CSIRT sectoriales estén coordinados con el CSIRT Nacional.

Siguiendo con el análisis de la proposición legal, se detuvo en las infraestructuras críticas de la información. Puntualizó que el proyecto las define como aquellas instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

Previno que por servicios esenciales, en tanto, se comprende a todos aquellos cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente: a) La vida o integridad física de las personas; b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones; c) El normal funcionamiento de obras públicas fiscales y medios de transporte; d) La generalidad de usuarios o clientes de sistemas necesarios para operaciones financieras, bancarias, de medios de pago y/o que facultan la transacción de dinero o valores y, e) de modo general, el normal desarrollo y bienestar de la población.

Respecto al procedimiento para efectuar tal calificación, connotó que, conforme a lo dispuesto en el artículo 4° de la iniciativa de ley, el Ministerio del Interior y Seguridad Pública requerirá, cada dos años, al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que detalle cuáles son los sectores o instituciones que la poseen. Valoró tal mecanismo, en atención a la flexibilidad que proporciona.

Sin embargo, instó a revisar los factores que permiten concluir que en un área o institución existe infraestructura de la información que deba calificarse como crítica, dada su amplitud.

Continuando con su atención puesta en la misma materia, apuntó que la propuesta de ley contempla deberes generales para quienes las posean. Ellos, acotó, consisten en aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado.

Adicionó que las obligaciones específicas para el sector público y privado, en tanto, radican en la gestión de riesgos y en la forma de hacer su seguimiento, ejercicios continuos de revisión, simulacros y en la adopción de medidas de seguridad para reducir los impactos y los daños que pudieran ocasionar los incidentes de ciberseguridad. Remarcó que el incumplimiento de estas constituye una infracción a la ley.

Asimismo, develó la oportunidad para precisar adecuadamente el rol del Consejo Técnico y de la Agencia Nacional de Ciberseguridad en la definición de las infraestructuras críticas de la información. Ello, argumentó, porque la propuesta indica que el primer organismo citado elaborará un informe exponiendo cuáles son las secciones o instituciones que las poseen, pero es el Ministerio del Interior y Seguridad Pública quien decide. En consecuencia, criticó, no se confiere un rol al primero.

Expresó que hay algunas ambigüedades que es imprescindible precisar, especialmente respecto a las responsabilidades derivadas de tal calificación. Sobre el particular, notó que el texto en tramitación presume que el hecho de determinar que un sector las tiene conlleva que las instituciones que lo conforman también.

En relación con el deber de comunicar previsto en la propuesta legal, sentenció que es una pieza clave para el funcionamiento del sistema. En este punto, hizo ver también algunos ajustes a realizar. Ahondando en su afirmación, explicó que por un lado hay un deber de información de la Agencia Nacional de Ciberseguridad al ecosistema de las alarmas de incidentes y uno desde lo sectorial hacia las infraestructuras críticas de la información. Pero, además, observó, hay uno desde los CSIRT Sectoriales hacia la Agencia cuando los incidentes tienen un impacto significativo.

En resumen, constató, la imposición mencionada se traduce en lo siguiente:

1) La Agencia informa a los CSIRT sectoriales alarmas de incidentes;

2) Los sectoriales, a las entidades de la administración y órganos regulados de su sector;

3) Las infraestructuras críticas de la información deben reportar a su CSIRT sectorial;

4) Los CSIRT sectoriales también deben comunicar a la Agencia incidentes de impacto significativo.

Planteó que las referencias a la Agencia Nacional de Ciberseguridad debieran hacerse al CSIRT Nacional.

Adicionalmente, expuso que si bien el deber de informar se encuentra dentro del régimen sancionatorio, no se entiende qué es lo que se castiga.

Formulando algunas conclusiones a su intervención, enfatizó que la iniciativa de ley avanza en una línea correcta, pero propone una estructura diversificada.

Opinó que un diseño descentralizado permite crear una mirada especializada en los sectores, evaluando impactos, culturas organizativas y generando estrategias que, sin duda, pueden converger con una coordinación eficaz.

En lo que atañe a la Agencia Nacional de Ciberseguridad, connotó la necesidad de delimitar sus funciones y alivianar su burocrática estructura. Al respecto, juzgó que algunas de las instituciones de la gobernanza transitoria no son indispensables, como el Comité Interministerial de Ciberseguridad.

Sugirió, además, revisar los criterios para las infraestructuras críticas de la información, como también los de reportes de incidencias.

Para concluir, hizo hincapié en que la protección del ciberespacio es vital para el bienestar de la población y para el funcionamiento de la sociedad, y remarcó que Chile está al debe en esta materia que constituye un componente de la seguridad pública.

El Honorable Senador señor Pugh advirtió que la exposición de la académica de la Universidad Adolfo Ibáñez hace reflexionar respecto a la utilidad de posicionar la Agencia Nacional de Ciberseguridad en un ecosistema de seguridad y dentro del futuro Ministerio de Seguridad Pública.

Agregó que al interior de la referida Cartera quedarán alojadas distintas entidades, entre ellas aquella cuya creación se propone en esta iniciativa de ley y la Agencia Nacional de Inteligencia.

En atención a lo indicado, llamó a evitar posibles conflictos entre ambas, asegurando una relación armónica. Justificando su posición, destacó que el proyecto de ley que fortalece y moderniza el sistema de inteligencia del Estado, contenido en el Boletín N° 12.234-02, considera también la evaluación de las infraestructuras críticas.

Por otro lado, previno que el mencionado ecosistema tiene diversos niveles. En ese contexto, subrayó que el CSIRT Nacional debiera ser un órgano supraministerial, a fin de tener la capacidad de ver qué está pasando en todo el Estado y de determinar cómo este y los privados -que gestionan el 85% de la infraestructura crítica nacional- pueden colaborar.

En línea con lo anterior, reiteró que España, en enero del año en curso, creó el Centro de Operaciones de Ciberseguridad, instancia que se ubica en un grado superior al de las Secretarías de Estado para coordinar todo lo que ocurre.

Recomendó también tener a la vista la experiencia española en lo que a los reportes respecta. Puntualizó que, en esta área, dicho país trabaja con sondas, las que ven las conexiones que están ocurriendo con los servidores, las que al detectar algo extraño, informan de inmediato. De esta manera, constató, el proceso aludido está automatizado, garantizando reacciones rápidas.

Siguiendo con su atención puesta en el CSIRT Nacional, instó a sustituir su denominación. La de hoy, acotó, da a entender que este equipo será el encargado de resolver incidentes de ciberseguridad, en circunstancias que no será así.

En el mismo orden de ideas, calificó como esencial que el órgano nombrado tenga la capacidad de determinar la atribución de los ataques.

Finalmente, solicitó a la invitada, de ser posible, remitir a la Comisión un documento en el que se expongan con mayor precisión aquellos aspectos que pudieran generar problemas de coordinación.

9) Exposición del Académico de la Universidad del Desarrollo, señor Juan Pablo González.

El académico de la Universidad del Desarrollo, señor Juan Pablo González, alabó la iniciativa de ley en estudio, toda vez que hará posible contar con una gobernanza definitiva en ciberseguridad. Recordó que actualmente Chile tiene una transitoria, liderada por el Ministerio del Interior y Seguridad Pública, en donde se aloja CSIRT Nacional. Además, agregó, el país posee un Comité Interministerial de Ciberseguridad, instancia presidida por el Subsecretario del ramo.

Sostuvo que, en paralelo, existe la Política Nacional de Ciberdefensa, la que fija una hoja de ruta para abordar la seguridad informática hasta el año 2022. Sin perjuicio de ello, notó, en la práctica, diversos sectores han dictado su normativa y se requiere homogeneizar la regulación.

Reveló que el CSIRT existente ha realizado enormes esfuerzos no solo en las materias propias de este tipo de entidad técnica -el manejo de incidentes informáticos, la promoción de buenas prácticas para su detección y la generación de entrenamiento a los diversos órganos de la Administración del Estado-, sino que también participa en la dictación de políticas públicas, leyes y reglamentos, lo que es propio de la labor de una autoridad especializada.

No obstante, estimó que el rol asumido debiera quedar radicado en la Agencia Nacional de Ciberseguridad, con el objeto de que pueda coordinar, colaborar y dar pie al diálogo de los diversos sectores involucrados en el área.

En sintonía con lo expresado, aseveró que un elemento esencial de cualquier autoridad de ciberseguridad es generar puentes entre el área pública, la privada y la academia, fomentando la cooperación y la confianza.

Como lo ha reconocido la experiencia internacional, prosiguió, la existencia del CSIRT Nacional otorga múltiples beneficios para aumentar la madurez de los órganos de la Administración del Estado como de aquellos sectores críticos.

Connotó que el proyecto de ley es ambicioso en la generación de diversos equipos de respuesta a incidentes de seguridad informática; a saber: el CSIRT Nacional; el de Gobierno; el de Defensa y los sectoriales, llamando a la especialización. También, añadió, crea dos CSIRT dentro de la Agencia.

Ahondando en el punto anterior, consideró conveniente explicar con claridad cuál será la relación del CSIRT Nacional y el de Gobierno. Ello, adujo, con el propósito de alivianar la carga burocrática; de crear políticas que puedan ajustarse a la realidad del país y de tener una visión respecto a cómo resolver los problemas de seguridad informática, tanto interna como externamente.

Continuando con el examen de la proposición legal, celebró la obligación de reportar incidentes desde el regulado al CSIRT sectorial correspondiente dentro del plazo de 24 horas. Al respecto, llamó a tener presente que la experiencia ha demostrado que tiempos tan breves acarrean inconvenientes a las áreas reguladas. Por lo anterior, manifestó la importancia de comprender las características y los niveles de madurez de cada sector.

Adicionó que el CSIRT Sectorial tiene, a su vez, la misión de comunicar al CSIRT Nacional en el lapso de una hora en caso de impactos significativos. Cuando ellos ocurren, acotó, poniendo en riesgo a todo el país, se requiere una visión más amplia, ya sea desde la Agencia Nacional de Ciberseguridad o desde la defensa.

Abocándose al análisis de la determinación de una infraestructura como crítica de la información, enfatizó que no es algo baladí. En efecto, profundizó, un sector de esta naturaleza implica una carga regulatoria adicional en cuanto a la inversión en recursos técnicos y monetarios.

En ese contexto, juzgó que los criterios que establece el proyecto para arribar a tal conclusión deben ser revisados, asegurando que la criticidad no sea la regla general, como pareciera desprenderse.

Proporcionando antecedentes de la legislación comparada, informó que la normativa española (Ley Nº 8/2011) tiene como factores para calificar un sector como crítico: 1) el número de personas afectadas; 2) el impacto económico; 3) la repercusión medioambiental, degradación en el lugar y sus alrededores y, 4) el efecto público y social, por la incidencia en la confianza de la población de la Administraciones Pública, el sufrimiento físico y la alteración de la vida cotidiana, incluida la pérdida y el grave deterioro de servicios esenciales. Todos ellos, remarcó, permiten garantizar su excepcionalidad, evitando sobrecargar regulatoriamente a las secciones que por su nivel de madurez no están en condiciones de asumir tantas obligaciones. Sin embargo, enunció, a medida que avance la ciberseguridad en el país, se pueden incluir nuevas áreas.

Por otro lado, observó que la propuesta legal no contiene mención alguna relativa al sistema de impugnación de la declaración de criticidad. Tampoco, alertó, aplica supletoriamente la ley Nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

En lo que respecta al régimen sancionatorio del proyecto de ley, consignó que el Título VII establece infracciones y penas asociadas al incumplimiento de las obligaciones establecidas en el cuerpo normativo.

Pormenorizó que entre las vulneraciones se encuentran el retardo o entrega fuera de plazo de la información requerida; negarla injustificadamente; la entrega maliciosa de datos falsos o manifiestamente erróneos, o quebrantar los deberes para aquellas entidades declaradas como críticas.

Las multas que pueden imponerse, en tanto, comunicó, van en un rango entre las 10 a 20.000 UTM, y existe una agravante especial cuando se configure algún ataque al sistema o a la data informática en aquella infraestructura crítica.

Sin embargo, lamentó, la proposición en estudio no establece una vacancia legal para la aplicación de sanciones, lo que podría resolverse mediante una marcha blanca, incorporando, por ejemplo, un plazo de 6 meses o de 1 año desde publicación de la ley.

Además, reveló, el proyecto nada dispone sobre la existencia de recursos ante la decisión del Director la Agencia de sancionar a una organización privada declarada como crítica.

Asimismo, mostró que el texto analizado hace un uso excesivo de la potestad reglamentaria. A mayor abundamiento, especificó que prescribe en diversos artículos que el Ministerio del Interior y Seguridad Pública establecerá los detalles en un cuerpo normativo de esta naturaleza.

Pormenorizó que las materias que serán desarrolladas de la forma indicada son nueve. En consecuencia, solicitó examinar cuáles ameritan ser reguladas así, evitando postergar la plena operatividad de la Agencia Nacional de Ciberseguridad y, por consiguiente, retrasando el objetivo perseguido.

Para concluir, sentenció que la iniciativa de ley constituye un enorme avance al crear una estructura permanente en materia de ciberseguridad, posibilitando entenderla no solo como un componente técnico sino también con una visión multidisciplinaria, desde una perspectiva estratégica y de cultura. Sin perjuicio de ello, reiteró la necesidad de perfeccionar algunos aspectos.

10) Exposición del experto internacional en seguridad cibernética, señor Israel Reyes.

El experto internacional en seguridad cibernética, señor Israel Reyes, alabó la iniciativa de ley objeto de análisis, su estructura y la regulación propuesta.

En sintonía con lo manifestado, celebró la idea de incorporar algunas definiciones básicas y los principios que iluminarán el texto normativo. Asimismo, valoró el establecimiento de factores que determinarán cuándo una infraestructura de la información posee el carácter de crítica y las obligaciones que se derivarán de tal calificación.

A la luz de lo señalado, constató que el foco del proyecto radica en los posibles ataques a los activos que son esenciales para el funcionamiento de una sociedad y de una economía. Con todo, advirtió que no se abordan los hackeos neurocognitivos y las operaciones sicológicas en las redes sociales. A mayor abundamiento, sentenció que si bien se crea la Agencia Nacional de Ciberseguridad, no hay referencia alguna a ellos.

Haciendo ver la importancia de regularlas, recordó diversos ataques cibernéticos, como el provocado recientemente por Rusia a Ucrania; el sufrido por Estonia, y el de Georgia el año 2008, entre otros.

Deteniéndose en la experiencia estadounidense, manifestó que la Ley de Decencia en las Comunicaciones exime de responsabilidad a los dueños de las plataformas digitales por el contenido publicado en ellas, pese a que este puede socavar la credibilidad de un gobierno y de las instituciones, llevando a una situación de ingobernabilidad e, incluso, de guerra civil.

En atención a la realidad expuesta, recomendó incluir en la iniciativa de ley un título que norme la actividad de los trolls y de los bots, sometiéndolos a la legislación nacional.

En línea con lo planteado, explicó que la gobernanza y la seguridad en el ciberespacio tiene dos aristas: los ataques a la infraestructura crítica de la información, que se dirigen en contra de la confidencialidad, integridad y disponibilidad de los sistemas de la Nación, por un lado, y aquellos que suponen una guerra sicológica o de desinformación.

En el mismo orden de consideraciones, consignó que los proveedores de redes sociales debieran ser calificados como infraestructura crítica de la información, atendida la gran cantidad de datos personales que almacenan.

Indicó que, si bien el proyecto de ley precisa los deberes específicos que pesan sobre quienes la poseen, no demanda la capacitación continua ni auditorias independientes. Sobre el particular, fue tajante en sostener que resulta fundamental obligarlos a someterse a estas últimas, a fin de evaluar el riesgo y la probabilidad que existe en caso de ataque de desinformación en una red social en contra del gobierno o en contra de sistemas esenciales.

Fijando su atención en el Título VIII de la propuesta de ley, apreció la creación del Comité Interministerial de Ciberseguridad, pues aseguró que uno de los aspectos que suele fallar en la legislación comparada es la comunicación entre Secretarías de Estado.

En lo que respecta al Título III, celebró la decisión de asignar a la Agencia Nacional de Ciberseguridad la calidad de órgano asesor del Presidente de la República en materia de seguridad informática. Sin embargo, estimó imprescindible también que cumpla tal función con el Ministerio de Defensa Nacional en aras de la seguridad del Estado.

Seguidamente, valoró la creación del Equipo Nacional de Respuesta ante Incidentes de Ciberseguridad, organismo encargado de coordinar los CSIRT sectoriales, como asimismo el CSIRT de Gobierno y el de Defensa. No obstante, juzgó importante aclarar cuál es la línea que divide los aspectos de seguridad nacional y los de seguridad interna.

El Honorable Senador señor Pugh subrayó que la ciberseguridad es un concepto amplio que va más allá de los ataques a infraestructuras críticas. En efecto, concordó, abarca también la protección de los datos personales y la interoperabilidad.

Puso de manifiesto que, tal como lo como lo señala la Política Nacional de Ciberseguridad, es necesario contar con un cuerpo legislativo que resguarde los actos digitales del Estado, las personas naturales y jurídicas y los dispositivos conectados a la red, lo que supone una arquitectura digital robusta y resiliente.

Su Señoría recordó que en la Cámara de Diputados se encuentra radicada la iniciativa de ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales (Boletines N°s 11.144-07 y 11.092-07, refundidos). Ambas proposiciones legales, remarcó, permitirán enfrentar el desafío de la seguridad informática.

Adicionó que, desde el punto de vista de la defensa, resulta esencial preservar al país de los ataques externos, particularmente de aquellos de índole estatal. Una experiencia tal, relató, ocurrió recientemente con la agresión de Rusia a Ucrania, en donde, simultáneamente, el primer país aludido desplegó sus capacidades militares y cibernéticas.

En consecuencia, hizo ver la importancia de perfeccionar la iniciativa de ley en los términos propuestos por el experto en ciberseguridad, de manera de saber quién está detrás de las agresiones y de las campañas de desinformación, como lo hace el modelo español.

Por otro lado, señaló que no solo hay infraestructura crítica, sino también procesos de tal carácter que merecen ser protegidos; este es el caso, ejemplificó, del acto eleccionario del pasado 4 de septiembre.

A reglón seguido, observó que la propuesta legal no define los grados de alerta, lo que resulta fundamental para orientar los esfuerzos.

Adicionalmente, llamó a tener en cuenta que las Fuerzas Armadas tienen capacidades no solo físicas, sino también en el ciberespacio. Estas últimas, consideró, deben coordinarse, por medio de un centro nacional de carácter supraministerial, para poder determinar quién está detrás de los ataques. A mayor abundamiento, relevó que si estos provienen de un actor estatal no se está en presencia de una mera amenaza, sino una declaración de guerra.

Afirmó que enfrentar las campañas de desinformación protegerá la democracia del país en la era de la inteligencia artificial. En este punto, connotó que la libertad de expresión es un derecho humano, y no uno que corresponda a los bots, trolls, avatar u otros.

Prosiguiendo con sus planteamientos, resaltó que Chile es un referente en materia digital, por ser el Estado con más conectividad móvil de Latinoamérica y el que posee la mayor velocidad de fibra óptica, la que, además, tiene un gran despliegue. Sin embargo, lamentó, tal expansión no ha ido acompañada del desarrollo de ciberseguridad, arriesgándose los activos nacionales y a las personas.

En línea con lo anterior, postuló que la Agencia Nacional de Ciberseguridad será el motor para generar una cultura de protección en el ciber espacio.

Advirtió, por otra parte, que el proyecto en estudio no contiene referencia a ley N° 21.113, que declara el mes de octubre como el de la ciberseguridad, de la ciberseguridad, dando cuenta de la desconexión existente en cuanto al desafío a enfrentar.

Por último, observó que en materia de defensa deberán levantarse las infraestructuras críticas de la información más importantes, esto es, aquellas en donde exista una mayor probabilidad de ocurrencia de un hecho con gran impacto.

El Honorable Senador señor Huenchumilla consultó si el problema descansa en las nuevas tecnologías o en las noticias falsas emitidas a sabiendas de su falta de veracidad. Añadió que las mentiras también pueden expresarse por otros medios, pero su alcance es limitado. Estas herramientas, en tanto, posibilitan una extensión considerable, provocando riesgos en servicios esenciales y en la gobernabilidad, entre otros.

Apuntó que la respuesta a su interrogante determinará dónde poner el énfasis en esta iniciativa de ley.

Finalmente, hizo ver que el sector defensa y el de seguridad pública tienen grandes desafíos en este nuevo escenario tecnológico que no solo trae beneficios, sino también peligros.

El Honorable Senador señor Pugh deteniéndose en la intervención del Presidente de la Comisión, aclaró que el problema no radica en los medios, sino en su utilización para fines inadecuados. Asimismo, agregó que las noticias falsas no generan mayores inconvenientes, a menos que supongan campañas de desinformación y haya una organización detrás que busque desestabilizar.

Arguyó que hacer frente a estas amenazas requiere talento; vale decir, de personas preparadas, las que no necesariamente están en las Fuerzas Armadas. Por consiguiente, la figura de cibersoldados -reservas activas que se desempeñan en el sector privado y que puedan apoyar al personal castrense cuando se requiera- sería de gran utilidad.

A la medida anterior, estimó, podrían sumarse los incentivos adecuados para evitar que el capital humano capacitado de las Fuerzas Armadas salga de ellas.

11) Exposición del Coordinador de Ciberseguridad en Sistemas Eléctricos del Comité Chileno del Consejo Internacional de Grandes Redes Eléctricas, señor Eduardo Morales.

El Coordinador de Ciberseguridad en Sistemas Eléctricos del Comité Chileno del Consejo Internacional de Grandes Redes Eléctricas, señor Eduardo Morales, dio inicio a su exposición resaltando dos conceptos esenciales vinculados a la proposición de ley: infraestructuras críticas y ciberespacio. En relación con el primero de ellos, aseguró que si bien no hay una definición sobre el particular, al revisar aquellas dadas por la Comisión Europea o por la Agencia de Ciberseguridad y Seguridad de la Infraestructura -en adelante CISA-, se observan ciertas características comunes; a saber, son servicios esenciales; tienen carácter estratégico para la sociedad y la economía del país; son interoperables y dependientes entre ellas; viven en el plano físico y en el virtual, y poseen un alto impacto para la seguridad de la Nación y de las personas, como también para la estabilidad económica.

Apuntó que si se pudieran graficar, ellas serían los pilares de una ciudad, tal como se aprecia a continuación:

En lo que atañe a la voz “ciberespacio”, afirmó que hasta hace algunos años, era algo heterogéneo y abstracto. Sin embargo, hoy está adecuadamente definida a nivel internacional. Así, ahondó, en la Cumbre de la OTAN del año 2016, fue calificada como un nuevo dominio de las operaciones, al lado de los de tierra, mar, aire y espacio.

Luego, advirtió, el hecho de que las infraestructuras críticas estén conectadas con este último hace que la dependencia entre lo físico y lo virtual sea aún más importante. De esta manera, subrayó, no es posible separar las infraestructuras físicas de las de la información, siendo ambas críticas.

Destacó que pese a que en el ciberespacio se generan muchas oportunidades, su existencia aumenta también los riesgos y amenazas, toda vez que crece la superficie de ataque.

Por otro lado, puso de relieve que son las interacciones humanas las que abren las puertas al espacio virtual, que está conformado por la infraestructura física, la lógica y todas las interrelaciones entre las personas.

Planteó que lo anterior conduce a hablar de los sistemas cibernéticos y ciberfísicos, los que tienen tres características importantes: conjugan el control, la computación y la comunicación.

Dando ejemplos del segundo modelo aludido, recordó que está presente en las líneas 3 y 6 del Metro de Santiago, en donde los vagones que transitan por ellas no tienen conductor y funcionan de forma remota. Lo mismo ocurre en materia eléctrica y en las telecomunicaciones, afirmó.

Alertó que este cambio de paradigma implicará que los datos -o flujos de información- lleguen a ser más importantes que los flujos de energía para los operadores. No obstante, previno, también lo serán para los hackers.

En sintonía con lo expresado, consignó que conforme a lo señalado por Data Management Association -DAMA por sus siglas en inglés-, un dato ubicado en un contexto da lugar a información. Si a ella se añade inteligencia, se obtiene conocimiento y si a este se le suma buena estrategia, se crea poder. Este último, insistió, beneficiará a los países, al generar ciudades inteligentes, pero también atraerá a ciberactivistas. En consecuencia, sin resguardo adecuado en la legislación, los ataques se incrementarán, alertó.

Con todo, remarcó que las ciberamenazas son uno de los tantos riesgos de las infraestructuras críticas, existiendo también las pandemias, los terremotos, los actos terroristas y el cambio climático, entre otros.

Continuando con el desarrollo de su exposición, informó que el plan de protección Nacional de Infraestructuras Críticas de Estados Unidos, considera una gobernanza enfocada en la gestión y en los indicadores clave de rendimiento, asegurando la medición periódica del desempeño y nivel de madurez de cada uno de los sectores críticos.

Sostuvo que la CISA es un instrumento fundamental en dicho ámbito, cuya misión consiste en lograr que los activos que son esenciales para el funcionamiento de una sociedad y una economía sean más resilientes.

Deteniéndose en la evolución de las capacidades de defensa para la infraestructura crítica, enunció que hay guías y modelos sobre el particular. Precisó que la gran mayoría se centra en dar visibilidad de lo que tienen. Así, especificó, ocurre con las sanitarias, el sector eléctrico y el de transportes, y un nivel de madurez superior posibilitaría tener capacidad de respuesta, permitiendo atender de forma rápida y temprana los ciberataques.

En atención a lo expuesto, celebró la iniciativa de ley analizada, especialmente su intención de poner el acento en la conformación de un CSIRT Nacional y de equipos de respuesta a incidentes de seguridad informática sectoriales. No obstante, señaló que el texto en tramitación no contempla atribuciones para los CSIRT vinculadas a la ciberinteligencia, dificultándoles la adquisición y el análisis de información para identificar, rastrear y predecir las capacidades, intenciones y actividades cibernéticas que apoyan la toma de decisiones.

Lo dicho, lamentó, da cuenta de que no se consideran las herramientas para adelantarse a los imprevistos, evitar ataques y adoptar acciones de forma rápida.

En cuanto a la determinación de los sectores que poseen infraestructura crítica de la información, dio a conocer que la Submesa de Operadores de Servicios Esenciales ha propuesto los siguientes:

Ellos, estimó, debieran ser las áreas a ponderar en el proyecto de ley. Sin embargo, postuló que tal como se observa en la lámina acompañada, hay tres que son de suma importancia, atendido su alto nivel de interdependencia con otras infraestructuras críticas: el de energía, el de las telecomunicaciones y el de las aguas. Por consiguiente, sugirió que una vez entrada en vigencia la ley, estas sean las tres primeras cuya protección se refuerce.

Justificando la exclusión del sector defensa, sostuvo que la mesa de trabajo aludida ha adoptado un modelo similar al previsto en la normativa española, conforme a la cual las infraestructuras críticas de las Fuerzas Armadas y de la Policía se rigen por sus propias normativas.

Enseguida, exhibió los avances realizados por el grupo de trabajo citado en cuanto a definiciones:

Centrando su atención en la gobernanza prevista en la iniciativa de ley, propuso que la Agencia Nacional de Ciberseguridad, a futuro, se enfoque en lo estratégico y táctico, dimensión que incluye la planificación, la elaboración de normas y la fiscalización en el cumplimiento de las exigencias. Adicionó que el Equipo Nacional de Respuesta a Incidentes de Seguridad, en tanto, debiera pasar a ser un gran centro de protección de infraestructura crítica en lo operativo, preocupado de la cooperación y de la coordinación con los CSIRT sectoriales.

El Honorable Senador señor Pugh expresó que grupos organizados son capaces de actuar de forma sistemática, produciendo ataques contra los Estados, los que pueden resultar muy destructivos. Añadió que los de índole externo deben preocupar de sobremanera al país y que en ellos el Ministerio de Defensa Nacional debe tener un rol fundamental.

Seguidamente, celebró que el invitado citara el modelo de ciberdefensa de infraestructuras críticas de Mandiant, el que, puntualizó, considera tres niveles: 1) Monitoreo de lo que ocurre; 2) Capacidad de respuesta, y 3) Amenazas. Para este último, resaltó, es fundamental la inteligencia con análisis de datos.

En sintonía con lo expuesto, concordó con el expositor acerca de la ausencia de capacidades relacionadas con la ciberinteligencia en la Agencia Nacional de Ciberseguridad.

A mayor abundamiento, postuló que el referido sistema debe tener una orientación clara respecto a cómo lograr ese objetivo y delimitar las áreas en dónde puede hacerse inteligencia abierta y dónde estará la inteligencia dura. Esta última, acotó, no está dentro del ámbito de competencias de la Agencia Nacional de Ciberseguridad.

A la luz de lo indicado, manifestó la necesidad de velar por que este texto legal esté en sintonía con la nueva ley que fortalece y moderniza el sistema de inteligencia del Estado, correspondiente al Boletín N° 12.234-02.

Para concluir su intervención y en base a lo planteado, consultó al invitado hasta dónde debiera extenderse la función de ciberinteligencia de la Agencia Nacional de Ciberseguridad. Asimismo, preguntó cómo ha sido la coordinación de las capacidades de inteligencia de los Estados.

El Presidente de la Comisión, Honorable Senador señor Huenchumilla, pidió aclarar si la referencia al ciberespacio dice relación con algo físico o meramente metafísico. Profundizando en su inquietud, preguntó si en el caso de un ciberataque a una transferencia electrónica, este se produce en un aparato o en el espacio.

El Coordinador de Ciberseguridad en Sistemas Eléctricos del Comité Chileno del Consejo Internacional de Grandes Redes Eléctricas, señor Eduardo Morales, fue enfático en sostener que, actualmente, el ser humano vive a la vez en dos planos, en el físico y en el virtual. Esa realidad, previno, se acrecienta día a día y llevará al metaverso. Advirtió que algo similar ocurre con la dualidad de la materia, la que algunas veces se comporta como partícula y otras como onda.

Anunció que de este nuevo escenario surgirán importantes discusiones éticas y morales.

Luego, en relación a la consulta del Honorable Senador señor Pugh, puso de relieve que las agencias de ciberseguridad de los países desarrollados aplican inteligencia artificial en la ciberinteligencia, ayudando a los equipos de respuesta de incidentes a anticiparse a las acciones de los hackers. Agregó que estos últimos también están utilizando herramientas de tal naturaleza para operar.

Señaló que, si bien el Estado Mayor Conjunto tiene un centro de ciberdefensa, carece de plataformas como la aludida, herramientas esenciales en el presente.

Calificó como indispensable contar con especialistas en la materia y con programas de inteligencia artificial, toda vez que ello posibilitará no solo que los equipos de respuesta puedan apoyar a los CSIRT sectoriales, sino también llegar a transformarse en un polo de desarrollo económico.

Finalmente, reiteró que la Agencia Nacional de Ciberseguridad debe jugar un rol estratégico y táctico, dejando lo operativo al CSIRT Nacional.

12) Exposición del Presidente de la Fundación País Digital, señor Pelayo Covarrubias

El Presidente de la Fundación País Digital, señor Pelayo Covarrubias, enfatizó que la dualidad mencionada por el invitado anterior en la que viven los seres humanos, ha llevado a acuñar la expresión “figital”.

A continuación, se detuvo en la situación cibernética del país. Al respecto, resaltó que, a partir de la ley de transformación digital, Chile ha experimentado un cambio fundamental. En efecto, recordó que más del 80% de los trámites están digitalizados y que se espera que dicha cifra llegue al 100% en 2025. Además, subrayó que durante la pandemia provocada por el COVID-19, el uso de las tecnologías se aceleró aún más.

Esta realidad, connotó, se refleja también en el nivel de inversión del país en los proyectos tecnológicos. Así, destacó, Chile es líder en Latinoamérica en el área; sin embargo, relevó, la ciberseguridad ha sido rezagada hasta el momento.

Siguiendo con el desarrollo de su exposición, evidenció que Chile ha tenido grandes avances en materia de Gobierno Digital en los últimos años, transformándose en uno de los Estados líderes de la región.

Añadió que en el índice de servicios en línea (OSI), Chile se encuentra por encima del promedio y relativamente cerca al nivel de países europeos, como se aprecia en el gráfico siguiente:

Por otra parte, apuntó que en el país más del 74% de los hogares están conectados a banda ancha y que se llega a 100% de movilidad a nivel de teléfonos. Puntualizó que el 50% de las viviendas se conecta a través de fibra óptica, lo que implica mayor rapidez y un adecuado precio.

Luego, planteó que la matriz digital chilena permite exportar productos a todo el mundo. En efecto, profundizó, a nivel latinoamericano, es el país que envía más productos de alta tecnología a Sudamérica. De ello, relató, da cuenta el gráfico siguiente:

Con todo, constató, la pregunta que surge luego de la realidad expuesta es cómo seguir creciendo. Sobre el particular, comentó que la fundación que preside ha propuesto el plan “País Digital 2025”, el que considera cinco temas: 1) Fomento de la economía; 2) Transformación digital del Estado; 3) Entorno digital; 4) Conectividad digital, y 5) Competencias y habilidades digitales.

Centrando su atención en la iniciativa de ley en estudio, expresó que apunta en la dirección correcta y constituye un gran avance en relación con lo que existe en la actualidad.

Consideró, sin embargo, fundamental aprovechar las oportunidades que brinda esta iniciativa legal en orden a incorporar la cultura digital, así como las habilidades, datos y tecnologías en los servicios públicos y privados. Afirmó que lo anterior es una pieza fundamental, toda vez que hará posible dar pasos significativos en educación.

Analizando la gobernanza prevista en el proyecto de ley, manifestó la necesidad de que sea considerada como un tema país. El texto presentado a tramitación, lamentó, solo contempla una parcial, al aludir a los CSIRT sectoriales, al de Defensa y la Agencia Nacional de Ciberseguridad. A mayor abundamiento, opinó que el problema de la ciberseguridad es amplio y que separarlo sectorialmente ocasionaría problemas de coordinación. Si la ley no une lo público con lo privado, no funcionará, previno.

Fijando su atención en infraestructura crítica, sugirió crear tanto una infraestructura física como digital, que incorpore la identidad digital; la interoperabilidad; las prácticas de la privacidad; el control; la ciberseguridad de los principios digitales; la ética, y la confianza.

Estimó importante también tener en cuenta los derechos y la libertad en los espacios digitales, así como la protección, la seguridad, la educación y el trabajo de las empresas en este mundo.

En otro orden de ideas, instó a pensar en un liderazgo flexible y adaptativo, producto del crecimiento que está teniendo lo digital en el país. Añadió que su acelerado crecimiento exige incorporar nuevos talentos, incrementar las capacidades de las personas y retenerlas.

Advirtió que si se observa la experiencia internacional, es posible concluir que otros países no solo están educando sino también conservando las habilidades, toda vez que es indispensable para el mundo privado y para la coordinación con lo público.

Por otro lado, llamó a fomentar la inversión en infraestructuras físicas y digitales, acotando que esta última es la que requiere mayor atención.

Remarcó que las nuevas formas de trabajo incidirán en los estándares digitales y en la capacidad de innovación, aspectos muy relacionados al proyecto.

Para concluir, insistió en la idea de establecer un modelo de ciberseguridad colaborativo entre el mundo público y el privado, tal como lo hace el sistema español y el americano.

El Honorable Senador señor Pugh coincidió con el señor Covarrubias en que el país ha sido débil en la generación y retención de talentos, apreciándose tal realidad, de manera muy evidente, en las Fuerzas Armadas. Adujo que la razón principal que motiva la fuga del personal capacitado radica en las enormes diferencias de remuneraciones que ofrece el mundo castrense con aquellas que brinda el sector privado para expertos en el área de ciberseguridad. Lo anterior, repercute en la defensa del Estado ante ciberataques, observó.

Adicionó que sin los recursos humanos imprescindibles, el país siempre estará en desventaja y limitándose a reaccionar ante amenazas.

En este contexto, solicitó al invitado su opinión respecto a la posibilidad de que exista talento nacional compartido entre el mundo de la defensa y el privado. Connotó que conforme a las tecnologías existentes y al hecho que los expertos en la materia son escasos, ambas organizaciones pueden estar en red y activar sus cibersoldados.

El Presidente de la Comisión, Honorable Senador señor Huenchumilla, consultó cuál es el rol que cumple la Fundación País Digital.

El Presidente de la Fundación País Digital, señor Pelayo Covarrubias, explicó que la institución que encabeza trabaja, hace más de veinte años, en fomentar una cultura digital en Chile, articulando la construcción de alianzas y la realización de proyectos público-privados, además de la generación de contenidos que aporten al debate en el ámbito de la economía digital y el desarrollo del país de cara a la cuarta revolución industrial.

Esta entidad, anunció, se ha impuesto metas en distintos ámbitos del quehacer nacional: lo público, lo educacional y la salud, entre otros, priorizando la conectividad y la infraestructura.

Pormenorizó que la referida fundación está compuesta por treinta empresas, las que conforman sus diversas bases. La primera de ellas, detalló, la integran las compañías de telecomunicaciones, como Entel, Telefónica, Claro, Wom y VTR. La segunda, aquellas que empujan y permiten mostrar la economía digital, como NTT e IBM. La tercera, las empresas proveedoras de servicios y que movilizan el ecosistema, como Samsung, Microsoft, y Google. La cuarta, finalmente, son las que utilizan esta importante herramienta, como Caja de Los Andes, Copeuch y Banco de Chile, entre otras.

Aseveró que lo largo del tiempo han impulsado diversos proyectos que han ido estimulando al país. Así, en el ámbito del Gobierno, ejemplificó, se ha apoyado en la modernización del Estado y transformación digital. En el área de la educación, han contribuido con más de 2.500 establecimientos en programación y desarrollo de habilidades digitales. En materia de infraestructura, han aportado en la conectividad de las localidades rezagadas; mientras que en salud han creado iniciativas para ir avanzando en el modelo de atención Hospital Digital.

Sobre la consulta planteada por el Honorable Senador señor Pugh, fue tajante en sostener que la formación de habilidades y talentos es esencial. Aseguró que, lamentablemente, Chile está muy atrasado en este aspecto en comparación con los demás países de la Organización para la Cooperación y el Desarrollo Económicos.

Reconoció que las Fuerzas Armadas tienen un rol fundamental en ello, mas alertó que necesitarán la ayuda de los privados también, dado que no tienen los conocimientos requeridos. Lo anterior, prosiguió, dará paso a un gran desafío: el mundo particular deberá formar al de la defensa y este, posteriormente, deberá salir a educar a los primeros. Por consiguiente, instó a evaluar un proyecto que posibilite una formación país.

En sintonía con lo expuesto, pidió considerar que si bien algunas universidades ofrecen programas relacionados con la ciberseguridad, su demanda es baja, requiriéndose, en consecuencia, un cambio cultural que acelere el proceso educacional, para lo cual, enunció, la fundación que representa posee un plan.

Por último, sostuvo que una de las debilidades de la proposición de ley radica en la separación de los CSIRT sectoriales del de Defensa y de la Agencia Nacional de Ciberseguridad. Ahondando en su afirmación, señaló que la seguridad informática es un tema que involucra a todos. Verbigracia, abundó, podría existir una adecuada regulación de la defensa nacional y recibir ataques en otras áreas, como las redes eléctricas o las de gas.

C.-Votación en general

- Puesto en votación el proyecto de ley, en general, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Araya, Huenchumilla, Macaya, Pugh y Saavedra.

- - -

TEXTO DEL PROYECTO

En mérito de los acuerdos precedentemente expuestos, la Comisión de Defensa Nacional tiene el honor de proponer a la Sala la aprobación, en general, del siguiente proyecto de ley:

- - -

PROYECTO DE LEY:

“TÍTULO I

Disposiciones generales

Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los órganos del Estado así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.

Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Agencia: La Agencia Nacional de Ciberseguridad.

2. Ciberataque: Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.

3. Ciberespacio: Dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Las infraestructuras tecnológicas corresponden a los equipos materiales empleados para la transmisión de las comunicaciones, tales como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos, conductores, entre otros.

Los componentes lógicos de la información, en tanto, son los diferentes softwares que permiten el funcionamiento, administración y uso de la red.

4. Ciberseguridad: el conjunto de acciones destinadas al estudio y manejo de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención, mitigación y respuesta frente a estos, así como para reducir sus efectos y el daño causado, antes, durante y después de su ocurrencia, respecto de los activos informáticos y de servicios.

5. Equipo de respuesta a incidentes de seguridad informática o CSIRT: Centros conformados por especialistas multidisciplinarios capacitados para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad, en forma rápida y efectiva, y que actúan según procedimientos y políticas predefinidas, coadyuvando asimismo a mitigar sus efectos.

6. Estándares Mínimos de Ciberseguridad: Corresponden al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica.

7. Gestión de incidente de Ciberseguridad: Conjunto ordenado de acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

8. Incidente de ciberseguridad: Todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos a través sistemas de telecomunicaciones y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.

9. Infraestructura Crítica de la Información: corresponde a aquellas instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

10. Red o sistema de información: Medio en virtud del cual dispositivos, redes o plataformas almacenan, procesan o transmiten datos digitales, ya sea a través de redes de comunicaciones electrónicas, dispositivos o cualquier grupo de redes interconectadas o dispositivos o sistemas de información y plataformas relacionadas entre sí.

11. Regulador o fiscalizador sectorial: Son aquellos servicios públicos dentro de cuyas funciones se encuentra la regulación y/o supervigilancia de uno o más sectores regulados.

12. Resiliencia: Capacidad de las redes o sistemas de información para seguir operando pese a estar sometidos a un incidente de ciberseguridad o ciberataque, aunque sea en un estado degradado, debilitado o segmentado; y, también, la capacidad de restaurar con presteza sus funciones esenciales después de un incidente de ciberseguridad o ciberataque, por lo general con un efecto reconocible mínimo.

13. Riesgo: Toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes o sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto negativo en éstas.

14. Sector regulado: Sector que representa alguna actividad económica estratégica nacional, que se encuentra sometido a la supervigilancia de un regulador o fiscalizador sectorial.

15. Servicios esenciales: Todo servicio respecto del cual la afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente:

a) La vida o integridad física de las personas;

b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones;

c) Al normal funcionamiento de obras públicas fiscales y medios de transporte;

d) A la generalidad de usuarios o clientes de sistemas necesarios para operaciones financieras, bancarias, de medios de pago y/o que permitan la transacción de dinero o valores; y

e) De modo general, el normal desarrollo y bienestar de la población.

16. Sistema informático: Todo dispositivo aislado o el conjunto de ellos, interconectados o relacionados entre sí, incluidos sus soportes lógicos, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

17. Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:

1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las ofrece u opera, con independencia de la naturaleza pública o privada del organismo.

2. Principio de protección integral: se deberán determinar los riesgos potenciales que puedan afectar a las redes o sistemas de información y aplicar las medidas organizativas, de gestión y técnicas apropiadas para la protección de los mismos.

3. Principio de confidencialidad de los sistemas de información: los datos, conectividad y sistemas deberán ser exclusivamente accedidos por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.

4. Principio de integridad de los sistemas informáticos y de la información: los datos y elementos de configuración de un sistema sólo podrán ser modificados por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.

5. Principio de disponibilidad de los sistemas de información: los datos, conectividad y sistemas deben estar accesibles para su uso a demanda.

6. Principio de control de daños: los órganos del Estado y aquellas instituciones privadas que posean infraestructura de la información calificada como crítica, en el caso de un incidente de ciberseguridad o de un ciberataque, deben siempre actuar diligentemente y adoptar las medidas necesarias para evitar la escalada del incidente de ciberseguridad o del ciberataque y su posible propagación a otros sistemas informáticos, notificando de igual forma el incidente de ciberseguridad al CSIRT respectivo.

7. Principio de cooperación con la autoridad: los órganos de la Administración del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad, y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

8. Principio de especialidad en la sanción: en materia sancionatoria, se preferirá la aplicación de la regulación sectorial por sobre la establecida en esta ley.

TÍTULO II

De la determinación de Infraestructura Crítica de la Información

Párrafo 1°

Determinación de la infraestructura crítica de la información

Artículo 4. Calificación de la infraestructura de la información como crítica. Cada dos años, el Ministerio del Interior y Seguridad Pública requerirá al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que detalle cuáles son aquellos sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas; y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

Dentro de los ciento veinte días siguientes a la recepción del informe, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo 5. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley.

Artículo 6. Deberes específicos. Los órganos del Estado señalados en el inciso final del artículo 4º y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un sistema de gestión de riesgo permanente con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema debe contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos una vez al año.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

e) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

Artículo 7. Facultades normativas. Los reguladores o fiscalizadores sectoriales podrán dictar instrucciones, circulares, órdenes, normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares de ciberseguridad respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva, las que deberán considerar, a lo menos, los estándares establecidos por la Agencia Nacional de Ciberseguridad.

TÍTULO III

De la Agencia Nacional de Ciberseguridad

Párrafo 1°

Objeto, naturaleza y atribuciones

Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial, y que posea infraestructura de la información calificada como crítica, según los preceptos de esta ley. Se relacionará con el Presidente de la República por intermedio del Ministerio del Interior y Seguridad Pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras localidades o regiones del país.

Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República, en el análisis y definiciones de la política nacional de ciberseguridad, así como los planes y programas de acción específicos para su ejecución y cumplimiento, así como en temas relativos a estrategias de avance en su implementación.

b) Dictar normas técnicas de carácter general y los estándares mínimos de ciberseguridad e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización de un regulador o fiscalizador sectorial, según corresponda.

c) Proponer al Ministro del Interior y Seguridad Pública las normas legales y reglamentarias que se requieran para asegurar el acceso libre y seguro al ciberespacio, así como aquellas que estén dentro del marco de su competencia.

d) Coordinar a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.

e) Administrar el Registro Nacional de Incidentes de Ciberseguridad.

f) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad.

g) Requerir de los CSIRT Sectoriales y del CSIRT Nacional la información que sea necesaria para el cumplimiento de sus fines y que sea de responsabilidad de estas instituciones.

h) Diseñar e implementar planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

i) Suscribir convenios con órganos del Estado e instituciones privadas destinados a facilitar la colaboración y la transferencia de información que permita el cumplimiento de los fines de la Agencia.

j) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, en coordinación con el Ministerio de Relaciones Exteriores, cuando corresponda.

k) Prestar asesoría técnica a los órganos del Estado e instituciones privadas cuya infraestructura de la información haya sido calificada como crítica, que estén o se hayan visto afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o haya afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

l) Colaborar y coordinar con organismos de Inteligencia, para enfrentar amenazas que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.

m) Fiscalizar y sancionar el cumplimiento de esta ley, sus reglamentos y la normativa técnica que se dicte en conformidad con la presente ley, cuando ello no corresponda a un regulador o fiscalizador sectorial, según corresponda.

n) Informar a la Agencia Nacional de Inteligencia sobre riesgos e incidentes de ciberseguridad.

o) Conjuntamente con el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de ciberseguridad local.

p) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°

Dirección, organización y patrimonio

Artículo 10. Dirección de la Agencia. La dirección y administración superior de la Agencia estará a cargo de un Director Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 11. Atribuciones del Director Nacional. Corresponderá especialmente al Director Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en funcionarios de las plantas directiva, profesional o técnica de la Agencia, y

g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.

Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores; y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 14.- Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Estatuto Administrativo.

Artículo 15.- De la estructura interna de la Agencia. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

Párrafo 3°

Registro Nacional de Incidentes de Ciberseguridad

Artículo 16. Del Registro Nacional de Incidentes de Ciberseguridad. Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter de reservado, por exigirlo el debido cumplimiento de las funciones de la Agencia, el debido resguardo de los derechos de las personas y la seguridad de la nación. En este registro se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Sobre la base de este registro se podrán realizar las respetivas investigaciones por parte de la Agencia, así como comunicar las alertas a los CSIRT Sectoriales, a los órganos del Estado señalados en el inciso final del artículo 4º y a las instituciones privadas que posean infraestructura de la información calificada como crítica, que corresponda al caso.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública contendrá las disposiciones necesarias para regular la forma en que se confeccionará el referido registro, la operación del mismo y toda otra norma necesaria para su adecuado funcionamiento.

Párrafo 4°

Consejo Técnico de la Agencia Nacional de Ciberseguridad

Artículo 17. Consejo Técnico de la Agencia Nacional de Ciberseguridad. Créase el Consejo Técnico de la Agencia Nacional de Ciberseguridad, en adelante el “Consejo”, que tendrá como objeto asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y cuatro consejeros designados por el Presidente de la República, mediante decreto supremo expedido a través del Ministerio del Interior y Seguridad Pública, entre personas de destacada labor en el ámbito de la ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes permanecerán en su cargo durante seis años, renovándose en pares cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses y estarán afectos al principio de abstención contenido en el artículo 12 de la ley Nº 19.880.

Artículo 18. Funciones del Consejo. Corresponderá al Consejo:

a) Asesorar a la Agencia en materias relacionadas con la ciberseguridad y la protección y aseguramiento de la Infraestructura Crítica de la Información;

b) Elaborar el informe que señala el artículo 4º de esta ley, relativo a la determinación de los sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica;

c) Asesorar en la redacción de propuestas de normas técnicas que la Agencia genere, y;

d) Asesorar a la Agencia en todas aquellas materias que ésta solicite.

Artículo 19. Funcionamiento del Consejo. El Consejo sólo podrá sesionar con la asistencia de, al menos, tres de sus miembros, previa convocatoria del Director de la Agencia. Sin perjuicio de lo anterior, el Presidente del Consejo estará obligado a convocar a una sesión extraordinaria cuando así lo requieran, por escrito, a lo menos tres de sus miembros. En todo caso, el Consejo podrá autoconvocarse en situaciones urgentes o necesarias conforme a la decisión de la mayoría de sus integrantes.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento oportuno y eficiente de sus funciones, debiendo celebrar sesiones ordinarias a lo menos una vez cada dos meses, con un máximo de doce sesiones pagadas por cada año calendario, y sesiones extraordinarias cuando las cite especialmente el Presidente del Consejo, o cuando aquéllas se citen por medio de una autoconvocatoria del Consejo. Podrán celebrarse un máximo de cuatro sesiones extraordinarias pagadas por cada año calendario.

Los acuerdos del Consejo se adoptarán por la mayoría absoluta de los consejeros presentes. El Presidente del Consejo tendrá voto dirimente en caso de empate. De los acuerdos que adopte el Consejo deberá dejarse constancia en el acta de la sesión respectiva. Podrán declararse secretas las actas en que, de conformidad a la ley, se traten materias que afectaren el debido cumplimiento de las funciones de la Agencia, la seguridad de la Nación o el interés nacional.

Cada uno de los integrantes del Consejo, con excepción de su Presidente, percibirá una dieta de quince unidades de fomento por cada sesión a la que asista, con un tope máximo de doce sesiones por año calendario. Esta dieta será compatible con otros ingresos que perciba el consejero.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 20. Incompatibilidades de los miembros del Consejo. No podrán ser designados consejeros las personas que desempeñen empleos o comisiones retribuidos con fondos del Fisco, de las municipalidades, de las entidades fiscales autónomas, semifiscales, de las empresas del Estado o en las que el Fisco tenga aportes de capital, y con toda otra función o comisión de la misma naturaleza. Exceptúese a los empleos docentes y las funciones o comisiones de igual carácter de la enseñanza superior, media o especial.

Artículo 21. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria aceptada por la autoridad que realizó la designación.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Sobreviniencia de alguna causal de incompatibilidad de las contempladas en el artículo 19.

f) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

g) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a dos sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción. Con todo, tratándose del ordinal ii) de dicho literal, será necesario, para cursar la remoción, la presentación de la respectiva querella por el delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 5°

Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 22. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante incidentes de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica, de conformidad a lo prescrito en esta ley.

b) Coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad.

e) Ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

f) Consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del registro previsto en los términos del artículo 16.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

h) Requerir a los CSIRT Sectoriales, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Responder, conjuntamente con uno o más CSIRT Sectoriales, en la gestión de un incidente de ciberseguridad o de un ciberataque, dependiendo de las capacidades y competencias de los órganos del Estado que concurren a su gestión, cuando estos puedan ocasionar un impacto significativo en el sector, institución u órgano del Estado, según corresponda. En estos casos, el CSIRT Nacional podrá recomendar, colaborar, compartir información, coordinar y realizar todas las acciones conjuntas necesarias para asegurar una respuesta rápida frente al incidente. Además, podrá supervisar la implementación de medidas de mitigación de corto plazo, e informarse de las medidas de largo plazo adoptadas.

j) Generar y difundir información mediante campañas públicas y prestar asesoría técnica general a personas naturales o jurídicas, que no se encuentran reguladas por esta ley, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Crear y administrar para el cumplimiento de sus funciones una red electrónica de comunicaciones segura destinada a comunicar y compartir información con los otros CSIRT Sectoriales, de Gobierno y Defensa. El funcionamiento de la red de comunicaciones se establecerá en el reglamento de la presente ley.

TÍTULO IV

De los equipos de respuesta a incidentes de seguridad informática sectoriales

Artículo 23. CSIRT Sectoriales. Los reguladores o fiscalizadores sectoriales podrán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de sus respectivos sectores regulados.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública establecerá las instancias de coordinación entre la Agencia Nacional de Ciberseguridad, los reguladores y fiscalizadores sectoriales, así como de sus respectivos CSIRT, dentro del marco que fija esta ley.

Artículo 24. Funciones de los CSIRT Sectoriales. Corresponderá a los CSIRT Sectoriales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración de Estado y de las instituciones privadas de su sector.

b) Coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del Estado y de las instituciones privadas de su sector frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Prestar colaboración o asesoría técnica en la implementación de políticas y acciones relativas a ciberseguridad a los CSIRT de las instituciones reguladas.

d) Ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

e) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos de la Administración de Estado de su sector y de las instituciones reguladas cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

f) Requerir a los CSIRT de sus instituciones reguladas, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas.

g) Generar y difundir información mediante campañas públicas dentro de su sector.

h) Trabajar conjuntamente con el CSIRT Nacional y con otros sectoriales, cuando corresponda, en la gestión de un incidente de ciberseguridad en los casos y forma previstas en el literal i) del artículo 20 de esta ley.

i) Informar al CSIRT Nacional, de vulnerabilidades, incidentes de ciberseguridad y ciberataques detectados o reportados en su sector, junto a sus respectivos cursos o planes de acción para subsanarlos.

j) Prestar asesoría técnica a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas.

Artículo 25. Deber general de informar. La Agencia informará a cada CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas, y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial informará a los órganos de la Administración de Estado y a las instituciones privadas de su sector que posean infraestructura de la información calificada como crítica sobre vulnerabilidades existentes o detectadas en ella, y elaborará recomendaciones para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial deberá informar a su sector regulado de manera anonimizada de los reportes de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas y de los cursos de acción tomada en cada caso.

Toda institución que posea infraestructura de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT los reportes de incidentes de ciberseguridad e informar respecto del plan de acción que adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su ocurrencia. Lo anterior se entiende sin perjuicio de la facultad del regulador de solicitar el cumplimento de esta obligación en un plazo menor si lo considera necesario.

Artículo 26. Deber especial de información a la Agencia. Los CSIRT Sectoriales deberán informar a la Agencia, a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando este ha tenido un impacto significativo en la seguridad del sistema informático de una institución que posee infraestructura de la información calificada como crítica o en la continuidad de un servicio esencial.

Se considera que un incidente de ciberseguridad tiene impacto significativo si cumple al menos una de las siguientes condiciones:

a) Afecta a una gran cantidad de usuarios.

b) La interrupción o mal funcionamiento es de larga duración.

c) Afecta a una extensión geográfica considerable.

d) Afecta sistemas de información que contengan datos personales.

e) Afecta la integridad física, la salud, o la vida cotidiana de las personas, de manera significativa.

Corresponderá calificar el impacto significativo a los reguladores o fiscalizadores sectoriales o a la Agencia, según corresponda.

La obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado no deja sin efectos el deber de los CSIRT Sectoriales de notificar a la Agencia de la ocurrencia de un incidente de ciberseguridad en el plazo indicado en el inciso primero.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2 letra f) de la ley N°19.628 sobre Protección de la Vida Privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.

TÍTULO V

De los CSIRT del sector público

Artículo 27. Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno. Créase en la Agencia el Equipo de Respuesta a Incidentes de Seguridad Informática de Gobierno, en adelante CSIRT de Gobierno. El CSIRT de Gobierno para todos los efectos, se clasificará como un CSIRT sectorial, responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. Tendrá las siguientes funciones principales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado.

b) Asegurar la implementación de los protocolos y estándares mínimos de ciberseguridad establecidos por la Agencia, en los órganos de la Administración de Estado.

c) Gestionar los ciberataques, incidentes, y vulnerabilidades detectadas, informando estas situaciones al CSIRT Nacional de acuerdo a las normas que se establezcan para tal efecto.

d) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado.

Artículo 28. Centro Coordinador del Equipo de Respuesta ante Incidentes de Seguridad Informáticos del Sector Defensa. Créase el Centro Coordinador del Equipo de Respuesta ante Incidentes Informáticos del Sector Defensa (CCCD o CSIRT Sectorial de Defensa), dependiente del Ministerio de Defensa Nacional, como el organismo dependiente del Comando Conjunto de Ciberdefensa, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, responsable de la coordinación y protección de la infraestructura de la información calificada como crítica, a su vez de los recursos digitales del sector Defensa, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la Seguridad Nacional.

Para efectos presupuestarios, dependerá del Ministerio de Defensa Nacional y, en lo que le sea aplicable, se regirá por la presente ley y por la reglamentación que dicte al efecto el Ministerio de Defensa.

Sus funciones principales serán las siguientes:

a) Responsable de la coordinación y enlace entre los diferentes CSIRT del sector Defensa (Ejército, Armada, Fuerza Aérea, Estado Mayor Conjunto, Subsecretaría de Defensa, Subsecretaría para las Fuerzas Armadas y otros órganos dependientes de dicho sector), con el objeto de asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de la infraestructura de la información calificada como crítica del sector Defensa.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con el CSIRT Sectorial de Defensa, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

TÍTULO VI

De la reserva de información en el sector público en materia de ciberseguridad

Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales órganos de la Administración del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización su Director Nacional, en las condiciones que este indique.

Los funcionarios de CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales, que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de riesgos y los registros previstos en el artículo 6º, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres;

iii. Los planes de acción y mitigación de riesgos de ciberseguridad y,

iv. Los reportes de incidentes de ciberseguridad.

Artículo 30. Extensión de la obligación de reserva. La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 31. Deber de reserva de la Agencia. La Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a conocer en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Artículo 32. Sanciones. La infracción a las obligaciones dispuestas en el presente título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII

De las infracciones y sanciones

Artículo 33. De las infracciones. Serán consideradas infracciones para efectos de esta ley:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

b) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

c) Entregar maliciosamente información falsa o manifiestamente errónea, e;

d) Incumplir los deberes previstos en el párrafo 2° del Título II.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción. Para determinar la cuantía de la multa, se entenderá por:

a) Faltas gravísimas: aquellas señaladas en los literales b) y c) del inciso precedente. En este caso, la multa será de hasta a 20.000 Unidades Tributarias Mensuales.

b) Faltas graves: aquellas señaladas en el literal a) del inciso precedente. En este caso, la multa será de hasta 10.000 Unidades Tributarias Mensuales.

c) Faltas leves: aquellas obligaciones señaladas en esta ley cuyo incumplimiento negligente o injustificado no tenga señalada una sanción especial, caso en el que la multa será de 10 a 5.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios de la Administración del Estado o de los órganos del Estado se regirán por su respectivo estatuto sancionatorio.

Artículo 34. Procedimiento. Las sanciones que se cursen con motivo de las infracciones contempladas en el artículo precedente, serán impuestas por resolución del Director de la Agencia, de conformidad a lo dispuesto en esta ley.

El procedimiento sancionatorio deberá fundarse en un procedimiento racional y justo, que será establecido en un reglamento dictado por el Ministerio del Interior y Seguridad Pública y deberá, al menos, establecer:

a) El procedimiento para designar al funcionario de la Agencia que llevará adelante el procedimiento;

b) El contenido de la formulación de cargos, la cual deberá señalar circunstanciadamente los hechos constitutivos de infracción, las normas legales que fueron infringidas y la gravedad de la infracción;

c) El plazo para formular descargos, el cual no podrá ser inferior a 15 días hábiles;

d) Un periodo para rendir y observar la prueba, el cual no podrá ser inferior a 10 días hábiles, pudiendo aportar las partes los medios de prueba que estimen pertinentes;

e) La forma y contenido de la resolución que absuelve o condena, la cual deberá contener la exposición de los hechos, el razonamiento que permite arribar a la resolución y la decisión que acoge o desecha los cargos formulados.

Tratándose de sectores regulados, las sanciones serán impuestas por los reguladores o fiscalizadores sectoriales y el procedimiento corresponderá al determinado por la normativa sectorial respectiva.

Artículo 35. Agravante especial. Si como consecuencia de la perpetración de un delito resultare la destrucción, inutilización o alteración grave del funcionamiento de infraestructura crítica de la información, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos soportados por infraestructura de la información calificada como crítica o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de un sistema informático que formare parte de la Infraestructura Crítica de la Información.

TÍTULO VIII

Del Comité Interministerial de Ciberseguridad

Artículo 36. Comité Interministerial de Ciberseguridad. Créase el Comité Interministerial de Ciberseguridad, en adelante el Comité, cuya función será asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales.

Artículo 37. De los integrantes del Comité. El Comité será presidido por el Subsecretario del Interior y estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario de Defensa o quien éste designe;

b) Por el Subsecretario de Relaciones Exteriores o quien éste designe;

c) Por el Subsecretario de Justicia o quien éste designe;

d) Por el Subsecretario General de la Presidencia o quien éste designe;

e) Por el Subsecretario de Telecomunicaciones o quien éste designe;

f) Por el Subsecretario de Economía y Empresas de Menor Tamaño o quien éste designe;

g) Por el Subsecretario de Hacienda o quien éste designe;

h) Por el Subsecretario de Minería o quien éste designe;

i) Por el Subsecretario de Energía o quien éste designe;

j) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe;

k) Por el Director Nacional de la Agencia Nacional de Inteligencia;

l) Por el Director Nacional de la Agencia Nacional de Ciberseguridad;

m) Por un representante de la Subsecretaría del Interior, experto en materias de ciberseguridad.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 38. De la secretaría ejecutiva. El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

El Director Nacional de la Agencia dirigirá la Secretaría Ejecutiva y le corresponderá, entre otras funciones, despachar las convocatorias, según le instruya el Subsecretario del Interior; coordinar y registrar las sesiones del Comité e implementar los acuerdos que se adopten.

Artículo 39. De la información reservada. Constituido el Comité en sesión secreta, los funcionarios que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 40. Del reglamento. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

TÍTULO IX

De las modificaciones a otros cuerpos legales

Artículo 41. Incorpórase al siguiente literal k), nuevo, en el artículo 25 de la ley Nº 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional:

“k) Conducir el Centro Coordinador CSIRT del Sector Defensa en coordinación con la Subsecretaría de Defensa.”.

TÍTULO X

Disposiciones transitorias

Artículo Primero Transitorio.- Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley, expedidos por intermedio del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Fijar la planta de personal de la Agencia Nacional de Ciberseguridad.

En el ejercicio de esta facultad, el Presidente de la República deberá dictar todas las normas necesarias para la adecuada estructuración y operación de la planta de personal que fije, así como el número de cargos para cada planta, los requisitos específicos para el ingreso y promoción de dichos cargos, sus denominaciones y niveles jerárquicos para efectos de la aplicación de lo dispuesto en el Título VI de la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, y en el artículo 8º del decreto con fuerza de ley Nº 29, de 2004, del Ministerio de Hacienda. Igualmente, fijará su sistema de remuneraciones y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

Además, podrá establecer las normas para el encasillamiento del personal en la planta que fije, las que podrá incluir a los funcionarios que se traspasen desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

2. Determinar la fecha para la entrada en vigencia de las plantas que fije, del traspaso y del encasillamiento que se practique. Además, fijará la fecha en que la Agencia entrará en funcionamiento, pudiendo contemplar un período para su implementación.

3. Determinar la dotación máxima de personal de la Agencia Nacional de Ciberseguridad, a cuyo respecto no regirá la limitación establecida en el inciso segundo del artículo 10 de la ley Nº 18.834.

4. Disponer, sin solución de continuidad, el traspaso de los funcionarios titulares de planta y a contrata, desde la Subsecretaría del Interior.

En el respectivo decreto con fuerza de ley que fije la planta de personal, se determinará la forma en que se realizará el traspaso y el número de funcionarios que serán traspasados por estamento y calidad jurídica, pudiéndose establecer, además, el plazo en que se llevará a cabo este proceso, quienes mantendrán, al menos, el mismo grado que tenía a la fecha del traspaso. A contar de la fecha del traspaso, el cargo del que era titular el funcionario traspasado se entenderá suprimido de pleno derecho en la planta de la institución de origen. Del mismo modo, la dotación máxima de personal se disminuirá en el número de funcionarios traspasados.

La individualización del personal traspasado se realizará a través de decretos expedidos bajo la fórmula "Por orden del Presidente de la República", por intermedio del Ministerio del Interior y Seguridad Pública. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho.

5. Los requisitos para el desempeño de los cargos que se establezcan en el ejercicio de la facultad prevista en este artículo no serán exigibles para efectos del encasillamiento respecto de los funcionarios titulares y a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley. Asimismo, a los funcionarios o funcionarias a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley, y a aquellos cuyos contratos se prorroguen en las mismas condiciones, no les serán exigibles los requisitos que se establezcan en los decretos con fuerza de ley correspondientes.

El uso de las facultades señaladas en este artículo quedará sujeto a las siguientes restricciones, respecto del personal al que afecte:

a) No podrá tener como consecuencia ni podrán ser considerados como causal de término de servicios, supresión de cargos, cese de funciones o término de la relación laboral del personal traspasado.

b) No podrá significar pérdida del empleo, disminución de remuneraciones respecto del personal titular de un cargo de planta, modificación de los derechos estatutarios y previsionales del personal traspasado. Tampoco importará cambio de la residencia habitual de los funcionarios fuera de la Región en que estén prestando servicios, a menos que se lleve a cabo con su consentimiento.

c) Respecto del personal que en el momento del encasillamiento sea titular de un cargo de planta, cualquier diferencia de remuneraciones se pagará mediante una planilla suplementaria, la que se absorberá por los futuros mejoramientos de remuneraciones que correspondan a los funcionarios, excepto los derivados de reajustes generales que se otorguen a los trabajadores del sector público. Dicha planilla mantendrá la misma imponibilidad que aquella de las remuneraciones que compensa. Además, a la planilla suplementaria se le aplicará el reajuste general antes indicado.

d) Los funcionarios traspasados conservarán la asignación de antigüedad que tengan reconocida, así como también el tiempo computable para dicho reconocimiento.

6.Podrá disponer el traspaso, en lo que corresponda, de los bienes que determine, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo Segundo Transitorio.- El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese solo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal.

Artículo Tercero Transitorio.- El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo Cuarto Transitorio.- Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo Quinto Transitorio.- En el tiempo intermedio en que los ministerios, subsecretarías, superintendencias y demás órganos de la Administración del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de éstos, de conformidad a lo dispuesto en el artículo 22, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

Artículo Sexto Transitorio.- Para los efectos de la renovación parcial de los miembros del Consejo Técnico de la Agencia a que se refiere el inciso segundo del artículo 17, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Dos consejeros durarán en sus cargos por un plazo de dos tres años;

b) Dos consejeros durarán en sus cargos por un plazo de seis años.

Artículo Séptimo Transitorio.- El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas leyes de Presupuestos del Sector Público.”.

- - -

ACORDADO

Acordado en sesiones celebradas los siguientes días de 2022: 5 de julio, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Rodrigo Galilea Vial (en reemplazo del Honorable Senador señor Kenneth Pugh Olavarría), Javier Macaya Danús, y Gastón Saavedra Chandía; 12 de julio, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Javier Macaya Danús, Kenneth Pugh Olavarría y Gastón Saavedra Chandía; 9 de agosto, con asistencia de los Honorables Senadores señores Pedro Araya Guerrero (Presidente Accidental), Rodrigo Galilea Vial (en reemplazo del Honorable Senador señor Kenneth Pugh Olavarría) y Gastón Saavedra Chandía; 16 de agosto, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Javier Macaya Danús y Gastón Saavedra Chandía; 30 de agosto, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Javier Macaya Danús, Kenneth Pugh Olavarría y Gastón Saavedra Chandía; 6 de septiembre, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Kenneth Pugh Olavarría y Gastón Saavedra Chandía; 13 de septiembre, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Kenneth Pugh Olavarría y Gastón Saavedra Chandía, y 28 de septiembre, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Javier Macaya Danús, Kenneth Pugh Olavarría y Gastón Saavedra Chandía.

Valparaíso, a 29 de septiembre de 2022.

MILENA KARELOVIC RÍOS

Abogada Secretaria

RESUMEN EJECUTIVO

INFORME DE LA COMISIÓN DE DEFENSA NACIONAL, RECAÍDO EN EL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN (BOLETÍN N° 14.847-06).

_______________________________________________________________

I. OBJETIVOS DEL PROYECTO PROPUESTO POR LA COMISIÓN: establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, formar una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

II. ACUERDOS: aprobado en general por unanimidad (5X0).

III. ESTRUCTURA DEL PROYECTO APROBADO POR LA COMISIÓN: consta de 41 artículos permanentes y 7 disposiciones transitorias.

IV. NORMAS DE QUÓRUM ESPECIAL:

A. Normas orgánicas constitucionales, según el artículo 38 de la Constitución Política de la República, en relación con el artículo 66, inciso segundo, del mismo Texto Supremo:

- Artículos 8; 9 letras a), b), d), h), l) y m); 10; 13; 17; 22; 23; 24 letra b); 27; 28; 34; 36; 37; 38 y 41, permanentes.

- Artículos segundo; quinto y sexto de las disposiciones transitorias.

B. Normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, y 66, inciso tercero, ambos de la Carta Fundamental:

- Artículos 16; 29; 30; 31 y 39, permanentes.

V. URGENCIA: no tiene.

VI. ORIGEN E INICIATIVA: Senado. Mensaje de S.E. el ex Presidente de la República, señor Sebastián Piñera Echenique.

VII. TRÁMITE CONSTITUCIONAL: primero.

VIII. INICIO TRAMITACIÓN EN EL SENADO: 15 de marzo de 2022.

IX. TRÁMITE REGLAMENTARIO: primer informe, en general.

X. NORMAS QUE SE MODIFICAN O QUE SE RELACIONAN CON LA MATERIA: 1.- Ley N° 20.424, estatuto orgánico del Ministerio de Defensa Nacional; 2.- Ley N° 21.180, sobre transformación digital del Estado; 3.- Ley N° 19.882, que regula nueva política de personal a los funcionarios públicos que indica; 4.- Decreto con fuerza de ley N° 29, del Ministerio de Hacienda, promulgado en 2004 y publicado en 2005, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.834, sobre Estatuto Administrativo; 5.-Ley N° 19.628, sobre protección de la vida privada; 6.- Ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia; 7.- Decreto con fuerza de ley N° 1, del Ministerio Secretaría General de la Presidencia, promulgado en 2000 y publicado en 2001, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado; 8.- Ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado; 9.- Ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses; 10.- Código Penal; 11.- Decreto N° 83, de 2017, del Ministerio de Relaciones Exteriores, que promulga el Convenio sobre la Ciberdelincuencia (Convenio de Budapest); 12.- Ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest; 13.- Ley N° 21.113, que declara el mes de octubre como el de la ciberseguridad; 14.- Ley N° 18.168, general de telecomunicaciones; 15.- Decreto N° 533, de 2015, del Ministerio del Interior y Seguridad Pública, que crea el Comité Interministerial sobre Ciberseguridad; 16.- Instructivo Presidencial 1/2017, de 27 de abril de 2017, que aprueba e instruye la implementación de la Política Nacional de Ciberseguridad; 17.- Decreto N° 3, de 2018, del Ministerio de Defensa Nacional, que aprueba la Política de Ciberdefensa; 18.- Ley N° 21.130, que moderniza la legislación bancaria; 19.- Ley N° 20.453, que consagra el principio de neutralidad en la red para los consumidores y usuarios de internet; 20.- Decreto N° 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, reglamento para la interoperación y difusión de mensajería de alerta, declaración y resguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en los sistemas de telecomunicaciones; 21.- Decreto supremo N° 83, promulgado en 2004 y publicado en 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos, y 22.- Artículo 19, número 4°. de la Constitución Política de la República.

Valparaíso, a 29 de septiembre de 2022.

MILENA KARELOVIC RÍOS

Abogada Secretaria

INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA recaído en el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.

BOLETÍN Nº 14.847-06.

_________________________________________

Objetivo(s) / Constancias / Normas de Quórum Especial (sí tiene) / Consulta Excma. Corte Suprema (no hubo) / Asistencia / Antecedentes de Hecho / Aspectos Centrales del Debate / Discusión en General / Votación en General / Texto / Acordado / Resumen Ejecutivo.

HONORABLE SENADO:

La Comisión de Seguridad Pública tiene el honor de informar el proyecto de ley de la referencia, iniciado en Mensaje de Su Excelencia el ex Presidente de la República, señor Sebastián Piñera Echenique, con urgencia calificada de “suma”.

Se hace presente que, de conformidad a lo dispuesto en el artículo 36 del Reglamento de la Corporación, la Comisión discutió solo en general esta iniciativa de ley, la que resultó aprobada por la unanimidad de sus integrantes (5x0).

- - -

OBJETIVO (S) DEL PROYECTO

Establecer la institucionalidad necesaria para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

- - -

CONSTANCIAS

- Normas de quórum especial: Sí tiene

- Consulta a la Excma. Corte Suprema: No hubo.

- - -

NORMAS DE QUÓRUM ESPECIAL

Hacemos presente que de conformidad a lo dispuesto en el artículo 38 de la Constitución Política de la República, los artículos 8; 9 letras a), b), d), h), l) y m); 10; 13; 17; 22; 23; 24 letra b); 27; 28; 34; 36; 37; 38 y 41, permanentes; y los artículos segundo; quinto y sexto de las disposiciones transitorias, tienen el carácter de normas orgánicas constitucionales, por lo que requieren para su aprobación de las cuatro séptimas parte de los senadores en ejercicio, según lo prevé el inciso segundo del artículo 66 de la Carta Fundamental:

Por su parte, los artículos 16; 29; 30; 31 y 39, permanentes, tienen el carácter de normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, de la Constitución Política de la República, por lo que requieren para su aprobación de la mayoría absoluta de los senadores en ejercicio, según lo dispone el inciso tercero del artículo 66, de la Constitución Política de la República.

- - -

ASISTENCIA

- Representantes del Ejecutivo e invitados:

1.- Del Ministerio del Interior y Seguridad Pública:

- El Coordinador Nacional de Ciberseguridad señor Daniel Álvarez y la asesora jurídica y legislativa de dicha Coordinación, señora Michelle Bordachar.

- De la Subsecretaría de Prevención del Delito los asesores señor Rodrigo Muñoz y señora Carolina Codoceo.

2.- El ex Senador señor Felipe Harboe.

3.- El Director de la Unidad Especializada en Lavado de Dinero, Delitos Económicos, Delitos Medioambientales y Crimen Organizado (ULDECCO) del Ministerio Público, señor Mauricio Fernández.

- Otros

Los asesores parlamentarios: de la oficina del Honorable Senador señor Insulza la señora Javiera Gómez y el señor Guillermo Miranda; de la oficina del Honorable Senador señor Huenchumilla el asesor señor Rodrigo Vega; de la oficina del Honorable Senador señor Quintana el señor Claudio Rodríguez; de la oficina del Honorable Senador señor Ossandón el señor Ronald Von Der Weth y de la oficina del Honorable Senador señor Van Rysselbergue el señor Juan Paulo Morales.

- - -

ANTECEDENTES DE HECHO

I. Antecedentes.

Para el debido estudio de este proyecto de ley, se ha tenido en consideración el Mensaje de Su Excelencia el ex Presidente de la República señor Sebastián Piñera Echenique.

Expone que las tecnologías emergentes de la sociedad digital han generado un proceso de cambio cultural amplio, el cual se ha acelerado y profundizado en el contexto de diversas medidas sanitarias, como los confinamientos, producto de la pandemia del COVID-19.

Producto de lo anterior, afirma como necesario que el Estado profundice su transformación digital, la cual empezó con la publicación de la ley N°21.180 y ha continuado con el decreto supremo N°4, de 9 de noviembre de 2020, del Ministerio Secretaría General de la Presidencia y el DFL N° 1 de 2020 emanado de la misma Cartera de Estado.

Indica que tal modernización, es una tarea continua y permanente, que se enmarca dentro del principio rector consagrado en el artículo primero de nuestra Carta Fundamental, donde se reconoce que el Estado está al servicio de las personas, por lo que sostiene que el acceso a diversos servicios públicos mediante canales digitales, debe ser entregado con todos los resguardos y estándares de seguridad necesarios. Por tanto, expresa que se transita decididamente hacia un Estado que sea más integrador, ágil, innovador y efectivo para cumplir su función de servir al bien común.

Asimismo, el Mensaje recalca que los desafíos en materia de ciberseguridad requieren una convergencia, coordinación y articulación público-privada para la gestión de alertas preventivas y de incidentes de ciberseguridad. Por lo tanto, sostiene que es necesario gestionar los riesgos e implementar los más exigentes estándares que otorguen confianza y seguridad en las instituciones tanto públicas como privadas.

Agrega que el vertiginoso desarrollo de la sociedad digital conlleva un mayor riesgo de vulnerabilidad en todas las estructuras digitales, pero especialmente en aquellos sectores estratégicos donde existe infraestructura de la información que resulta ser crítica.

De tal manera, asegura que el presente proyecto de ley permitirá establecer el marco regulatorio necesario para el desarrollo robusto de la ciberseguridad, tanto en su dimensión operativa como regulatoria.

II. Fundamentos.

1. Relevancia de la ciberseguridad: En este ámbito, el Mensaje sostiene que el tránsito desde los soportes físicos hacia la infraestructura de la información, con el permanente riesgo de incidentes de ciberseguridad y ciberataques comienza a formar parte de los elementos a considerar en la discusión pública, siendo la gestión del riesgo y el control de la vulnerabilidad, aspectos destacados.

Posteriormente expresa que el Gobierno de Su Excelencia el ex Presidente Piñera, estableció entre sus objetivos la creación de condiciones para que Chile pueda insertarse de manera protagónica en la cuarta revolución industrial, adaptando las regulaciones a los desafíos que impone esta revolución digital.

2. Relevancia de la institucionalidad en materia de ciberseguridad: El Mensaje subraya que se requiere un órgano encargado de la seguridad en el ciberespacio, que proteja los bienes ya activos de la sociedad digital. Asimismo, explica que nuestro país requiere de una institucionalidad pública que se coordine con el sector privado de manera permanente, para garantizar la seguridad en el ciberespacio, que ayude a prevenir los delitos informáticos y proteja la infraestructura crítica de la información.

De esta manera, recalca que esa institucionalidad necesita de una gobernanza clara y una orgánica definida en sus roles, con amplias competencias, confiable, y altamente profesional, entre otros aspectos.

III. Objetivo del proyecto de ley.

El Mensaje anuncia que tiene como propósito establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar ña seguridad de las personas en el ciberespacio.

De igual modo fundamenta que se pretende proteger al Estado, sus redes y los demás sistemas informáticos e infraestructura de la información en el sector púbico, especialmente aquellas que son esenciales y críticas para los ciudadanos. En ese sentido, expresa que se protegerá la Seguridad Nacional, promoviendo el resguardo de datos, las redes y los sistemas informáticos de la información del sector privado, especialmente aquellas que son esenciales para el adecuado funcionamiento del país.

Finalmente, arguye que se procurará generar las capacidades para la prevención, mitigación, la efectiva y pronta recuperación ante incidentes de ciberseguridad que afecten a instituciones que posean infraestructura crítica de la información, para conformar un ciberespacio seguro, estable y resilente.

IV. Contenido del proyecto de ley

En primer término, el Mensaje sostiene que el ámbito de aplicación son los órganos de la Administración del Estado; los órganos del Estado y las instituciones privadas que posean Infraestructura Crítica de la Información.

En cuanto a su marco normativo, el Mensaje detalla los siguientes aspectos:

1.- El título primero contiene las disposiciones generales, donde destaca el objetivo del proyecto y los principios rectores.

2.- El título segundo, por su parte, establece la forma de determinación de la infraestructura crítica de la información y las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica. Asimismo, se señalan los deberes generales de los órganos del Estado cuya infraestructura de la información sea calificada como crítica, además de las facultades normativas de los reguladores o fiscalizadores sectoriales con competencia en sus respectivos sectores regulados.

3.- El título tercero crea y regula distintos organismos vinculados con la ciberseguridad como es la Agencia Nacional de Ciberseguridad, el Registro Nacional de Incidentes de Ciberseguridad, el Consejo Técnico de la Agencia Nacional de Ciberseguridad y el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, denominado “CSIRT Nacional”.

4.- El título cuarto regula los Equipos de Respuesta a Incidentes de Seguridad Informáticos Sectoriales “CSIRT Sectoriales”, que podrán constituirse por los reguladores o fiscalizadores sectoriales.

5.- En el título quinto se crea y se regula el CSIRT de Gobierno y el CSIRT de Defensa. El primero de ellos se asocia a la información del Estado y el segundo, pertenece al Estado Mayor Conjunto del Ministerio de Defensa Nacional, el cual es responsable de la coordinación y protección de la infraestructura de la información calificada como crítica del sector Defensa.

6.- Desde otra vereda, en el título sexto, se regula la reserva de la información, la cual se considerará secreta y de circulación restringida para todos los efectos legales de todos aquellos antecedentes, datos, informaciones y registros que obren en poder de los CSIRT.

7.- En línea con lo anterior, el título séptimo establece las infracciones, regula las multas y el procedimiento sancionatorio, junto con establecer una agravante especial.

8.- En el título octavo se crea y regula el Comité Interministerial de Ciberseguridad, encargado de asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales. Asimismo, establece que un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

9.- Finalmente, el título noveno contempla una modificación al Estatuto Orgánico del Ministerio de Defensa Nacional, y el título décimo contiene las disposiciones transitorias.

- - -

ASPECTOS CENTRALES DEL DEBATE

Los principales puntos discutidos por la Comisión dicen relación con los siguientes:

1) La debida armonía que debe guardar este proyecto de ley con la ley 21.459 sobre delitos informáticos y el proyecto de ley sobre datos personales que se encuentra en discusión en segundo trámite constitucional en la Cámara de Diputados (Boletines N°11.144-07 y 11.092-07, refundidos).

2) La creación de una institucionalidad pública a cargo de la ciberseguridad, con funciones y atribuciones tanto respecto al sector público como al sector privado.

3) La rigidez del concepto de infraestructura crítica, y ciertos cuestionamientos a la definición de servicios esenciales.

4) El carácter supletorio de la presente iniciativa de ley en cuanto a sus facultades normativas y principios, y específicamente en lo que refiere a la Agencia Nacional de Ciberseguridad.

5) La intención por parte del Ejecutivo de simplificar el proyecto de ley, especialmente en cuanto a su estructura orgánica, a objeto que la Agencia Nacional de Ciberseguridad sea una institución rectora en esta materia tanto para el sector público como privado.

- - -

DISCUSIÓN EN GENERAL [1]

A.- Presentación del proyecto de ley por el Coordinador Nacional de Ciberseguridad del Ministerio del Interior y Seguridad Pública y Presidente del Comité Interministerial de Ciberseguridad, señor Daniel Álvarez Valenzuela.

El señor Álvarez mediante una presentación, informó que el presente proyecto de ley se ingresó al Congreso Nacional a fines del Gobierno de Su Excelencia el ex Presidente de la República señor Sebastián Piñera, y que el Ejecutivo continuará en su tramitación con algunas modificaciones.

A modo de contexto, explicó que después de los incidentes ocurridos durante las últimas semanas en materia de ciberseguridad, resulta interesante comprender de qué manera el Estado se está haciendo cargo de esos temas, así como los particulares también debieran participar.

Como primera cosa, destacó que el Estado por su mandato constitucional, tiene el deber de proteger la información de las personas, en cuanto a las redes y sistemas. En ese sentido, destacó que cuando el Estado no actúa, las directamente afectadas son las personas en sus derechos, su patrimonio e incluso su seguridad individual.

Aclaró que cuando se habla de ciberseguridad no se está pensando en proteger computadores, sino que, a una sociedad que se comunica e interactúa permanentemente a través de esos equipos.

De esta manera apuntó que la seguidilla de ataques acaecidos en los últimos meses, ya sea al SERNAC, al Estado Mayor Conjunto y al Poder Judicial, denotan que se trata de un problema país y requiere de respuestas lo más institucionales posibles.

Lo expuesto se grafica en la lámina que sigue:

Posteriormente, destacó que el año 2015 se constituyó el Comité Interministerial de Ciberseguridad, que aprobó la primera Política Nacional de Ciberseguridad del año 2017 vigente hasta el año 2022. Luego el gobierno de Su Excelencia el ex Presidente señor Sebastián Piñera continuó con la implementación de esta política, y finalmente el actual gobierno se comprometió a robustecerla y avanzar en la misma. De esta manera, recalcó que es una política de Estado que ha permanecido al menos durante tres gobiernos consecutivos.

Enseguida se refirió a las acciones que está tomando el gobierno desde el Comité Interministerial de Ciberseguridad y El Ministerio del Interior y Seguridad Pública.

Expresó que se iniciaron tres procesos en paralelo:

1) El primero fue evaluar el documento “Política Nacional de Ciberseguridad” para efectos de ver cómo funcionó. Agregó que fue una planificación de largo tiempo que tiene 5 objetivos estratégicos y 41 medidas específicas, respecto de los cuales se persigue identificar si las medidas que estaban diseñadas para este período, eran lo suficientemente precisas para hacerse cargo del cumplimiento de los objetivos. De lo señalado advirtió que actualmente se encuentran en ese proceso de evaluación.

2) Asimismo, explicó que se encuentran preparando la Política Nacional de Ciberseguridad 2023-2028, en un proceso abierto y participativo. Comunicó que el resultado esperado de dicho proceso es que en marzo del año 2023 el país cuente con una nueva Política Nacional de Ciberseguridad.

3) Finalmente, el último proceso según sostuvo, se trata de la discusión y aprobación del presente proyecto de ley.

Lo anterior se grafica en la siguiente lámina:

Con el afán de sintetizar la presente iniciativa legal, argumentó que se crea una institucionalidad pública a cargo de la ciberseguridad, con funciones y atribuciones tanto respecto al sector público como del sector privado.

Particularmente, indicó que tal institucionalidad recaería en la Agencia Nacional de Ciberseguridad, que se relacionaría con el Presidente de la República a través del Ministerio del Interior y Seguridad Pública.

Puso especial acento en que se deben concordar los proyectos de ley que actualmente se discuten en el Congreso respecto a la creación del nuevo Ministerio de Seguridad Pública, anunciando que se presentaría una propuesta a ese respecto.

Por otra parte, indicó que el proyecto —de la forma que está presentado— establece un ámbito de aplicación acotado, lo que constituirá uno de los cambios fundamentales que se consultarán.

Particularmente, destacó que, de aprobarse sin modificaciones, se aplicaría a los órganos de la Administración del Estado y a aquellos privados que sean calificados como infraestructura crítica. Sin embargo, previno que muchas organizaciones privadas que manejan grandes volúmenes de información o aquella declarada sensible, pero que, sin embargo, no caben en la categoría de infraestructura crítica, podrían quedar eventualmente exentas de obligaciones en materia de ciberseguridad.

En otro orden de cosas, remarcó que el proyecto de ley establece un modelo de organización del Estado bastante complejo, donde crea muchos órganos y varios CSIRT con distintas funciones, además de otras entidades que tendrían la función de coordinación y asesoría. Por lo que fue de la idea que se debe simplificar la propuesta.

Lo anterior se esquematiza en la siguiente lámina:

En ese contexto calificó como necesaria la creación de una Agencia Nacional de Ciberseguridad, no obstante, opinó que se deben fortalecer sus capacidades en cuanto tenga la facultad de fiscalizar, dictar normas, generar capacitación y formación, convirtiéndose en un órgano rector en materia de ciberseguridad para el sector público y privado.

A continuación, se refirió a que el concepto de infraestructura crítica que contiene el proyecto es extremadamente rígido, por lo que sostuvo que hay soluciones en el derecho comparado que plantean definiciones más modernas y flexibles, apuntando a los denominados “servicios esenciales”. Puso como ejemplo el hecho de que, al hacer la calificación de infraestructura crítica, se debe incorporar sin duda, al transporte puesto que presta un servicio esencial a la ciudadanía. No obstante, resaltó que como hoy en día existen tantas modalidades de transporte, como el transporte aéreo y terrestre, se debe también hacer hincapié en los medios de transporte privado como Uber, taxis, etc.

De esta manera, anticipó que dentro de las modificaciones que se propondrán al proyecto, está la incorporación del concepto de “servicios esenciales para el país” y los “operadores de importancia habitual dentro de esos servicios esenciales”. Así las cosas, indicó que, si se declara como servicios esenciales el sector transporte, probablemente se encontrarán entre estos últimos las líneas aéreas, las empresas públicas de transporte, el Metro, el tren o los barcos.

Desde otro ángulo, planteó que una de las propuestas de modificación a presentar apunta a simplificar el modelo de gobernanza, en el sentido de crear solo un CSIRT a nivel nacional, con la proyección de que, si en el futuro se crean otros, estos deben estar bajo la supervisión del primero. Por tanto, relevó la importancia de centralizar la capacidad de defensa en este aspecto.

Lo planteado se puede resumir de la siguiente forma:

En otras materias, aludió a la incorporación en el proyecto, como se ha hecho a nivel comparado, de un derecho a la seguridad informática, de la misma manera como existe el derecho a la seguridad pública o ciudadana. Agregó también la necesidad de incluir ciertos principios, que a su juicio fueron omitidos por el Gobierno anterior, como el de Respuesta Responsable a Incidentes. En ese sentido, sostuvo que la modificación que se plantea se funda en que la respuesta debe siempre ser razonable, prudente, y no exponer a mayor daño, toda vez que hoy en día se desconoce si un incidente pequeño puede llevar a otro de mayor envergadura.

Se pretende, además, según manifestó, ampliar el ámbito de aplicación de la ley al sector público y sector privado, con algunas limitaciones respecto de pequeñas y medianas empresas en cuanto a establecer obligaciones diferenciadas, sin perjuicio del deber general de reportar brechas y vulnerabilidades. En ese sentido, recalcó que el factor común de todos los incidentes ocurridos últimamente, es que existió una vulnerabilidad o brecha que no se resolvió, acentuando que, dada la responsabilidad de los agentes en este tipo de materias, estos deben estar obligados a notificar, reparar, “parchar” y actualizar.

Desde otro punto de vista, comentó que se pretende incorporar en la presente iniciativa de ley, como se discutió ampliamente en el proyecto sobre delitos informáticos (Boletín N°12.192-25) —actual ley N°21.459— una norma referida al hacking ético. Lo anterior según apuntó, como una forma de mejorar la calidad de los sistemas.

Finalmente, agregó que se persigue incluir también, indicaciones respecto a modelos de certificación de cumplimiento. Particularmente descartó que fuese en la modalidad compliance utilizada en varias legislaciones especiales, sino que lo que se perseguiría es permitir que se certifiquen habilidades. Dio como ejemplo el que una empresa del sector bancario implementase todo el set de normas ISO. De esta forma, a través de la iniciativa se podría certificar a aquellas empresas que cumplan con los mejores estándares posibles.

Lo explicado se esquematiza en la siguiente lámina:

El Honorable Senador señor Ossandón consultó al Coordinador Nacional de Ciberseguridad señor Álvarez, respecto a sí se encuentra incluido en esta iniciativa, o se pretende incorporar vía indicaciones, lo que dice relación con una Agencia Nacional de Protección de Datos. Por otra parte, agregó si es posible canalizar los nexos de todas las instituciones, compartiendo conocimiento.

El señor Álvarez respondiendo la consulta efectuada, señaló que la ciberseguridad se trata de un sistema compuesto por la ley de delitos informáticos que actualizó nuestra legislación, el proyecto de ley sobre datos personales que se encuentra en discusión en segundo trámite constitucional y que en específico crea la Agencia de Protección de Datos Personales, y en la iniciativa que se debate en esta Comisión que pretende crear la Agencia Nacional de Ciberseguridad. De tal manera, explicó que se tendrá una especie de ecosistema que mayormente estará regulado por esta ley de ciberseguridad, y en cuanto se trate de datos personales, deberá estar regulado conforme a la Agencia de Protección de Datos Personales.

En efecto, detalló que estos sistemas son muy dinámicos, por lo que establecer en la ley la forma en que se expiden las reglas técnicas, va a provocar que se limite bastante el ámbito de decisión. Fundamentó que lo anterior es la razón de que se le entregue a la Agencia Nacional de Ciberseguridad la facultad de dictar instrucciones generales, particulares y aprobar normas técnicas, de manera que el desarrollo cotidiano de sus funciones sea lo más flexible posible.

El Honorable Senador Ossandón opinó que al crearse el Ministerio de Seguridad Pública (Boletín N°14.614-07), este sistema debiese reportar a esa Cartera de Estado y no al Ministerio del Interior y Seguridad Pública.

El Honorable Senador señor Insulza, planteó que tal situación estaría saldada toda vez que, una vez que se cree el Ministerio de Seguridad Pública, las facultades que actualmente están radicadas en el Ministerio del Interior, de competencia del primero, se traspasarán por definición, con los respectivos ajustes.

El Honorable Senador señor Huenchumilla preguntó cuál será el tratamiento del CSIRT del Ministerio de Defensa Nacional, a lo que el señor Álvarez respondió que este requiere un espacio de discusión específico distinto a lo que hace este proyecto de ley. En atención a ello, citó que la iniciativa en discusión crea el Comando Conjunto Ciber, sin embargo, con las atribuciones actuales del Estado Mayor Conjunto, solo podría actuar en tiempos de conflicto. En ese sentido, reafirmó la idea de que debía tratarse separadamente.

El Honorable Senador señor Huenchumilla propuso regular ciertas materias vía reglamento, como, por ejemplo, en lo que dice relación con las definiciones, para así evitar el exceso de detalle en la ley.

El Personero de Gobierno se mostró de acuerdo con la idea planteada y agregó que lo que se propone es simplificar la redacción del proyecto de ley y entregar una potestad reglamentaria a la Agencia Nacional de Ciberseguridad. Sin embargo, opinó que hay ciertas definiciones que debiesen quedar en el cuerpo legal porque son amplias y permiten flexibilidad, puesto que emanan del derecho comparado por lo que se encuentran bastante estandarizadas.

B.- Exposiciones de los invitados y debate suscitado en la Comisión con ocasión de ellas.

1.- El ex Senador señor Felipe Harboe expresó que cualquier regulación que se quiera implementar y que se pretenda como eficaz en materia de control del cibercrimen, requiere tener presente que esta ley es uno de los instrumentos necesarios para poder ejecutarlo. No obstante, advirtió que la misma requiere ser complementada con la ley de protección de datos personales (Boletines N°11.144-07 y 11.092-07, refundidos), la que se encuentra en segundo trámite constitucional en la Cámara de Diputados.

Particularmente, detalló que los bienes más perseguidos por los cibercriminales corresponden a los datos, los cuales les permiten efectuar un conjunto de acciones ilícitas que les reportan importantes ganancias.

En la misma línea, valoró la promulgación de la ley 21.459 sobre delitos informáticos, toda vez que permitió actualizar el marco jurídico para la persecución penal de este tipo de ilícitos.

Seguidamente, a modo de contexto, explicó que entre 2020 y 2021, el costo promedio de las brechas de seguridad aumentó en un 10%, es decir, desde 3,8 a 4,2 millones de dólares, según señala el reporte de IBM. Añadió que en aquellas compañías con teletrabajo el costo de la brecha fue en promedio un millón de dólares más alto.

Afirmó que la tendencia sigue siendo que el área más perjudicada por los costos de las brechas de seguridad es salud, con un promedio global de 9 millones de dólares.

En el ámbito nacional, sostuvo que solo en el primer semestre del año 2021 —según la PDI— se registraron más de 2 mil millones de incidentes, los que apuntan a ataques y otros, en materia cibernética. En ese contexto, indicó que dentro de los delitos más investigados se encuentra la estafa, el sabotaje informático y la adquisición o almacenamiento de material pornográfico infantil. Detalló que tales aspectos tuvieron un alza de 30%, 45% y 55%, respectivamente.

Como respuesta a lo anterior, argumentó que el gran problema lo representa, por un lado, la antigua legislación sobre delitos informáticos, la que, si bien ya ha sido modificada, los casos acaecidos con anterioridad a su actualización, continúan rigiéndose por la ley anterior.

En el ámbito cautelar, apuntó a que el cibercriminal siendo un delincuente mediato, no se caracteriza por un nutrido prontuario de antecedentes, lo que a su juicio complejiza que el Ministerio Público pueda obtener que se imponga una medida cautelar a través de los jueces.

Seguidamente, destacó que Chile tiene un gran problema en este aspecto, el cual se manifestó en el hackeo sufrido por la División de Gobierno Digital dependiente de la Secretaría General de la Presidencia. En dicha ocasión, arguyó que el resultado fue la intervención de 500 mil claves únicas, teniendo presente, que tal mecanismo se constituyó como un validador exigido por el Estado para el conjunto de trámites en línea. Finalmente agregó, que el autor de ese ciberataque fue un estudiante de ingeniería de 26 años.

Por su parte, informó que a nivel comparado las experiencias o consecuencias pueden ser incluso peores a nivel de Administración del Estado. Recordó que, en relación al conflicto ruso ucraniano, unas de los principales problemas fue que se produjeron más de 50 mil ciberataques durante los primeros meses del conflicto, con el objeto de impedir el desarrollo de acciones bélicas y de prestaciones a la población.

Luego citó el caso del ataque a Dropbox en el año 2012, donde 68 millones de usuarios se vieron afectados en sus correos y contraseñas, el que según afirmó, se hizo público 4 años después.

Enseguida se refirió al caso del Banco de Chile en el año 2018 y el de Banco Estado recientemente, que significó incluso la interrupción de las operaciones en un momento determinado.

A nivel latinoamericano, comentó que en Colombia existe el Plan Nacional de Protección de Infraestructura Crítica y Cibernética, que define un marco de gobierno, roles, responsabilidades y un conjunto de niveles de alerta y actuación, y la notificación y respuesta frente a eventos de ciberseguridad asociados a sectores críticos.

Posteriormente indicó que, en España, el Sistema de Protección de Infraestructuras Críticas se articula en torno a la conformación del Centro Nacional para la Protección de la Infraestructuras Críticas, donde trabajan mancomunadamente actores públicos y privados.

Por su parte, aseveró que Estados Unidos cuenta con la National Infrastructure Coordinating Center (NICC), el cual forma parte de la Cybersecurity Division of the Cybersecurity and Infrastructure Security Agency, así como del Centro de Operaciones Nacionalesdel Departamento de Seguridad Interior, añadiendo que tienen un funcionamiento permanente y coordinado que permite compartir información situacional sobre infraestructura crítica federal.

A continuación, citó el caso de Estonia —en que el Cyber Security Council— es el encargado de aportar una cooperación más fluida entre diversos organismos públicos del país, velando por el cumplimiento de metas y estrategias de ciberseguridad desde un punto de vista público y privado.

Finalmente, indicó que el Reino Unido a través del National Cyber Security Center respalda a organizaciones críticas del Estado.

En lo que respecta al proyecto de ley, observó ciertos elementos que según estimó debiesen ser estudiados en la discusión en particular.

1.) En cuanto a las definiciones, citó el caso de los denominados “servicios esenciales” del artículo 2° numeral 15). En ese contexto, manifestó la importancia de definir cuáles serán esos servicios esenciales, por lo que sugirió —dada la estructura del conjunto de definiciones— debiera establecerse una norma genérica que diga que se considerarán también como servicios esenciales “aquellos que sean calificados como estratégicos por la autoridad”.

Advirtió que de la definición dada en el proyecto sobre “servicios esenciales”, no se encuentra, por ejemplo, la industria del cobre que, en su opinión, una paralización o ataque a este sector puede significar una afectación estructural de la economía nacional.

2.) En lo que dice relación con los principios del artículo 3° numeral 8), junto con el artículo 7° sobre facultades normativas y el artículo 8° en cuanto a la definición de la Agencia Nacional de Ciberseguridad, cuestionó que el régimen de esta ley sea supletorio, considerándolo inadecuado. Postuló que ese debiese ser el marco general aplicable al sector público y privado, y además que exista una coordinación entre la Agencia y las autoridades reguladoras sectoriales. Por lo anterior, estimó que, de quedar como una ley supletoria, la convertirá en una regulación de escasa aplicación.

Asimismo, opinó que, sin perjuicio que en la estructura orgánica de esta norma se incorpore al regulador sectorial, la Agencia Nacional de Ciberseguridad no debe quedar sometida a lo que decida este regulador, sino que se debe propiciar el trabajo conjunto. Puso el caso en que el regulador sectorial establezca una norma particular en materia de ciberseguridad, con estándares que no sean compatibles con aquellos globales exigidos por la Agencia, lo que en la práctica provocaría que lo que diga esta última sea letra muerta. Añadió sobre este punto, que también puede haber diferencias de criterios desde el punto de vista normativo y sancionador, lo que graficó respecto de lo que sucede en las investigaciones que lleve a cabo el Ministerio Público en estas materias. En ese sentido, explicó que cuando este órgano requiera la participación de la autoridad sectorial como especialista en la materia, se tendrán diferentes criterios en la interpretación de las normas, su aplicación o en cuanto a lo que se entiende por estándares mínimos garantizados en la infraestructura crítica de la información.

En relación con estos planteamientos, el Coordinador Nacional de Ciberseguridad del Ministerio del Interior y Seguridad Pública señor Daniel Álvarez, manifestó compartir parte importante de las observaciones efectuadas. En efecto, indicó que, en cuanto a las definiciones, existen mejores marcos normativos de referencia que nos pueden llevar a reconsiderar el concepto de “servicios esenciales”, y reemplazarlo por “operadores de importancia vital”. Respecto a estos últimos, puntualizó que es una fórmula mucho más dinámica de entender aquellos sectores de la economía o de la sociedad, que requieren de ciertas obligaciones especiales en materia de ciberseguridad.

En cuanto al carácter supletorio de la ley, concordó respecto a que se estima que la Agencia Nacional de Ciberseguridad sea el órgano rector de la ciberseguridad en Chile y que se coordine o incluso pueda supervisar a los entes regulados, para efectos que la eficacia material de las disposiciones que genere, tanto la propia ley como las instrucciones generales, particulares y normas técnicas, tengan la mayor penetración posible en la sociedad. Por lo tanto, adhirió a la opinión del señor Harboe, en cuanto a si se deja a la ley con un carácter supletorio, la fuerza de la Agencia se reducirá de manera considerable.

En otro orden de ideas, informó que, en materia de indicaciones, el Ejecutivo se encuentra evaluando cómo simplificar la estructura orgánica, de manera tal que la Agencia Nacional de Ciberseguridad sea una institución dinámica y que tenga la capacidad de hacerse cargo de los diversos desafíos y principalmente del cambio tecnológico. De este modo, reiteró su opinión de que el proyecto de ley abunda en exceso en definiciones técnicas, puesto que, en un corto tiempo, estas pueden quedar obsoletas.

En conclusión, indicó que las indicaciones a presentar estarán orientadas a que la ley se remita a regular procesos y resultados, además de ampliar su ámbito de aplicación a todo el sector público y privado. En efecto, señaló que, dado el estado de avance y el nivel de inmersión de las tecnologías digitales, es necesario que todos los actores tengan obligaciones en materia de ciberseguridad, ya sea con mayor o menos intensidad según la importancia del operador o del servicio esencial.

2) El Director de la Unidad Especializada en Lavado de Dinero, Delitos Económicos, Delitos Medioambientales y Crimen Organizado (ULDECCO) del Ministerio Público, señor Mauricio Fernández manifestó estar conteste con los comentarios del ex Senador señor Harboe, sin embargo, advirtió que el proyecto de ley no aborda la cibercriminalidad propiamente tal.

Comentó que un sistema como el que se pretende instaurar tiene mucha relación con la persecución penal, por lo que fue de la opinión que debe dialogar reguladamente con esta.

A mayor abundamiento, señaló que frente al tratamiento de múltiples incidentes de ciberseguridad que, además, pueden tener alguna connotación penal, debe haber alguna fórmula que permita un adecuado traspaso de información desde la Agencia Nacional de Ciberseguridad y el sistema de tratamiento de incidentes en ciberseguridad, al Ministerio Público. Lo anterior, dado que —a su entender— la ley debe hacerse cargo de aquellos casos en que no hay denuncia de hechos ilícitos en ciberseguridad, y que por tal razón no llegan a la investigación criminal por falta de colaboración en ese sentido.

B.-Votación en general.

El señor Presidente de la Comisión, en atención a los planteamientos expuestos y la discusión habida en el seno de la Comisión, declaró cerrado el debate, procediendo a poner en votación en general la iniciativa legal, de manera de permitir que ella sea discutida, posteriormente por la Sala, para luego efectuar la discusión en particular, la que debiera ser realizada por las Comisiones de Defensa Nacional y la que preside, funcionando unidas.

- Puesto en votación el proyecto de ley, en general, fue aprobado por la unanimidad de sus integrantes, señores Huenchumilla, Insulza Quintana, Ossandón y Van Rysselberghe.

- - -

TEXTO DEL PROYECTO

De conformidad a lo precedentemente acordado, la Comisión de Seguridad Pública propone a la Sala la aprobación, en general, del texto despachado por la Comisión de Defensa Nacional en sus mismos términos, que es el siguiente:

PROYECTO DE LEY:

“TÍTULO I

Disposiciones generales

Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los órganos del Estado así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.

Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Agencia: La Agencia Nacional de Ciberseguridad.

2. Ciberataque: Acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.

3. Ciberespacio: Dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Las infraestructuras tecnológicas corresponden a los equipos materiales empleados para la transmisión de las comunicaciones, tales como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos, conductores, entre otros.

Los componentes lógicos de la información, en tanto, son los diferentes softwares que permiten el funcionamiento, administración y uso de la red.

4. Ciberseguridad: el conjunto de acciones destinadas al estudio y manejo de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención, mitigación y respuesta frente a estos, así como para reducir sus efectos y el daño causado, antes, durante y después de su ocurrencia, respecto de los activos informáticos y de servicios.

5. Equipo de respuesta a incidentes de seguridad informática o CSIRT: Centros conformados por especialistas multidisciplinarios capacitados para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad, en forma rápida y efectiva, y que actúan según procedimientos y políticas predefinidas, coadyuvando asimismo a mitigar sus efectos.

6. Estándares Mínimos de Ciberseguridad: Corresponden al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica.

7. Gestión de incidente de Ciberseguridad: Conjunto ordenado de acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

8. Incidente de ciberseguridad: Todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos a través sistemas de telecomunicaciones y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.

9. Infraestructura Crítica de la Información: corresponde a aquellas instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

10. Red o sistema de información: Medio en virtud del cual dispositivos, redes o plataformas almacenan, procesan o transmiten datos digitales, ya sea a través de redes de comunicaciones electrónicas, dispositivos o cualquier grupo de redes interconectadas o dispositivos o sistemas de información y plataformas relacionadas entre sí.

11. Regulador o fiscalizador sectorial: Son aquellos servicios públicos dentro de cuyas funciones se encuentra la regulación y/o supervigilancia de uno o más sectores regulados.

12. Resiliencia: Capacidad de las redes o sistemas de información para seguir operando pese a estar sometidos a un incidente de ciberseguridad o ciberataque, aunque sea en un estado degradado, debilitado o segmentado; y, también, la capacidad de restaurar con presteza sus funciones esenciales después de un incidente de ciberseguridad o ciberataque, por lo general con un efecto reconocible mínimo.

13. Riesgo: Toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes o sistemas de información. Se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto negativo en éstas.

14. Sector regulado: Sector que representa alguna actividad económica estratégica nacional, que se encuentra sometido a la supervigilancia de un regulador o fiscalizador sectorial.

15. Servicios esenciales: Todo servicio respecto del cual la afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente:

a) La vida o integridad física de las personas;

b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones;

c) Al normal funcionamiento de obras públicas fiscales y medios de transporte;

d) A la generalidad de usuarios o clientes de sistemas necesarios para operaciones financieras, bancarias, de medios de pago y/o que permitan la transacción de dinero o valores; y

e) De modo general, el normal desarrollo y bienestar de la población.

16. Sistema informático: Todo dispositivo aislado o el conjunto de ellos, interconectados o relacionados entre sí, incluidos sus soportes lógicos, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

17. Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:

1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las ofrece u opera, con independencia de la naturaleza pública o privada del organismo.

2. Principio de protección integral: se deberán determinar los riesgos potenciales que puedan afectar a las redes o sistemas de información y aplicar las medidas organizativas, de gestión y técnicas apropiadas para la protección de los mismos.

3. Principio de confidencialidad de los sistemas de información: los datos, conectividad y sistemas deberán ser exclusivamente accedidos por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.

4. Principio de integridad de los sistemas informáticos y de la información: los datos y elementos de configuración de un sistema sólo podrán ser modificados por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.

5. Principio de disponibilidad de los sistemas de información: los datos, conectividad y sistemas deben estar accesibles para su uso a demanda.

6. Principio de control de daños: los órganos del Estado y aquellas instituciones privadas que posean infraestructura de la información calificada como crítica, en el caso de un incidente de ciberseguridad o de un ciberataque, deben siempre actuar diligentemente y adoptar las medidas necesarias para evitar la escalada del incidente de ciberseguridad o del ciberataque y su posible propagación a otros sistemas informáticos, notificando de igual forma el incidente de ciberseguridad al CSIRT respectivo.

7. Principio de cooperación con la autoridad: los órganos de la Administración del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad, y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

8. Principio de especialidad en la sanción: en materia sancionatoria, se preferirá la aplicación de la regulación sectorial por sobre la establecida en esta ley.

TÍTULO II

De la determinación de Infraestructura Crítica de la Información

Párrafo 1°

Determinación de la infraestructura crítica de la información

Artículo 4. Calificación de la infraestructura de la información como crítica. Cada dos años, el Ministerio del Interior y Seguridad Pública requerirá al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que detalle cuáles son aquellos sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas; y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

Dentro de los ciento veinte días siguientes a la recepción del informe, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo 5. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley.

Artículo 6. Deberes específicos. Los órganos del Estado señalados en el inciso final del artículo 4º y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un sistema de gestión de riesgo permanente con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema debe contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos una vez al año.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

e) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

Artículo 7. Facultades normativas. Los reguladores o fiscalizadores sectoriales podrán dictar instrucciones, circulares, órdenes, normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares de ciberseguridad respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva, las que deberán considerar, a lo menos, los estándares establecidos por la Agencia Nacional de Ciberseguridad.

TÍTULO III

De la Agencia Nacional de Ciberseguridad

Párrafo 1°

Objeto, naturaleza y atribuciones

Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial, y que posea infraestructura de la información calificada como crítica, según los preceptos de esta ley. Se relacionará con el Presidente de la República por intermedio del Ministerio del Interior y Seguridad Pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras localidades o regiones del país.

Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República, en el análisis y definiciones de la política nacional de ciberseguridad, así como los planes y programas de acción específicos para su ejecución y cumplimiento, así como en temas relativos a estrategias de avance en su implementación.

b) Dictar normas técnicas de carácter general y los estándares mínimos de ciberseguridad e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización de un regulador o fiscalizador sectorial, según corresponda.

c) Proponer al Ministro del Interior y Seguridad Pública las normas legales y reglamentarias que se requieran para asegurar el acceso libre y seguro al ciberespacio, así como aquellas que estén dentro del marco de su competencia.

d) Coordinar a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.

e) Administrar el Registro Nacional de Incidentes de Ciberseguridad.

f) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad.

g) Requerir de los CSIRT Sectoriales y del CSIRT Nacional la información que sea necesaria para el cumplimiento de sus fines y que sea de responsabilidad de estas instituciones.

h) Diseñar e implementar planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

i) Suscribir convenios con órganos del Estado e instituciones privadas destinados a facilitar la colaboración y la transferencia de información que permita el cumplimiento de los fines de la Agencia.

j) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, en coordinación con el Ministerio de Relaciones Exteriores, cuando corresponda.

k) Prestar asesoría técnica a los órganos del Estado e instituciones privadas cuya infraestructura de la información haya sido calificada como crítica, que estén o se hayan visto afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o haya afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

l) Colaborar y coordinar con organismos de Inteligencia, para enfrentar amenazas que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.

m) Fiscalizar y sancionar el cumplimiento de esta ley, sus reglamentos y la normativa técnica que se dicte en conformidad con la presente ley, cuando ello no corresponda a un regulador o fiscalizador sectorial, según corresponda.

n) Informar a la Agencia Nacional de Inteligencia sobre riesgos e incidentes de ciberseguridad.

o) Conjuntamente con el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de ciberseguridad local.

p) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°

Dirección, organización y patrimonio

Artículo 10. Dirección de la Agencia. La dirección y administración superior de la Agencia estará a cargo de un Director Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 11. Atribuciones del Director Nacional. Corresponderá especialmente al Director Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en funcionarios de las plantas directiva, profesional o técnica de la Agencia, y

g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.

Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores; y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 14.- Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Estatuto Administrativo.

Artículo 15.- De la estructura interna de la Agencia. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

Párrafo 3°

Registro Nacional de Incidentes de Ciberseguridad

Artículo 16. Del Registro Nacional de Incidentes de Ciberseguridad. Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter de reservado, por exigirlo el debido cumplimiento de las funciones de la Agencia, el debido resguardo de los derechos de las personas y la seguridad de la nación. En este registro se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Sobre la base de este registro se podrán realizar las respetivas investigaciones por parte de la Agencia, así como comunicar las alertas a los CSIRT Sectoriales, a los órganos del Estado señalados en el inciso final del artículo 4º y a las instituciones privadas que posean infraestructura de la información calificada como crítica, que corresponda al caso.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública contendrá las disposiciones necesarias para regular la forma en que se confeccionará el referido registro, la operación del mismo y toda otra norma necesaria para su adecuado funcionamiento.

Párrafo 4°

Consejo Técnico de la Agencia Nacional de Ciberseguridad

Artículo 17. Consejo Técnico de la Agencia Nacional de Ciberseguridad. Créase el Consejo Técnico de la Agencia Nacional de Ciberseguridad, en adelante el “Consejo”, que tendrá como objeto asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y cuatro consejeros designados por el Presidente de la República, mediante decreto supremo expedido a través del Ministerio del Interior y Seguridad Pública, entre personas de destacada labor en el ámbito de la ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes permanecerán en su cargo durante seis años, renovándose en pares cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses y estarán afectos al principio de abstención contenido en el artículo 12 de la ley Nº 19.880.

Artículo 18. Funciones del Consejo. Corresponderá al Consejo:

a) Asesorar a la Agencia en materias relacionadas con la ciberseguridad y la protección y aseguramiento de la Infraestructura Crítica de la Información;

b) Elaborar el informe que señala el artículo 4º de esta ley, relativo a la determinación de los sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica;

c) Asesorar en la redacción de propuestas de normas técnicas que la Agencia genere, y;

d) Asesorar a la Agencia en todas aquellas materias que ésta solicite.

Artículo 19. Funcionamiento del Consejo. El Consejo sólo podrá sesionar con la asistencia de, al menos, tres de sus miembros, previa convocatoria del Director de la Agencia. Sin perjuicio de lo anterior, el Presidente del Consejo estará obligado a convocar a una sesión extraordinaria cuando así lo requieran, por escrito, a lo menos tres de sus miembros. En todo caso, el Consejo podrá autoconvocarse en situaciones urgentes o necesarias conforme a la decisión de la mayoría de sus integrantes.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento oportuno y eficiente de sus funciones, debiendo celebrar sesiones ordinarias a lo menos una vez cada dos meses, con un máximo de doce sesiones pagadas por cada año calendario, y sesiones extraordinarias cuando las cite especialmente el Presidente del Consejo, o cuando aquéllas se citen por medio de una autoconvocatoria del Consejo. Podrán celebrarse un máximo de cuatro sesiones extraordinarias pagadas por cada año calendario.

Los acuerdos del Consejo se adoptarán por la mayoría absoluta de los consejeros presentes. El Presidente del Consejo tendrá voto dirimente en caso de empate. De los acuerdos que adopte el Consejo deberá dejarse constancia en el acta de la sesión respectiva. Podrán declararse secretas las actas en que, de conformidad a la ley, se traten materias que afectaren el debido cumplimiento de las funciones de la Agencia, la seguridad de la Nación o el interés nacional.

Cada uno de los integrantes del Consejo, con excepción de su Presidente, percibirá una dieta de quince unidades de fomento por cada sesión a la que asista, con un tope máximo de doce sesiones por año calendario. Esta dieta será compatible con otros ingresos que perciba el consejero.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 20. Incompatibilidades de los miembros del Consejo. No podrán ser designados consejeros las personas que desempeñen empleos o comisiones retribuidos con fondos del Fisco, de las municipalidades, de las entidades fiscales autónomas, semifiscales, de las empresas del Estado o en las que el Fisco tenga aportes de capital, y con toda otra función o comisión de la misma naturaleza. Exceptúese a los empleos docentes y las funciones o comisiones de igual carácter de la enseñanza superior, media o especial.

Artículo 21. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria aceptada por la autoridad que realizó la designación.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Sobreviniencia de alguna causal de incompatibilidad de las contempladas en el artículo 19.

f) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

g) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a dos sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción. Con todo, tratándose del ordinal ii) de dicho literal, será necesario, para cursar la remoción, la presentación de la respectiva querella por el delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 5°

Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 22. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante incidentes de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica, de conformidad a lo prescrito en esta ley.

b) Coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad.

e) Ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

f) Consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del registro previsto en los términos del artículo 16.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

h) Requerir a los CSIRT Sectoriales, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Responder, conjuntamente con uno o más CSIRT Sectoriales, en la gestión de un incidente de ciberseguridad o de un ciberataque, dependiendo de las capacidades y competencias de los órganos del Estado que concurren a su gestión, cuando estos puedan ocasionar un impacto significativo en el sector, institución u órgano del Estado, según corresponda. En estos casos, el CSIRT Nacional podrá recomendar, colaborar, compartir información, coordinar y realizar todas las acciones conjuntas necesarias para asegurar una respuesta rápida frente al incidente. Además, podrá supervisar la implementación de medidas de mitigación de corto plazo, e informarse de las medidas de largo plazo adoptadas.

j) Generar y difundir información mediante campañas públicas y prestar asesoría técnica general a personas naturales o jurídicas, que no se encuentran reguladas por esta ley, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Crear y administrar para el cumplimiento de sus funciones una red electrónica de comunicaciones segura destinada a comunicar y compartir información con los otros CSIRT Sectoriales, de Gobierno y Defensa. El funcionamiento de la red de comunicaciones se establecerá en el reglamento de la presente ley.

TÍTULO IV

De los equipos de respuesta a incidentes de seguridad informática sectoriales

Artículo 23. CSIRT Sectoriales. Los reguladores o fiscalizadores sectoriales podrán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de sus respectivos sectores regulados.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública establecerá las instancias de coordinación entre la Agencia Nacional de Ciberseguridad, los reguladores y fiscalizadores sectoriales, así como de sus respectivos CSIRT, dentro del marco que fija esta ley.

Artículo 24. Funciones de los CSIRT Sectoriales. Corresponderá a los CSIRT Sectoriales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración de Estado y de las instituciones privadas de su sector.

b) Coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del Estado y de las instituciones privadas de su sector frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Prestar colaboración o asesoría técnica en la implementación de políticas y acciones relativas a ciberseguridad a los CSIRT de las instituciones reguladas.

d) Ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

e) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos de la Administración de Estado de su sector y de las instituciones reguladas cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

f) Requerir a los CSIRT de sus instituciones reguladas, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas.

g) Generar y difundir información mediante campañas públicas dentro de su sector.

h) Trabajar conjuntamente con el CSIRT Nacional y con otros sectoriales, cuando corresponda, en la gestión de un incidente de ciberseguridad en los casos y forma previstas en el literal i) del artículo 20 de esta ley.

i) Informar al CSIRT Nacional, de vulnerabilidades, incidentes de ciberseguridad y ciberataques detectados o reportados en su sector, junto a sus respectivos cursos o planes de acción para subsanarlos.

j) Prestar asesoría técnica a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas.

Artículo 25. Deber general de informar. La Agencia informará a cada CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas, y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial informará a los órganos de la Administración de Estado y a las instituciones privadas de su sector que posean infraestructura de la información calificada como crítica sobre vulnerabilidades existentes o detectadas en ella, y elaborará recomendaciones para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial deberá informar a su sector regulado de manera anonimizada de los reportes de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas y de los cursos de acción tomada en cada caso.

Toda institución que posea infraestructura de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT los reportes de incidentes de ciberseguridad e informar respecto del plan de acción que adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su ocurrencia. Lo anterior se entiende sin perjuicio de la facultad del regulador de solicitar el cumplimento de esta obligación en un plazo menor si lo considera necesario.

Artículo 26. Deber especial de información a la Agencia. Los CSIRT Sectoriales deberán informar a la Agencia, a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando este ha tenido un impacto significativo en la seguridad del sistema informático de una institución que posee infraestructura de la información calificada como crítica o en la continuidad de un servicio esencial.

Se considera que un incidente de ciberseguridad tiene impacto significativo si cumple al menos una de las siguientes condiciones:

a) Afecta a una gran cantidad de usuarios.

b) La interrupción o mal funcionamiento es de larga duración.

c) Afecta a una extensión geográfica considerable.

d) Afecta sistemas de información que contengan datos personales.

e) Afecta la integridad física, la salud, o la vida cotidiana de las personas, de manera significativa.

Corresponderá calificar el impacto significativo a los reguladores o fiscalizadores sectoriales o a la Agencia, según corresponda.

La obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado no deja sin efectos el deber de los CSIRT Sectoriales de notificar a la Agencia de la ocurrencia de un incidente de ciberseguridad en el plazo indicado en el inciso primero.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2 letra f) de la ley N°19.628 sobre Protección de la Vida Privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.

TÍTULO V

De los CSIRT del sector público

Artículo 27. Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno. Créase en la Agencia el Equipo de Respuesta a Incidentes de Seguridad Informática de Gobierno, en adelante CSIRT de Gobierno. El CSIRT de Gobierno para todos los efectos, se clasificará como un CSIRT sectorial, responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. Tendrá las siguientes funciones principales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado.

b) Asegurar la implementación de los protocolos y estándares mínimos de ciberseguridad establecidos por la Agencia, en los órganos de la Administración de Estado.

c) Gestionar los ciberataques, incidentes, y vulnerabilidades detectadas, informando estas situaciones al CSIRT Nacional de acuerdo a las normas que se establezcan para tal efecto.

d) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado.

Artículo 28. Centro Coordinador del Equipo de Respuesta ante Incidentes de Seguridad Informáticos del Sector Defensa. Créase el Centro Coordinador del Equipo de Respuesta ante Incidentes Informáticos del Sector Defensa (CCCD o CSIRT Sectorial de Defensa), dependiente del Ministerio de Defensa Nacional, como el organismo dependiente del Comando Conjunto de Ciberdefensa, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, responsable de la coordinación y protección de la infraestructura de la información calificada como crítica, a su vez de los recursos digitales del sector Defensa, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la Seguridad Nacional.

Para efectos presupuestarios, dependerá del Ministerio de Defensa Nacional y, en lo que le sea aplicable, se regirá por la presente ley y por la reglamentación que dicte al efecto el Ministerio de Defensa.

Sus funciones principales serán las siguientes:

a) Responsable de la coordinación y enlace entre los diferentes CSIRT del sector Defensa (Ejército, Armada, Fuerza Aérea, Estado Mayor Conjunto, Subsecretaría de Defensa, Subsecretaría para las Fuerzas Armadas y otros órganos dependientes de dicho sector), con el objeto de asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de la infraestructura de la información calificada como crítica del sector Defensa.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con el CSIRT Sectorial de Defensa, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

TÍTULO VI

De la reserva de información en el sector público en materia de ciberseguridad

Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales órganos de la Administración del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización su Director Nacional, en las condiciones que este indique.

Los funcionarios de CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales, que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de riesgos y los registros previstos en el artículo 6º, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres;

iii. Los planes de acción y mitigación de riesgos de ciberseguridad y,

iv. Los reportes de incidentes de ciberseguridad.

Artículo 30. Extensión de la obligación de reserva. La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 31. Deber de reserva de la Agencia. La Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a conocer en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Artículo 32. Sanciones. La infracción a las obligaciones dispuestas en el presente título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII

De las infracciones y sanciones

Artículo 33. De las infracciones. Serán consideradas infracciones para efectos de esta ley:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

b) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

c) Entregar maliciosamente información falsa o manifiestamente errónea, e;

d) Incumplir los deberes previstos en el párrafo 2° del Título II.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción. Para determinar la cuantía de la multa, se entenderá por:

a) Faltas gravísimas: aquellas señaladas en los literales b) y c) del inciso precedente. En este caso, la multa será de hasta a 20.000 Unidades Tributarias Mensuales.

b) Faltas graves: aquellas señaladas en el literal a) del inciso precedente. En este caso, la multa será de hasta 10.000 Unidades Tributarias Mensuales.

c) Faltas leves: aquellas obligaciones señaladas en esta ley cuyo incumplimiento negligente o injustificado no tenga señalada una sanción especial, caso en el que la multa será de 10 a 5.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios de la Administración del Estado o de los órganos del Estado se regirán por su respectivo estatuto sancionatorio.

Artículo 34. Procedimiento. Las sanciones que se cursen con motivo de las infracciones contempladas en el artículo precedente, serán impuestas por resolución del Director de la Agencia, de conformidad a lo dispuesto en esta ley.

El procedimiento sancionatorio deberá fundarse en un procedimiento racional y justo, que será establecido en un reglamento dictado por el Ministerio del Interior y Seguridad Pública y deberá, al menos, establecer:

a) El procedimiento para designar al funcionario de la Agencia que llevará adelante el procedimiento;

b) El contenido de la formulación de cargos, la cual deberá señalar circunstanciadamente los hechos constitutivos de infracción, las normas legales que fueron infringidas y la gravedad de la infracción;

c) El plazo para formular descargos, el cual no podrá ser inferior a 15 días hábiles;

d) Un periodo para rendir y observar la prueba, el cual no podrá ser inferior a 10 días hábiles, pudiendo aportar las partes los medios de prueba que estimen pertinentes;

e) La forma y contenido de la resolución que absuelve o condena, la cual deberá contener la exposición de los hechos, el razonamiento que permite arribar a la resolución y la decisión que acoge o desecha los cargos formulados.

Tratándose de sectores regulados, las sanciones serán impuestas por los reguladores o fiscalizadores sectoriales y el procedimiento corresponderá al determinado por la normativa sectorial respectiva.

Artículo 35. Agravante especial. Si como consecuencia de la perpetración de un delito resultare la destrucción, inutilización o alteración grave del funcionamiento de infraestructura crítica de la información, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos soportados por infraestructura de la información calificada como crítica o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de un sistema informático que formare parte de la Infraestructura Crítica de la Información.

TÍTULO VIII

Del Comité Interministerial de Ciberseguridad

Artículo 36. Comité Interministerial de Ciberseguridad. Créase el Comité Interministerial de Ciberseguridad, en adelante el Comité, cuya función será asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales.

Artículo 37. De los integrantes del Comité. El Comité será presidido por el Subsecretario del Interior y estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario de Defensa o quien éste designe;

b) Por el Subsecretario de Relaciones Exteriores o quien éste designe;

c) Por el Subsecretario de Justicia o quien éste designe;

d) Por el Subsecretario General de la Presidencia o quien éste designe;

e) Por el Subsecretario de Telecomunicaciones o quien éste designe;

f) Por el Subsecretario de Economía y Empresas de Menor Tamaño o quien éste designe;

g) Por el Subsecretario de Hacienda o quien éste designe;

h) Por el Subsecretario de Minería o quien éste designe;

i) Por el Subsecretario de Energía o quien éste designe;

j) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe;

k) Por el Director Nacional de la Agencia Nacional de Inteligencia;

l) Por el Director Nacional de la Agencia Nacional de Ciberseguridad;

m) Por un representante de la Subsecretaría del Interior, experto en materias de ciberseguridad.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 38. De la secretaría ejecutiva. El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

El Director Nacional de la Agencia dirigirá la Secretaría Ejecutiva y le corresponderá, entre otras funciones, despachar las convocatorias, según le instruya el Subsecretario del Interior; coordinar y registrar las sesiones del Comité e implementar los acuerdos que se adopten.

Artículo 39. De la información reservada. Constituido el Comité en sesión secreta, los funcionarios que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 40. Del reglamento. Un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

TÍTULO IX

De las modificaciones a otros cuerpos legales

Artículo 41. Incorpórase al siguiente literal k), nuevo, en el artículo 25 de la ley Nº 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional:

“k) Conducir el Centro Coordinador CSIRT del Sector Defensa en coordinación con la Subsecretaría de Defensa.”.

TÍTULO X

Disposiciones transitorias

Artículo Primero Transitorio.- Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley, expedidos por intermedio del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Fijar la planta de personal de la Agencia Nacional de Ciberseguridad.

En el ejercicio de esta facultad, el Presidente de la República deberá dictar todas las normas necesarias para la adecuada estructuración y operación de la planta de personal que fije, así como el número de cargos para cada planta, los requisitos específicos para el ingreso y promoción de dichos cargos, sus denominaciones y niveles jerárquicos para efectos de la aplicación de lo dispuesto en el Título VI de la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, y en el artículo 8º del decreto con fuerza de ley Nº 29, de 2004, del Ministerio de Hacienda. Igualmente, fijará su sistema de remuneraciones y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

Además, podrá establecer las normas para el encasillamiento del personal en la planta que fije, las que podrá incluir a los funcionarios que se traspasen desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

2. Determinar la fecha para la entrada en vigencia de las plantas que fije, del traspaso y del encasillamiento que se practique. Además, fijará la fecha en que la Agencia entrará en funcionamiento, pudiendo contemplar un período para su implementación.

3. Determinar la dotación máxima de personal de la Agencia Nacional de Ciberseguridad, a cuyo respecto no regirá la limitación establecida en el inciso segundo del artículo 10 de la ley Nº 18.834.

4. Disponer, sin solución de continuidad, el traspaso de los funcionarios titulares de planta y a contrata, desde la Subsecretaría del Interior.

En el respectivo decreto con fuerza de ley que fije la planta de personal, se determinará la forma en que se realizará el traspaso y el número de funcionarios que serán traspasados por estamento y calidad jurídica, pudiéndose establecer, además, el plazo en que se llevará a cabo este proceso, quienes mantendrán, al menos, el mismo grado que tenía a la fecha del traspaso. A contar de la fecha del traspaso, el cargo del que era titular el funcionario traspasado se entenderá suprimido de pleno derecho en la planta de la institución de origen. Del mismo modo, la dotación máxima de personal se disminuirá en el número de funcionarios traspasados.

La individualización del personal traspasado se realizará a través de decretos expedidos bajo la fórmula "Por orden del Presidente de la República", por intermedio del Ministerio del Interior y Seguridad Pública. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho.

5. Los requisitos para el desempeño de los cargos que se establezcan en el ejercicio de la facultad prevista en este artículo no serán exigibles para efectos del encasillamiento respecto de los funcionarios titulares y a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley. Asimismo, a los funcionarios o funcionarias a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley, y a aquellos cuyos contratos se prorroguen en las mismas condiciones, no les serán exigibles los requisitos que se establezcan en los decretos con fuerza de ley correspondientes.

El uso de las facultades señaladas en este artículo quedará sujeto a las siguientes restricciones, respecto del personal al que afecte:

a) No podrá tener como consecuencia ni podrán ser considerados como causal de término de servicios, supresión de cargos, cese de funciones o término de la relación laboral del personal traspasado.

b) No podrá significar pérdida del empleo, disminución de remuneraciones respecto del personal titular de un cargo de planta, modificación de los derechos estatutarios y previsionales del personal traspasado. Tampoco importará cambio de la residencia habitual de los funcionarios fuera de la Región en que estén prestando servicios, a menos que se lleve a cabo con su consentimiento.

c) Respecto del personal que en el momento del encasillamiento sea titular de un cargo de planta, cualquier diferencia de remuneraciones se pagará mediante una planilla suplementaria, la que se absorberá por los futuros mejoramientos de remuneraciones que correspondan a los funcionarios, excepto los derivados de reajustes generales que se otorguen a los trabajadores del sector público. Dicha planilla mantendrá la misma imponibilidad que aquella de las remuneraciones que compensa. Además, a la planilla suplementaria se le aplicará el reajuste general antes indicado.

d) Los funcionarios traspasados conservarán la asignación de antigüedad que tengan reconocida, así como también el tiempo computable para dicho reconocimiento.

6.Podrá disponer el traspaso, en lo que corresponda, de los bienes que determine, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo Segundo Transitorio.- El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese solo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal.

Artículo Tercero Transitorio.- El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo Cuarto Transitorio.- Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo Quinto Transitorio.- En el tiempo intermedio en que los ministerios, subsecretarías, superintendencias y demás órganos de la Administración del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de éstos, de conformidad a lo dispuesto en el artículo 22, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

Artículo Sexto Transitorio.- Para los efectos de la renovación parcial de los miembros del Consejo Técnico de la Agencia a que se refiere el inciso segundo del artículo 17, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Dos consejeros durarán en sus cargos por un plazo de dos tres años;

b) Dos consejeros durarán en sus cargos por un plazo de seis años.

Artículo Séptimo Transitorio.- El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas leyes de Presupuestos del Sector Público.”.

- - -

Tratado y acordado en sesión celebrada el día 4 de octubre de 2022 con la asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo, José Miguel Insulza (Presidente), Manuel José Ossandón Irarrázabal, Jaime Quintana Leal y Enrique van Rysselberghe Herrera; y en sesión celebrada el día 11 de octubre de 2022, con la asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo, José Miguel Insulza (Presidente), Manuel José Ossandón Irarrázabal, Jaime Quintana Leal y Enrique van Rysselberghe Herrera.

Sala de la Comisión, a 12 de octubre de 2022.

FRANCISCO JAVIER VIVES DIBARRART

Secretario de Comisiones

RESUMEN EJECUTIVO

INFORME DE LA COMISIÓN DE SEGURIDAD PÚBLICA, RECAÍDO EN EL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN (BOLETÍN N° 14.847-06).

_______________________________________________________________

I. OBJETIVO (S) DEL PROYECTO PROPUESTO POR LA COMISIÓN: Establecer la institucionalidad necesaria para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

II. ACUERDOS: aprobado en general por unanimidad (5x0).

III. ESTRUCTURA DEL PROYECTO APROBADO POR LA COMISIÓN: consta de 41 artículos permanentes y 7 disposiciones transitorias.

IV. NORMAS DE QUÓRUM ESPECIAL:

Hacemos presente que de conformidad a lo dispuesto en el artículo 38 de la Constitución Política de la República, los artículos 8; 9 letras a), b), d), h), l) y m); 10; 13; 17; 22; 23; 24 letra b); 27; 28; 34; 36; 37; 38 y 41, permanentes; y los artículos segundo; quinto y sexto de las disposiciones transitorias, tienen el carácter de normas orgánicas constitucionales, por lo que requieren para su aprobación de las cuatro séptimas parte de los senadores en ejercicio, según lo prevé el inciso segundo del artículo 66 de la Carta Fundamental:

Por su parte, los artículos 16; 29; 30; 31 y 39, permanentes, tienen el carácter de normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, de la Constitución Política de la República, por lo que requieren para su aprobación de la mayoría absoluta de los senadores en ejercicio, según lo dispone el inciso tercero del artículo 66, de la Constitución Política de la República.

V. URGENCIA: Suma.

VI. ORIGEN E INICIATIVA: Senado. Mensaje de Su Excelencia el ex Presidente de la República señor Sebastián Piñera Echenique.

VII TRÁMITE CONSTITUCIONAL: primero.

VIII. INICIO TRAMITACIÓN EN EL SENADO: 15 de marzo de 2022.

IX. TRÁMITE REGLAMENTARIO: Primer informe, en general.

X. LEYES QUE SE MODIFICAN O QUE SE RELACIONAN CON LA MATERIA: 1.- Ley N° 20.424, estatuto orgánico del Ministerio de Defensa Nacional; 2.- Ley N° 21.180, sobre transformación digital del Estado; 3.- Ley N° 19.882, que regula nueva política de personal a los funcionarios públicos que indica; 4.- Decreto con fuerza de ley N° 29 de 2005, del Ministerio de Hacienda, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.834, sobre Estatuto Administrativo; 5.-Ley N° 19.628, sobre protección de la vida privada; 6.- Ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia; 7.- DFL 1-19.653 de 2001, del Ministerio Secretaría General de la Presidencia, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado; 8.- Ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado; 9.- Ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses; 10.- Código Penal; 11.- Decreto N° 83, de 2017, del Ministerio de Relaciones Exteriores, que promulga el Convenio sobre la Ciberdelincuencia (Convenio de Budapest); 12.- Ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest; 13.- Ley N° 21.113, que declara el mes de octubre como el de la ciberseguridad; 14.- Ley N° 18.168, general de telecomunicaciones; 15.- Decreto N° 533, de 2015, del Ministerio del Interior y Seguridad Pública, que crea el Comité Interministerial sobre Ciberseguridad; 16.- Instructivo Presidencial 1/2017, de 27 de abril de 2017, que aprueba e instruye la implementación de la Política Nacional de Ciberseguridad; 17.- Decreto N° 3, de 2018, del Ministerio de Defensa Nacional, que aprueba la Política de Ciberdefensa; 18.- Ley N° 21.130, que moderniza la legislación bancaria; 19.- Ley N° 20.453, que consagra el principio de neutralidad en la red para los consumidores y usuarios de internet; 20.- Decreto N° 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, reglamento para la interoperación y difusión de mensajería de alerta, declaración y resguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en los sistemas de telecomunicaciones; 21.- Decreto supremo N° 83, de 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos, y 22.- Artículo 19, número 4°. de la Constitución Política de la República.

Valparaíso, a 12 de octubre de 2022.

FRANCISCO JAVIER VIVES DIBARRART

Secretario de Comisiones

LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN

El señor ELIZALDE (Presidente).-

Tiene la palabra el señor Secretario para dar lectura a la relación.

El señor GUZMÁN ( Secretario General ).-

Gracias, señor Presidente .

El señor Presidente pone en discusión en general el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, iniciativa correspondiente al boletín N° 14.847-06.

El Ejecutivo hizo presente la urgencia para su despacho, calificándola de "suma".

--A la tramitación legislativa de este proyecto (boletín 14.847-06) se puede acceder a través del vínculo ubicado en la parte superior de su título.

El señor GUZMÁN ( Secretario General ).-

El objetivo de este proyecto de ley es establecer la institucionalidad necesaria para robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en los sectores público y privado, y resguardar la seguridad de las personas en el ciberespacio.

De conformidad con el acuerdo adoptado por la Sala en su oportunidad, esta iniciativa de ley fue remitida para su estudio a la Comisión de Defensa Nacional, y, en seguida, a la Comisión de Seguridad Pública.

Ambas instancias dejan constancia de que, de acuerdo a lo dispuesto en el artículo 36 del Reglamento de la Corporación, discutieron solamente en general este proyecto de ley, aprobando la idea de legislar en cada una de ellas por la unanimidad de sus integrantes. En la Comisión de Defensa Nacional se pronunciaron a favor los Honorables Senadores señores Araya, Huenchumilla, Macaya, Pugh y Saavedra; en tanto, en la Comisión de Seguridad Pública votaron favorablemente los Honorables Senadores señores Huenchumilla, Insulza, Quintana, Ossandón y Van Rysselberghe.

Además, las mencionadas Comisiones consignan que los artículos 8; 9, letras a), b), d), h), l) y m); 10; 13; 17; 22; 23; 24, letra b); 27; 28; 34; 36; 37; 38, y 41 permanentes y los artículos segundo, quinto y sexto transitorios son normas de rango orgánico constitucional, por lo que para su aprobación requieren 26 votos favorables.

Por su parte, los artículos 16, 29, 30, 31 y 39 permanentes de la iniciativa requieren 24 votos favorables para su aprobación, por tratarse de normas de quorum calificado.

El texto que se propone aprobar en general se transcribe en las páginas 75 a 100 del informe de la Comisión de Defensa Nacional y en las páginas 19 a 46 del informe de la Comisión de Seguridad Pública, así como en el boletín comparado que Sus Señorías tienen a su disposición.

Es todo, señor Presidente.

El señor ELIZALDE (Presidente).-

Esta votación es en general.

Vamos a proceder a su apertura.

Se abre la votación.

(Durante la votación).

El señor GUZMÁN ( Secretario General ).-

En votación.

(Luego de unos instantes)

¿Alguna señora Senadora o algún señor Senador ...

El señor ELIZALDE ( Presidente ).-

Todavía no, Secretario .

(Pausa)

Tiene la palabra el Senador Pugh.

El señor PUGH.-

Muchas gracias, señor Presidente.

Valoro que...

)------------(

El señor QUINTANA.-

¡Presidente! ¡Presidente!

Presidente , le pido que deje constancia de mi voto favorable en el proyecto anterior.

El señor ELIZALDE (Presidente).-

¡Senador Pugh!

Les pido, por favor, atención, señores Senadores.

El señor PUGH.-

Sí.

El señor ELIZALDE (Presidente).-

Estamos votando el proyecto relativo a la ciberseguridad.

El señor PUGH.-

Sí.

El señor ELIZALDE ( Presidente ).-

Me han pedido consignar diversas intenciones de voto favorable respecto del proyecto anterior: de los Senadores Quintana, García, Núñez y...

La señora EBENSPERGER.-

¡Yo también, Presidente!

¡Y el Senador Latorre!

El señor ELIZALDE (Presidente).-

... de la Senadora Ebensperger y del Senador Latorre.

Entonces, se deja constancia...

El señor INSULZA.-

¡El mío también!

El señor ELIZALDE ( Presidente ).-

... de la intención de voto favorable de los mencionados Senadores, a los que se suma también el Senador Insulza, en relación con la iniciativa anterior.

)------------(

El señor ELIZALDE (Presidente).-

Les recuerdo que ahora estamos votando el proyecto sobre ciberseguridad.

Volvemos, pues, a darle la palabra al Senador Kenneth Pugh, a quien le agradezco por su paciencia.

El señor PUGH.-

Muchas gracias, señor Presidente.

Valoro que en el mes de octubre, mes de la ciberseguridad -fue establecido en la ley N° 21.113, originada en una moción presentada precisamente por un grupo de Senadores-, el cual le correspondió a usted inaugurar este año, estemos votando en general un proyecto de ley para crear un nuevo sistema nacional que busca proteger a las personas.

Por eso debemos entender que las personas hoy, en el ciberespacio, están representadas primero por sus datos, cuya protección está considerada en la reforma que tuvo nuestra Constitución, pero también en la infraestructura crítica de la información, que la contiene y permite su traspaso.

Este es el ciberespacio: un lugar construido hace no más de treinta años; el primer ecosistema elaborado por el hombre y para el hombre, pero donde hoy suceden situaciones no deseadas: ocurren delitos, ocurren ataques, ocurren hechos que incluso son parte de la guerra.

El conflicto entre Rusia y Ucrania nos demostró la fragilidad que tienen los países cuando son enfrentados simultáneamente en lo físico y en el ciberespacio.

Es por ello que Chile, que es una potencia digital, el país que más fibra óptica ha instalado en la parte sur del continente; que está desplegando 5G hasta en los lugares más recónditos; que se encuentra en un proceso de transformación digital del Estado, se ha quedado atrás: se ha quedado atrás en el área de la seguridad de esa infraestructura, de esos datos, y se ha quedado atrás porque no ha contado con una institucionalidad.

Valoro que se haya hecho el esfuerzo para poder sacar adelante esa institucionalidad en este proyecto de ley sobre gobernanza en materia de ciberseguridad, que crea la nueva Agencia Nacional de Ciberseguridad; que genera toda la protección para la infraestructura crítica de la información, y que también le da al Estado la posibilidad de articularse con los mundos académico y privado para resolver uno de los problemas más complejos que toda la humanidad está experimentando.

Señor Presidente , junto al Senador Gastón Saavedra concurrimos la semana pasada a conocer las instalaciones de uno de los países más avanzados, Estonia , no solo en su capacidad militar, en el Centro de Excelencia de Ciberdefensa de la OTAN, en Tallin, sino también en lo que respecta a su agencia de seguridad de la información y de protección de la infraestructura crítica de la información.

Hoy Chile puede estar a la altura de este desafío. Por eso valoro mucho que esté aquí, en la Sala, el profesor Daniel Álvarez , a quien el Gobierno le ha dado la gran tarea de ser el Coordinador Nacional de Ciberseguridad, porque tenemos que hacerle ajustes a este proyecto de ley: se requiere simplificación; se precisan claridad y reglas claras, y que todos puedan cumplirlas.

Creo que con un plazo prudente de indicaciones esto puede ser factible, porque ya llevamos muchos años desde que nació la Política Nacional de Ciberseguridad, del 2017 hasta ahora. No solo hay que actualizar esa política nacional, dejando aquellas materias que son permanentes, sino también debemos crear una estrategia a largo plazo, de doce años, tal como se halla en la propuesta que impulsamos -por su intermedio, señor Presidenta - con la Senadora Ximena Órdenes, a través del documento que se entregó, denominado "Estrategia de Transformación Digital-Chile Digital 2035".

Chile puede alcanzar una madurez sobre el nivel 4, que es de los más altos que ha establecido el Modelo de Madurez de Capacidades de Ciberseguridad para Naciones, que utiliza la OEA todos los años, si se trabaja de forma sucesiva en varios gobiernos y con toda la comunidad. La ciberseguridad no es un tema técnico; es mucho más: es un tema humano; es de la dignidad de las personas en el ciberespacio, de reconocerles sus derechos y respetarlos. Y por tanto el Estado tiene que ser actor fundamental -sin olvidar la creación de conocimiento, porque la ciberseguridad es conocimiento, colaboración-, y también la industria privada. Todas estas redes se traspasan datos e información en data cebter, en fibra óptica, administrados por privados.

Dependemos de la infraestructura crítica, que en Chile en un 85 por ciento se encuentra igualmente en manos de privados.

Se requieren, pues, reglas claras.

Señor Presidente, no tengo duda de que vamos a lograr aquello y que la ley estará a tiempo.

Le solicito que me dé un minuto más, si fuera posible.

Esta ley va a permitir ajustar un sistema nacional completo y darle al país la oportunidad de ser quizás un referente en Latinoamérica, no solo en gestión digital, con un gobierno digital al servicio de las personas, sino también con la seguridad necesaria para que no ocurran cosas indeseadas.

Hoy los más vulnerables son las niñas y los niños, huérfanos digitales que ingresan al ciberespacio sin los conocimientos: requieren desde una edad temprana conocer sobre la ciberhigiene. Y para que esto se haga bien es necesario el trabajo del Ministerio de Educación y de las familias en las casas.

También son muy vulnerables nuestros adultos mayores: el "cuento del tío" hoy es digital, y si caen, pueden quedar en la peor condición económica.

Pero fundamentalmente vulnerables son nuestras pymes. Todas ellas se están digitalizando; pero, si no lo hacen con ciberseguridad, igualmente sufrirán estos embates.

El nuevo sistema nacional busca precisamente la colaboración y la cooperación de todo el país para enfrentar juntos esta gran amenaza, que muta todos los años en el ciberespacio.

Por eso valoro que tengamos la Ley del Mes Nacional de la Ciberseguridad, que permite actualizarnos en la materia, y espero que algún día podamos realizar los ejercicios nacionales, tal como lo señala dicha normativa.

Voto a favor, señor Presidente.

He dicho.

Muchas gracias.

)------------(

El señor ELIZALDE (Presidente).-

Tiene la palabra el Senador Jaime Quintana.

La señora PROVOSTE.-

¡Presidente!

El señor ELIZALDE (Presidente).-

Senador Quintana, le pido que espere un minuto, por favor.

Primero le daremos la palabra a la Senadora Provoste, quien hará un punto de reglamento, y luego podrá intervenir Su Señoría.

La señora PROVOSTE.-

Muchas gracias, Presidente, y también al Senador Quintana.

Tal como lo señaló, mi intervención tiene que ver con un punto de reglamento, y es para solicitarle la autorización respectiva a fin de que la Comisión de Educación pueda sesionar en paralelo con la Sala al objeto de ver el proyecto conocido como "ley miscelánea".

El señor ELIZALDE (Presidente).-

Senadora Provoste, el proyecto que estamos discutiendo ahora contiene una serie de normas de quorum especial.

Hoy hicimos la excepción para incorporar una iniciativa...

La señora PROVOSTE.-

Estamos viendo el proyecto de ley miscelánea, que tiene "discusión inmediata".

El señor ELIZALDE (Presidente).-

Ya.

¿Habría autorización para que la Comisión de Educación sesione paralelamente con la Sala?

De acogerse su solicitud, les agradecería que, llegado el momento, vinieran a votar.

La señora PROVOSTE.-

Nos avisa, Presidente.

El señor ELIZALDE (Presidente).-

Perfecto.

La señora PROVOSTE.-

Si el Secretario General se coordina con el Secretario de la Comisión , no hay ningún problema.

El señor MOREIRA.-

¡Difícil lo veo...!

(Risas).

El señor ELIZALDE ( Presidente ).-

Sí, le voy a pedir al Secretario de la Comisión que esté atento a las instrucciones que se emitan desde la Mesa.

Dicho lo anterior, se va autorizar para que sesionen en paralelo con la Sala.

--Así se acuerda.

)------------(

El señor ELIZALDE (Presidente).-

Senador Quintana, tiene la palabra.

El señor QUINTANA.-

Gracias, Presidente.

Seré muy general, porque esta es una discusión también muy general.

Tal como planteó lo acaba de plantear el Senador Pugh, creo que es positivo que este proyecto se vea justamente en el mes de la ciberseguridad, el cual se conmemora por tercer año en Chile. Se trata de algo muy importante, sobre todo porque en esta materia pareciéramos estar aún bastante atrasados, con una ciberseguridad un tanto de papel.

Lo cierto es que en la cancha del ciberespacio se están cometiendo cada día más delitos: ¡son miles de millones los hechos delictuales, en sus distintas facetas!

Por lo tanto, este proyecto busca actualizar nuestra normativa institucional, aunque de manera muy básica todavía.

Yo entiendo que el Ejecutivo va a presentar varias indicaciones en la discusión en particular; pero me parece que lo relevante es tener en cuenta una cuestión que ya se ha dicho acá: llevamos cinco años que no han sido muy productivos, desde que se define, en 2017, la Política Nacional de Ciberseguridad, la estrategia en esta materia.

En el último año del Gobierno de la Presidenta Bachelet , si bien se avanzó un tanto con el instructivo N° 1, remitido a todos los servicios públicos, en que básicamente se recomendaba guardar en la nube todo el almacenamiento y procesamiento de la información digital -algo que la gran mayoría de las empresas venía haciendo y que continúa realizando en la actualidad, justamente por seguridad, para tener un soporte más resiliente-, sin embargo, luego de eso, en los últimos cuatro años el avance ha sido bastante paupérrimo.

Y en lo que va de este Gobierno ha ocurrido lo mismo, salvo esta iniciativa, en que el Ejecutivo ha mostrado en las últimas semanas disposición para avanzar, que valoro, porque creo que hay una...

(se desactiva el micrófono por haberse agotado el tiempo).

El señor INSULZA .-

¡El micrófono!

(Se vuelve a activar el micrófono por indicación de la Mesa).

El señor QUINTANA.-

... luz justamente a la salida del túnel -gracias, Presidenta- respecto de un proyecto tan relevante como este.

Aquí, básicamente, lo que estamos haciendo es establecer una institucionalidad, el chasís: son diez títulos, que contienen fundamentalmente los criterios con los cuales se pretende trabajar en esta ley marco, y en algo tan importante como la creación de la Agencia Nacional de Ciberseguridad.

Yo no sé si una agencia es lo más recomendable, porque nos llenamos de este tipo de entidades, y en rigor la agencia significa entregarles a terceros los asuntos públicos. Y, más aún en materia de seguridad, siento que el Estado debe hacerse cargo directamente.

Aquí tendemos a mirar y a copiar mucho las nomenclaturas de otros continentes, pero me parece que debemos mirar nuestra realidad. Y uno de los temas más al debe que presenta la Política Nacional es justamente la capacitación. En Chile tenemos, asociado a materias de seguridad, un enorme déficit, porque no contamos con una escuela de capacitación de fiscales, salvo lo que se hizo hace más de veinte años, cuando recién entraba en vigor la reforma procesal penal. Pero, en realidad, no existe una academia de fiscales, ni de inteligencia; tenemos serios problemas con las escuelas policiales, porque algunas de ellas, incluso las más relevantes, están sin reconocimiento oficial, y sin embargo la escuela del delito está abierta todos los días.

En esta materia tiendo a pensar que probablemente nos falta un poco de expertise. Hay algunas cosas interesantes que está haciendo la Policía de Investigaciones acá, en Valparaíso; en Curauma hay un centro interesante, y yo miraría lo que está ocurriendo ahí en el ámbito de la ciberseguridad.

Pero, como país -reitero-, tenemos un déficit significativo.

Lo decía el colega Pugh: aquí no estamos recomendando cuáles son los momentos de mayor vulnerabilidad, cuándo se producen los incidentes a segmentos muy vulnerables, como los adultos mayores o los niños; por ejemplo, cuando se generan compras masivas en el ciberespacio, porque es ahí donde muchas veces los delincuentes hacen de las suyas.

Creo que todos tenemos bastante que aprender en esto. Como Congreso, debemos tomarnos muy en serio este asunto, porque efectivamente hay un margen todavía, quizás no en otras materias, pero en esta más que en otras, pues no contamos con regulación alguna, salvo un proyecto de ley -lo conoce muy bien el Coordinador Nacional de Ciberseguridad- que nos pone al día con el Convenio de Budapest, sobre delitos informáticos. ¡Y sería! En materia normativa no tenemos más.

Entonces, este proyecto a mi juicio es un avance importante para establecer los principios que ordenarán este ámbito, la Agencia y todas las entidades sectoriales en los Ministerios que tendrán la tarea de enfrentar y atacar estos hechos cuando se produzcan.

Por eso, voto a favor, Presidenta .

Muchas gracias.

La señora EBENSPERGER ( Vicepresidenta ).-

A usted, Senador.

Tiene la palabra la Senadora Órdenes.

La señora ÓRDENES.-

Muchas gracias, Presidenta .

Quisiera empezar contando que en mayo de este año la Comisión de Transportes y Telecomunicaciones, en un trabajo que realizamos con el Senador Kenneth Pugh , con el apoyo técnico de la Cepal y en conjunto con el sector privado, con las empresas de telecomunicaciones agrupadas en Chile Telcos y la Cámara Chilena de Infraestructura Digital, desarrollamos y presentamos lo que se conoce como "Estrategia de Transformación Digital-Chile Digital 2035".

En ese trabajo establecimos varios ejes de acción: Chile conectado, para terminar y cerrar las brechas digitales en el país, y la digitalización del Estado y de la economía. También abordamos el tema de ciberseguridad, entendiendo que era una variable transversal a cada uno de los ejes que sostienen esta política, cuyo objetivo no es otro que acelerar el proceso de transformación digital y cerrar la brecha digital.

Ahora, al hablar de ciberseguridad, yo recordaría que recientemente todos fuimos testigos del hackeo al Estado Mayor Conjunto, lo cual se conoció hace pocas semanas y que, diría, es solo la punta del iceberg de hechos que durante los últimos años han afectado a policías; bancos, como BancoEstado, Banco de Chile; al retail, en el caso de Falabella; al Poder Judicial ; al Sernac ; a organizaciones gremiales, y en general a todo tipo de empresas, instituciones y personas. Lo que quiero decir es que la delincuencia también ataca en el campo digital, donde cada vez realizamos una mayor cantidad de actividades y transacciones. Por eso me parece un tema tan importante.

El año pasado Chile recibió cuatro veces más ataques cibernéticos que el 2020, llegando a contabilizarse 9.400 millones de episodios. Y de acuerdo a Carabineros, los principales ilícitos informáticos son el acceso indebido a la información,...

(se desactiva el micrófono por haberse agotado el tiempo).

El señor QUINTANA .-

¡Dele más tiempo, Presidenta !

(Se vuelve a activar el micrófono por indicación de la Mesa).

La señora ÓRDENES.-

... el espionaje -gracias, Presidenta -, la difusión de información, y el sabotaje.

Con ello quiero relevar que la ciberseguridad, o se entiende como una materia de Estado, o de verdad estamos condenados al fracaso.

Digo esto porque no tiene que ver solo con un espacio de coordinación: si no está en la agenda pública como un tema relevante; si no está en la agenda política como un tema relevante; si no está en la agenda de presupuesto -uno lo ve también, por ejemplo, cuando el gobierno español ha hecho una tremenda apuesta en esta línea-, es porque no estamos entendiendo los desafíos que implica el vivir además en una lógica que es digital y también virtual. Realizamos gran parte de nuestras actividades cotidianas a través de plataformas, y hoy día estamos expuestos: cada clic que damos es información que entregamos gratis y vulnerable en caso de un ciberataque.

Hago un llamado al Gobierno y a los distintos actores que intervienen aquí a ponerle prioridad política a esto, a que tenga traducción en el Presupuesto y podamos avanzar en este sentido.

Yo quiero valorar este proyecto de ley, cuyo ámbito de aplicación son los órganos del Estado y las instituciones privadas que poseen infraestructura crítica de la información. Me parece relevante que lo estemos discutiendo.

Además, en lo que es el mes de la ciberseguridad, la idea es instalar y visibilizar la importancia que tiene este tema. Y lo que queremos es establecer principios y obligaciones para los órganos del Estado en cuanto a prácticas de seguridad digital.

Tenemos mucho por avanzar, pero me parece que un primer paso importante es la creación de una Agencia Nacional de Ciberseguridad que asesore al Presidente de la República , en línea con la prioridad política, que era algo que se había planteado. También se crea y se regula el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, que actuará ante ciberataques que vulneren o pongan en riesgo las instalaciones digitales de los órganos de nuestro Estado.

Yo lo único que espero es que estemos preparados frente a eso.

Muchas gracias, Presidenta .

La señora EBENSPERGER ( Vicepresidenta ).-

Gracias, Senadora.

Tiene la palabra el Senador Insulza.

El señor INSULZA.-

Presidenta, pienso que se ha reiterado bastante por qué Chile requiere una ley marco de ciberseguridad: necesitamos resguardar la seguridad y los derechos de las personas en el ciberespacio. A este respecto, no está de más decir que hoy cerca del 77 por ciento de los chilenos y las chilenas están conectados a internet, algunos con más dificultades que otros, por cierto, pero están conectados a esa red informática.

Hoy conocemos de los medios de comunicación únicamente los incidentes o ataques que afectan al sector público; sin embargo, desconocemos la dimensión del problema en el sector privado, para todos esos ciudadanos. Es una cuestión que tenemos que cambiar, sobre todo porque a partir de la pandemia las tecnologías digitales se hicieron parte de la vida diaria de la mayoría de la gente. Internet es una herramienta fundamental para las personas y las familias, para comunicarse entre sí, para la educación de niños, niñas y adolescentes, para la entretención, para el trabajo y también para la economía. Es un fenómeno disruptivo en una sociedad en cambio acelerado y tenemos que legislar sobre ello.

Ahora bien, el proyecto de ley que hoy se discute tiene una larga trayectoria. Es cierto que fue presentado en los últimos días del Gobierno anterior, pero es la materialización de la primera medida propuesta en la política nacional de ciberseguridad, desarrollada y aprobada en el segundo Gobierno de la Presidenta Michelle Bachelet .

La medida número uno de esa política nacional de seguridad establece que debe discutirse una ley general sobre ciberseguridad que consolide la institucionalidad y regule la gestión de incidentes de seguridad informática en el país. Sin embargo, por razones que probablemente obedecen a nuestra forma de legislar, etcétera, tuvimos primero una ley que aplicaba el Convenio de Budapest; luego hubo una ley sobre protección de datos personales, y finalmente llegamos a la primera parte, a lo que debería haber sido primero... ... en una política nacional de ciberseguridad, el primer instrumento en la política del Estado de Chile para contar con un ciberespacio libre, abierto, seguro y resiliente.

(se desactiva el micrófono por haberse agotado el tiempo y se vuelve a activar por indicación de la Mesa)

Este proyecto de ley contiene una propuesta de institucionalidad pública, con funciones en seguridad, bajo el modelo de una agencia que se relacionará con el Presidente de la República a través del Ministerio del Interior y Seguridad Pública. Y propone un ámbito de aplicación acotado a los organismos públicos y privados que sean calificados como infraestructura crítica de la información. Establece también un régimen de organización de los centros de respuesta a incidentes especializados por sectores regulados, además de uno propio para el Gobierno y otro para el sector de la Defensa.

Creemos imprescindible, asimismo, ampliar el ámbito de aplicación de la ley y contemplar obligaciones en materia de seguridad, tanto para los organismos públicos como para los privados, porque, como dije antes, conocemos por los medios de comunicación solamente los ataques que afectan al sector público; no sabemos nada de los privados aún.

Presidenta, nosotros queríamos solicitar -y aprovecho esta oportunidad para no retardar la discusión- que este proyecto pudiera ser tratado en particular en Comisiones unidas. Así iba a ser al principio, pero, por razones prácticas, terminó siendo tratado primero en Defensa y luego en Seguridad. Y queremos que se constituyan Comisiones unidas para este efecto antes de que el proyecto pase a la de Hacienda, que es la última instancia a la que, por razones obvias, le corresponderá verlo.

Dejo planteada la petición para que podamos conformar Comisiones unidas de Defensa y de Seguridad, a objeto de tratar en particular esta iniciativa.

Muchas gracias, Presidenta .

La señora EBENSPERGER ( Vicepresidenta ).-

Gracias, Senador.

Nosotros estamos viendo el proyecto hoy día en general, y lo que usted solicita es que sea analizado, para su discusión particular, en Comisiones unidas de Seguridad y de Defensa.

El señor INSULZA.-

Así es.

El señor ELIZALDE (Presidente).-

Lo resolveremos una vez cerrada la votación.

La señora EBENSPERGER ( Vicepresidenta ).-

Una vez cerrada la votación, se pedirá el acuerdo pertinente, porque estando abierta no podemos hacer otra votación.

Gracias, Senador.

Tiene la palabra el Senador Saavedra.

El señor SAAVEDRA.-

Gracias, Presidenta.

La seguridad informática, también conocida como ciberseguridad, es el área relacionada con la informática y la telemática que se enfoca en la protección de la infraestructura computacional y en todo lo vinculado con la misma. Por ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura y/o a la propia información.

Siendo la ciberseguridad la práctica de defender las computadoras, los servicios, los dispositivos móviles, los sistemas electrónicos, las redes y los datos de ataques maliciosos, se identifican distintos actores que constituyen las amenazas cibernéticas: el hacker, el phreaker, el pirata, los creadores de virus, el insider, en fin.

Nuestro país cuenta con una política de ciberdefensa muchas veces desconocida, publicada en el Diario Oficial en marzo del 2018, por la cual se constata el rápido avance en la incorporación de nuevas tecnologías de información y de comunicaciones. Tanto en las actividades privadas como en el sector público se viven ataques o incidentes en los cuales han quedado comprometidas su seguridad y sus redes de servicios, que afectan la seguridad comunicacional nacional.

Es así como, ante la creciente dependencia y vulnerabilidad, se exige contar con una política de Estado que permita hacer frente a estos nuevos riesgos y amenazas.

Es evidente que buena parte de los aspectos cotidianos relacionados con el trabajo, el transporte, la alimentación, la salud y el bienestar de las personas depende del buen funcionamiento de diversos sistemas digitales y del ciberespacio que los interconecta, así como de la masificación de la internet y otras tecnologías emergentes. Pero estos sistemas de complejidad y conectividad crecientes no son infalibles, como hemos visto a nivel de la banca nacional, de los servicios públicos o en el ataque al Comando Conjunto.

Por ello, si bien desde el 27 de abril del 2017 existe la política nacional de ciberseguridad, primer instrumento del Estado de Chile que fija la carta de navegación... (se desactiva el micrófono por haberse agotado el tiempo)

El señor ELIZALDE (Presidente).-

Tiene un minuto más, Senador.

El señor SAAVEDRA.-

Sí, por favor.

Decía que, si bien desde el 27 de abril del 2017 existe la política nacional de ciberseguridad, primer instrumento del Estado de Chile que fija la carta de navegación sobre las medidas que se deben adoptar tanto en el sector público como en el privado a fin de contar con un ciberespacio libre, abierto, seguro y resiliente, para concretar dicha mirada preventiva y de defensa la aprobación del presente proyecto constituye un paso fundamental.

En ese contexto, esta iniciativa de ley tiene como propósito establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, tanto en el ámbito público como privado, y establecer una serie de definiciones, principios y un fuerte enfoque institucional, estructurando el aparato estatal en torno a la seguridad cibernética o ciberseguridad.

Por tal motivo, es esencial la creación de la Agencia Nacional de Ciberseguridad, consignando sus obligaciones y su orgánica con base institucional, así como la institucionalidad y la división de la labor con relación a su Consejo Técnico y de los diversos sistemas que van a proteger nuestra información y al país.

Es cierto lo que acá se ha dicho: en Latinoamérica se superan los 91 mil millones de ataques, que en Chile son 2.100 millones, según los últimos estudios internacionales. De ahí que resulta urgente aprobar esta ley en proyecto y seguir avanzando en la concreción de una institucionalidad y una política pública que nos garantice que el ciberespacio será libre, seguro y que estarán protegidas todas las informaciones, sin tener que vivir más los desaguisados que en días pasados tuvimos que enfrentar públicamente.

He dicho, Presidente .

Muchas gracias.

El señor ELIZALDE (Presidente).-

Tiene la palabra el Senador Francisco Huenchumilla.

El señor HUENCHUMILLA.-

Muchas gracias, señor Presidente .

Yo creo que este Senado, de un tiempo a esta parte, ha tenido un debate de vanguardia respecto de estos temas.

Que el Senador Guido Girardi nos insistiera en la inteligencia artificial, en el Congreso del Futuro, fue un activo del Senado. Y después llega el Senador Kenneth Pugh , en este período, e introduce el debate en nuestro Senado respecto a la ciberseguridad, un tema absolutamente nuevo para todos nosotros y también para la legislación chilena.

Entonces, yo me atrevo a calificar este proyecto de ley como un hito histórico, no solo en cuanto a la cuarta revolución tecnológica en el mundo, sino también en el debate que como Senado estamos teniendo respecto de lo que nosotros hacemos, que son normas. Porque este tema de la ciberseguridad rompe los esquemas del derecho penal, del derecho civil, del derecho comercial, del mundo de la economía, del mundo militar, de la defensa, de los derechos de las personas; traspasa las fronteras y traspasa el mundo físico.

En el derecho civil hablamos de derechos reales, de derechos personales sobre las cosas, sobre los créditos contra las personas -o a favor de las personas, como ustedes quieran verlo-, y el derecho penal se basa en un ataque directo a las personas, o a las cosas, o a los intangibles.

Entonces, acá nos encontramos con que la ciberseguridad traspasa el mundo físico. Es una cuestión casi metafísica, pues está en el tiempo y en el espacio, en una cosa que no podemos ver, no podemos tocar, no podemos palpar.

Y ese mundo que hoy día ha transformado absolutamente nuestras relaciones de toda naturaleza, en Chile y en el mundo, nos lleva a preguntarnos cómo nos defendemos y generamos una legislación acerca de los riesgos que significa este avance portentoso en la humanidad.

Por lo tanto, la pregunta es qué hacemos como país, como sociedad, para evitar estos riesgos y para seguir avanzando en esta nueva tecnología, pero minimizando todas aquellas situaciones que puedan afectar a las personas, a sus datos, a la sociedad de la información, porque, en el fondo, se trata precisamente de eso.

Esta es una buena oportunidad para tratar de hacer una muy buena legislación. Y de ahí que las ideas matrices de este proyecto en cuanto a crear un marco general sobre la materia, de crear una agencia especializada, de ver cuáles son los aspectos críticos que plantea esta ciberamenaza, me llevan a decir que estamos frente a un proyecto de gran importancia. Y aunque es difícil, complejo, pienso que en la discusión en particular podemos aterrizar de qué manera el país se va a preparar o va a enfrentar este desafío del ciberespacio, de los riesgos que hay en el tiempo y en el espacio.

Por eso, señor Presidente , creo que vale la pena hacer este trabajo en Comisiones unidas, tal como aquí lo ha pedido el Senador Insulza, en su calidad de Presidente de la Comisión de Seguridad -y también lo pido yo, en mi condición de Presidente de la Comisión de Defensa-, para que juntos ambos organismos podamos estudiar el proyecto detenidamente, con el profesor Álvarez y con todos los equipos del Gobierno, y de esa manera poder despachar rápidamente una iniciativa que viene a poner al día nuestra situación de riesgo frente a este nuevo mundo, que es el mundo del ciberespacio.

Por tal razón, voy a votar favorablemente el proyecto de ley, señor Presidente, esperando que nos concedan la posibilidad de trabajar en forma unida y despachar prontamente la iniciativa.

Voto a favor, Presidente .

Gracias.

El señor ELIZALDE (Presidente).-

Tiene la palabra el Senador Macaya.

El señor MACAYA.-

Gracias, Presidente.

Es una gran noticia que el Congreso ya esté hoy día avanzando en la tramitación de este proyecto de ley y se tome conciencia de lo grave e importante que es esta materia, de lo atrasado que estamos como Estado, y de los riesgos a los que nos enfrentamos si seguimos sin hacernos cargo de esta situación.

Yo hago el alcance de que creo que resulta bien lamentable que haya tenido que ocurrir un incidente serio en materia de ciberseguridad, a propósito de las filtraciones de los correos de las Fuerzas Armadas que se conocieron -no lo digo por la Comisión, porque ella ha tenido la mejor disposición, y en eso valoro el accionar bastante unánime que hemos tenido, presididos por el Senador Huenchumilla-, y que hayamos tenido que esperar este episodio para que el Gobierno empezara a reaccionar un poco más en este ámbito.

Hay promesas de indicaciones, de participación; no se sabe muy bien si el rol más relevante lo va a tener el Ministerio del Interior o el Ministerio de Defensa, pero nos parece que el hecho de que en Chile hayan aumentado cuatro veces, desde el 2020 al 2021, los ataques cibernéticos, llegando a 9.400 millones el año 2021, afectando la ciberseguridad de nuestro país, da cuenta de la gravedad y la importancia que tiene el tema.

Las filtraciones del Estado Mayor Conjunto y los ataques cibernéticos que ha sufrido el Poder Judicial son solamente una muestra de lo que podría empezar a ocurrir más adelante si no adoptamos políticas tendientes a prevenir estos ataques y no damos respuesta oportuna y eficiente a situaciones de este tipo.

Por lo mismo, ante esta falta de interés del Ejecutivo, yo quiero hacer una crítica que permita un cambio de actitud, un llamado a la acción -no nos quedemos solamente en la lógica de la crítica-, para ver cómo colaborar, desde la Comisión de Defensa, para tramitar más rápidamente las indicaciones y ver el enfoque que quiere darle el actual Ejecutivo a este proyecto de ley.

Es necesario tener presente que estamos hablando de marzo a septiembre. En la Comisión de Defensa no solamente no contamos con ninguna urgencia legislativa de parte del Gobierno, sino tampoco con su presencia constante, más allá de un par de intervenciones puntuales de Ministros del Gobierno , quienes, obviamente, solo asistieron a sesiones puntuales donde expuso el Ministerio, dejándose de lado la discusión más técnica.

Quizás hoy día la presencia del Ejecutivo en esta Sala es un primer cambio de actitud, que yo celebro y valoro, aunque es importante que sea permanente en los pasos legislativos que vienen, pues este no es cualquier tema.

En la Comisión de Defensa, además, hay un consenso bien transversal en cuanto a la urgencia y la necesidad de tramitar esta materia, que creo que hay que aprovechar, por cuanto, en un ambiente político bastante polarizado y dividido como el que atraviesa Chile, no nos podemos dar el lujo de abandonar discusiones donde debiera ser fácil llegar a consenso. Aprovechemos eso puesto que, más allá de que el proyecto tenga la firma del Presidente de la República Sebastián Piñera , el Presidente anterior, lo importante acá es ver cómo somos capaces de llegar a un gran acuerdo en este tema.

Es evidente que el proyecto requiere de revisiones más específicas, y esperamos que el Gobierno se comprometa decididamente, ahora sí, en las etapas que vienen, presentando indicaciones y fijando urgencias legislativas en materias que en su gran mayoría son de su iniciativa exclusiva.

Obviamente, necesitamos del concurso del Ejecutivo en lo que tiene que ver con definir la naturaleza jurídica de la institución; en si vamos a optar entre un servicio público o una agencia de fiscalización y sanción; en el estatuto laboral de quienes conformen la nueva institucionalidad, debido a lo complejo que sería aplicar el Estatuto Administrativo, tal como se discutió en la Comisión; y, en definitiva, en todas aquellas materias que permitan prevenir ataques cibernéticos y responder como Estado ante sus efectos.

El mayor desafío de la iniciativa, por lejos, no es evitar ciberataques -lo cual es prácticamente imposible y no lo puede lograr un simple proyecto de ley-, sino que como Estado exista una institucionalidad eficaz, moderna y de alto nivel técnico que tenga la capacidad de anticiparse y de responder adecuadamente a los efectos de los ataques cibernéticos.

Es por eso que anunciamos nuestro voto favorable al proyecto, esperando que siga de buena manera su trámite legislativo, ahora sí con una buena participación de interlocutores desde el Ejecutivo , que presenten las urgencias, indicaciones y ajustes que requiera su texto.

Gracias, Presidente .

El señor ELIZALDE (Presidente).-

Tiene la palabra el Senador Durana.

El señor DURANA.-

Gracias, Presidente.

Establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, formar una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado y resguardar la seguridad de las personas en el ciberespacio es un gran desafío, que nos tiene que motivar para generar condiciones que permitan ofrecer una seguridad cibernética responsable a los chilenos y las chilenas.

Uno de los pilares de la seguridad del Estado, en todos los aspectos de la vida de las personas y del normal desarrollo de sus entidades, sean estas públicas o privadas, está constituido por la ciberseguridad, de tal forma que la información de la cual se nutren nuestras actividades diarias cuente con adecuadas condiciones de confidencialidad, integridad y acceso.

En este sentido, el proyecto de ley, que hoy votamos en general, viene a llenar un vacío en nuestra legislación para establecer una institucionalidad, así como los principios sobre los cuales se pueden estructurar, regular y coordinar las acciones de ciberseguridad de los órganos del Estado y de los particulares a través de un enfoque institucional, creando la Agencia Nacional de Ciberseguridad, su Consejo Técnico y el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática.

Tiene especial relevancia entre los objetivos planteados por el proyecto el generar y normar las herramientas relativas a la prevención, contención, resolución y respuesta a los incidentes de entidades públicas y de instituciones privadas cuando estas posean infraestructura calificada como "crítica de la información".

El proyecto es una iniciativa del Gobierno del Presidente Piñera y se da en el contexto de la transformación digital del Estado y del avance de la era digital de nuestra sociedad.

Es claro que solo un entorno de ciberseguridad confiable permitirá generar y asegurar las condiciones futuras del país y la confianza de los ciudadanos, considerando que hoy todos los trámites de la vida diaria en servicios sociales, educación, finanzas, pago de cuentas como los de la luz y el agua, trámites tributarios como inicio de actividades comerciales, etcétera, se hacen en línea, por lo que requieren de un Estado que dé certezas jurídicas y administrativas.

En esto radican fundamentalmente la importancia de este proyecto de ley y la urgencia de su aprobación, por la confianza que deben tener los ciudadanos en cuanto a que efectivamente, en cada acción que ellos realicen, estarán debidamente protegidos.

Voto a favor.

Gracias, Presidente .

El señor ELIZALDE (Presidente).-

Vamos a hacer la consulta de rigor para dar por cerrada la votación.

El señor GUZMÁN ( Secretario General ).-

¿Alguna señora Senadora o algún señor Senador aún no ha emitido su voto?

El señor ELIZALDE (Presidente).-

Terminada la votación.

--Se aprueba en general el proyecto (38 votos a favor), dejándose constancia de que se cumple el quorum constitucional exigido.

Votaron por la afirmativa las señoras Aravena, Campillai, Ebensperger, Gatica, Órdenes, Pascual, Provoste y Sepúlveda y los señores Araya, Bianchi, Castro Prieto, Chahuán, Cruz-Coke, De Urresti, Durana, Elizalde, Espinoza, Gahona, Galilea, García, Huenchumilla, Insulza, Keitel, Kusanovic, Kuschel, Lagos, Latorre, Macaya, Moreira, Ossandón, Pugh, Quintana, Saavedra, Sandoval, Sanhueza, Van Rysselberghe, Velásquez y Walker.

El señor ELIZALDE (Presidente).-

En consecuencia, se aprueba en general el proyecto.

Si a la Sala le parece, podemos acordar que pase a las Comisiones de Defensa Nacional y de Seguridad Pública, unidas, conforme lo solicitaron los integrantes de dichas Comisiones.

--Así se acuerda.

El señor ELIZALDE ( Presidente ).-

Se establece como plazo de indicaciones el viernes 11 de noviembre, a las 12 del día, en la Secretaría de la Corporación.

¿Senador Insulza?

El señor INSULZA.-

Sí, es que me distraje. ¿Se acordó que el proyecto fuera a Comisiones unidas?

El señor ELIZALDE (Presidente).-

Sí, Senador.

El señor INSULZA.-

Muchas gracias.

BOLETÍN Nº 14.847-06

INDICACIONES

11.11.22

INDICACIONES FORMULADAS DURANTE LA DISCUSIÓN EN GENERAL DEL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN

TÍTULO I

ARTÍCULO 1

1.- De Su Excelencia el Presidente de la República, para suprimir la frase “que posean infraestructura de la información calificada como crítica”.

2.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “por la infracción de la normativa”, por la frase “ante infracciones”.

°°°°°

Incisos nuevos

3.- De Su Excelencia el Presidente de la República, para incorporar los siguientes incisos finales, nuevos:

“Para los efectos de esta ley, se entenderá por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

La institucionalidad de la ciberseguridad velará por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias, que comprende la adopción de las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan sus sistemas informáticos, incluyendo las herramientas de cifrado.”.

°°°°°

ARTÍCULO 2

Número 1

4.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar entre la palabra “Ciberseguridad” y el punto final, la siguiente frase: “, que se conocerá en forma abreviada como ANCI”.

Número 2

5.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar entre la palabra “soportan” y el punto final, la siguiente frase: “y/o que se vean afectados eléctrica o mecánicamente”.

Número 3

6.- De Su Excelencia el Presidente de la República, para suprimir la frase “que abarcan los dominios físico, virtual y cognitivo”.

Número 5

7.- De Su Excelencia el Presidente de la República, para sustituir la expresión “coadyuvando asimismo” por la palabra “ayudando”.

Número 6

8.- De Su Excelencia el Presidente de la República, para reemplazar la frase “el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica”, por el siguiente texto: “la autoridad sectorial competente de conformidad con la presente ley”.

Número 7

9.- De Su Excelencia el Presidente de la República, para suprimir la frase “en la medida de lo posible”.

Número 9

10.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“9. Operadores de importancia vital: Institución pública o privada, identificada como tal por la Agencia de conformidad con esta ley, por prestar algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, que depende de las redes y sistemas de información, y cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que éste debe proveer o garantizar.”.

11.- Del Honorable Senador señor Van Rysselberghe, para eliminar la palabra “instalaciones”.

12.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la frase “, y servicios y equipos físicos y de tecnología de la información”, por la siguiente expresión: “y servicios”.

Número 10

13.- De Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue:

“10. Red de datos: Conjunto de dispositivos, cables y equipos de comunicaciones que almacenan, procesan o transmiten datos digitales.”.

Número 11

14.- De Su Excelencia el Presidente de la República, para consultar, en su lugar, el siguiente:

“11. Autoridad sectorial: Aquellos servicios públicos que cuentan con facultades regulatorias, fiscalizadoras y eventualmente sancionatorias respecto de sus regulados.”.

Número 14

15.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“14. Sector regulado: Aquel sector de la actividad económica que se encuentra sometido a la supervigilancia de un órgano público con facultades suficientes para regular, fiscalizar y eventualmente sancionar.”.

Número 15

16.- De Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue:

“15. Servicios esenciales: Todo servicio cuya afectación o interrupción tendría un impacto perturbador en el normal funcionamiento de la defensa nacional, la sociedad o la economía.”.

°°°°°

Números nuevos

17.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes números, nuevos:

“…. Amenaza persistente avanzada (APT): Ataque informático sigiloso, continuo y oculto, dirigido por una compañía, un individuo, un grupo o un Estado, cuyo objetivo es observar, filtrar o modificar datos o recursos de una empresa, una organización o un Estado.

…. Anonimización: Proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere, protegiendo así los datos de carácter personal.

…. Auditorías de Seguridad: Procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad y Riesgo de la Información y Ciberseguridad – SGSRI.

…. Ciberhigiene: Conducta personal responsable referida a la actitud de cautela que debe tener un usuario al conectarse a los sistemas informáticos, incluyendo el cuidado de las claves personales, el visitar sitios dudosos y conexiones en redes abiertas, establecer nexos con desconocidos a través de las redes sociales, o compartir información a través de medios extraíbles.

…. Confianza Digital: Integridad, confidencialidad y trazabilidad de los datos e información proveniente de sistemas o equipos que intercambian información o realizan transacciones digitales de cualquier tipo.

…. Integridad: Es la propiedad de la información, por la que se garantiza la exactitud de los datos transportados o almacenados, asegurando que no se ha producido su alteración, pérdida o destrucción, ya sea de forma accidental o intencionada, por errores de software o hardware, intervención humana o por condiciones medioambientales.

…. Interagencialidad: Coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar un objetivo o tarea común del Estado, imposible de lograr de forma independiente.

…. Interoperabilidad: Capacidad de los sistemas de información, y por ende de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos, en tiempo real, habilitando la confianza digital y asegurando la certeza jurídica de los actos digitales.

…. Registro de proveedores de servicios de ciberseguridad: Listado o repertorio de las personas naturales y/o jurídicas que realicen, con el fin de proteger las redes y sistemas informáticos, al menos una de las siguientes actividades: implementación de políticas, procedimientos y medidas, consultoría, capacitación, información, investigación, desarrollo, innovación, auditoría, evaluación, prueba de medidas implementadas, gestión de riesgos e incidentes de seguridad.

…. Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI: Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información, y su Ciberseguridad. Incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos, los recursos y la infraestructura física.

…. Trazabilidad: Propiedad o característica consistente en que las actuaciones digitales de una entidad pueden ser imputadas exclusivamente a dicha entidad.”.

°°°°°

ARTÍCULO 3

Número 1

18.- Del Honorable Senador señor Van Rysselberghe, para sustituir la expresión “ofrece u opera” por “desarrolla, ofrece u opera”.

Número 6

19.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“6. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad, todos los órganos del Estado, así como las instituciones privadas deberán siempre actuar diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.”.

20.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar entre las palabras “necesarias” y “para”, la siguiente frase: “en un plazo no superior a 24 horas,”.

Número 8

21.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“8. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso puede significar la realización de, o el apoyo a, operaciones ofensivas.”.

22.- Del Honorable Senador señor Van Rysselberghe, para reemplazarlo por el que sigue:

“8. Principio de especialidad: en materia regulatoria y sancionatoria, se preferirá la aplicación de lo dispuesto por el regulador o fiscalizador sectorial por sobre la establecida en esta ley.”.

°°°°°

Número nuevo

23.- De Su Excelencia el Presidente de la República, para incorporar el siguiente número, nuevo, consultado como número 9:

“9. Principio de igualdad y no discriminación: Para que todas las personas tengan garantizado el disfrute de sus derechos y libertades fundamentales en el entorno digital se deberán priorizar aquellos programas, proyectos y acciones dirigidos a la protección de la seguridad informática, especialmente de niños, niñas y adolescentes, mujeres, personas de la tercera edad, diversidades y disidencias sexuales y de género.”.

°°°°°

°°°°°

Números nuevos

24.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes números, nuevos:

“…. Principio de Confianza Cero: Iniciativa de carácter estratégico que elimina el concepto de confianza en una red de datos, hasta que ésta sea vulnerada. Se basa en el concepto “No confiar nunca, verificar siempre”, y asume que cada transacción, entidad e identidad no son de confianza hasta que se establece la confianza y se mantiene a lo largo del tiempo.

…. Principio de actualización y reutilización: en cuya virtud los órganos de la Administración del Estado deberán actualizar sus plataformas a tecnologías no obsoletas o carentes de soporte, así como generar medidas que permitan el rescate de los contenidos de formatos de archivo electrónicos que caigan en desuso y el empleo de algoritmos que se mantengan vigentes.

…. Principio de cooperación: en cuya virtud los distintos órganos de la Administración del Estado deben cooperar efectivamente entre sí en la utilización de medios electrónicos, anonimizando datos cuando así sea necesario.

…. Principio de interoperabilidad: Consiste en que los medios electrónicos deben ser capaces de interactuar y operar entre sí al interior de la Administración del Estado, a través de estándares abiertos que permitan una segura y expedita interconexión entre ellos, dándole certeza jurídica a todos los actos digitales.

…. Principio de no obsolescencia tecnológica: el uso de programas y equipos actualizados, de origen determinado, con procesos de mantención, actualización y certificaciones al día, propuestos por los proveedores o desarrolladores. Los equipos y programas que no cuenten con soporte técnico responsable, deberán ser reemplazados en un período no superior a 6 meses desde su caducidad.”.

°°°°°

TÍTULO II

25.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para suprimirlo.

EPÍGRAFE

26.- De Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“TÍTULO II

Obligaciones de ciberseguridad”.

PÁRRAFO 1°

EPÍGRAFE

27.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“Párrafo 1°

Servicios esenciales y operadores de importancia vital”.

ARTÍCULO 4

28.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital.

En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas de información, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La dependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente, y

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deben calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial sobre Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial sobre Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y, a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.”.

Inciso primero

29.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la expresión “al Consejo Técnico de”, por la vocal “a”.

PÁRRAFO 2°

EPÍGRAFE

30.- De Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“Párrafo 2°

Obligaciones de ciberseguridad”.

ARTÍCULO 5

31.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 5. Deberes generales.

Será obligación de los órganos de la Administración del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física y/o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado de conformidad con lo prescrito en la presente ley.

En el caso de los órganos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.”.

32.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazar la frase “físicas e informativas”, por la siguiente: “físicas, informativas y de trazabilidad”.

33.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar a continuación del punto final, que pasa a ser punto y seguido, el siguiente texto: “Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.”.

ARTÍCULO 6

DENOMINACIÓN

34.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales.”.

ENCABEZAMIENTO

35.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente: “Todos los órganos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:”.

Letra a)

36.- De Su Excelencia el Presidente de la República, para reemplazar la voz “permanente”, por la palabra “continuo”.

Letra c)

37.- De Su Excelencia el Presidente de la República, para agregar, a continuación de la expresión “ciberseguridad”, la frase “certificados por un Centro de Certificación Acreditado o por la Agencia, según sea el caso”.

38.- De Su Excelencia el Presidente de la República, para sustituir la frase “periódicamente, a lo menos una vez al año”, por la siguiente: “y certificados periódicamente”.

Letra e)

39.- De Su Excelencia el Presidente de la República, para intercalar, entre las voces “Adoptar” y “las medidas”, la expresión “de forma oportuna y expedita”.

°°°°°

Letra nueva

40.- De Su Excelencia el Presidente de la República, para agregar la siguiente letra, nueva, contemplada como letra g):

“g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus sistemas o redes informáticas, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior conforme las instrucciones generales y particulares que al efecto dicte la Agencia.”.

°°°°°

°°°°°

Letra nueva

41.- De Su Excelencia el Presidente de la República, para incorporar la siguiente letra, nueva, consultada como letra h):

“h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores.”.

°°°°°

°°°°°

Letra nueva

42.- De Su Excelencia el Presidente de la República, para agregar una letra, nueva, consultada como letra i):

“i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de la máxima autoridad de la institución a la que pertenece.”.

°°°°°

°°°°°

Inciso nuevo

43.- De Su Excelencia el Presidente de la República, para agregar el siguiente inciso segundo, nuevo:

“Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los órganos del Estado con competencias específicas sobre servicios esenciales.”.

°°°°°

ARTÍCULO 7

44.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 7. Deber de reportar.

Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tienen la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar debe cumplirse en un plazo inferior a 3 horas contadas desde que se tuvo conocimiento del evento respectivo. Este plazo podrá ser prorrogado por una sola vez y con la sola finalidad de recabar mayores detalles, siempre que la prórroga sea solicitada dentro del plazo original de tres horas.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.”.

TÍTULO III

PÁRRAFO 1°

ARTÍCULO 8

45.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 8. Agencia Nacional de Ciberseguridad.

Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los órganos públicos en materia de ciberseguridad.

La Agencia deberá regular y fiscalizar las acciones de los órganos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.”.

ARTÍCULO 9

Letra a)

46.- De Su Excelencia el Presidente de la República, para reemplazarla por la que sigue:

“a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.”.

Letra b)

47.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“b) Dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.”.

48.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar, a continuación del punto final, que pasa a ser punto y seguido, lo siguiente: “Asimismo, podrá dictar normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares o mínimos de ciberseguridad que los reguladores o fiscalizadores sectoriales deban exigir respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva.”.

Letra c)

49.- De Su Excelencia el Presidente de la República, para reemplazarla por la que se señala a continuación:

“c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad y los protocolos y estándares técnicos, las instrucciones generales y particulares que dicte la Agencia.”.

50.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituir la frase “al Ministro del Interior y Seguridad Pública”, por la siguiente: “a los Ministros del Interior y Seguridad Pública, y de Transportes y Telecomunicaciones”.

Letra d)

51.- De Su Excelencia el Presidente de la República, para consultar, en su lugar, la siguiente:

“d) Coordinar y supervisar a los CSIRT Sectoriales existentes, a aquellos que pertenezcan a órganos del Estado, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.”.

52.- Del Honorable Senador señor Van Rysselberghe, para eliminar el siguiente texto: “a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y”.

°°°°°

Letra nueva

53.- De Su Excelencia el Presidente de la República, para intercalar la siguiente letra e), nueva, ajustándose el orden correlativo de las letras subsiguientes:

“e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.”.

°°°°°

Letra e)

54.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra f):

“f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.”.

Letra f)

55.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, contemplada como letra g):

“g) Elaborar y actualizar la lista de servicios esenciales y operadores de importancia vital, en la forma prevista en el artículo 4 de la presente ley.”.

Letra g)

56.- De Su Excelencia el Presidente de la República, para sustituirla por la que sigue, consultada como letra h):

“h) Requerir de los CSIRT Sectoriales la información que sea necesaria para el cumplimiento de sus fines y que se encuentre en posesión de estas instituciones.”.

57.- Del Honorable Senador señor Van Rysselberghe, para sustituir la frase “de los CSIRT Sectoriales y del”, por la voz “al”.

Letra h)

58.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra i):

“i) Diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.”.

Letra i)

59.- De Su Excelencia el Presidente de la República, para reemplazarla por la que sigue, consultada como letra j):

“j) Requerir a los órganos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sea necesaria para el cumplimiento de sus fines, incluyendo el acceso a sistemas y redes informáticas, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N°19.628.”.

Letra j)

60.- De Su Excelencia el Presidente de la República, para sustituirla por la que sigue, consultada como letra k):

“k) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. La Agencia servirá de punto de contacto con las Agencias Nacionales de Ciberseguridad extranjeras o sus equivalentes y con los organismos internacionales con competencia en materia de ciberseguridad.”.

Letra k)

61.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, contemplada como letra l):

“l) Prestar asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N°19.628.”.

Letra l)

62.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, contemplada como letra m):

“m) Coordinar y colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.”.

63.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazarla por la siguiente:

“l) Colaborar e interoperar con organismos de inteligencia y de persecución del delito, para enfrentar amenazas en forma interagencial, que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.”.

Letra m)

64.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra n):

“n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.”.

Letra n)

65.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, considerada como letra ñ):

“ñ) Determinar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.”.

66.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituirla por la siguiente:

“n) Interoperar con la Agencia Nacional de Inteligencia para el intercambio de información sobre riesgos e incidentes de ciberseguridad, incluidas las campañas de desinformación en línea.”.

Letra o)

67.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“o) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.”.

68.- Del Honorable Senador señor Van Rysselberghe, para reemplazarla por la siguiente:

“o) Diseñar, planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de la ciberseguridad nacional con los ministerios competentes.”.

°°°°°

Letras nuevas

69.- De Su Excelencia el Presidente de la República, para incorporar las siguientes letra p), q), r), s), t), u), v) y w), nuevas, pasando la actual letra p) a ser x):

“p) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

q) Informar al CSIRT de la Defensa Nacional y a los CSIRT Sectoriales los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector, que considere relevantes, pudiendo sugerir determinados planes de acción.

r) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los órganos de la Administración del Estado.

t) Otorgar y revocar las acreditaciones correspondientes a los Centros de Certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los órganos del Estado.

v) Regular, en coordinación con el Servicio Nacional del Consumidor, estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales, cubriendo tanto la publicidad del producto como la obligación de incluir etiquetas en éstos, pudiendo consistir en fechas de expiración, indicadores de riesgo, u otros indicadores similares.

w) Administrar la Red de Conectividad Segura del Estado (RCSE).”.

°°°°°

°°°°°

Letra nueva

70.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar la siguiente letra p), nueva, pasando la actual letra p) a ser letra q):

“p) Proponer al Ministro del Interior y Seguridad Pública, participar en un Programa de Divulgación de Vulnerabilidades que incluya un proceso de informe y divulgación. Se entiende por Programa de Divulgación de Vulnerabilidades, aquel plan o proyecto que puede configurarse para permitir que investigadores de seguridad externos (o hackers éticos) aporten a identificar las vulnerabilidades de seguridad, también conocidas como errores de seguridad, usando una plataforma de intercambio segura y de ser necesaria anonimizada, junto a su reporte a los organismos internacionales encargados de numerarlas.”.

°°°°°

°°°°°

Letras nuevas

71.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar las siguientes letras, nuevas:

“…) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento a la ley N° 21.113.

…) Establecer el catálogo de clasificación y taxonomía de los incidentes de ciberseguridad, en base a estándares internacionales, para priorización de respuesta y luego análisis e intercambio de información.

…) Definir el protocolo para manejo de información clasificada con organismos privados que operen infraestructura crítica de la información o realicen investigación avanzada de ciberseguridad.”.

°°°°°

PÁRRAFO 2°

ARTÍCULO 11

Letra f)

72.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “funcionarios de las plantas directiva, profesional o técnica de la Agencia, y” por “los funcionarios que indique, e”.

Letra g)

73.- De Su Excelencia el Presidente de la República, para suprimir el siguiente texto: “, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.”.

°°°°°

Letra nueva

74.- De Su Excelencia el Presidente de la República, para incorporar la siguiente letra h), nueva:

“h) Ejercer la representación judicial y extrajudicial de la Agencia.”.

°°°°°

ARTÍCULO 13

75.- De Su Excelencia el Presidente de la República, para intercalar, a continuación de la voz “indica”, la expresión “hasta el segundo nivel jerárquico”.

ARTÍCULO 14

76.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazar la expresión “Estatuto Administrativo” por “Código del Trabajo”.

PÁRRAFO 3°

EPÍGRAFE

77.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“Párrafo 3°

Consejo Multisectorial sobre Ciberseguridad”.

ARTÍCULO 16

78.- De Su Excelencia el Presidente de la República, para suprimirlo.

Inciso primero

79.- Del Honorable Senador señor Van Rysselberghe, para eliminar la frase “a los CSIRT Sectoriales,”.

PÁRRAFO 4°

80.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con los artículos 17, 18, 19, 20 y 21, que lo integran.

EPÍGRAFE

81.- De Su Excelencia el Presidente de la República, para eliminarlo, pasando el actual Párrafo 5° a ser Párrafo 4° y así sucesivamente.

ARTÍCULO 17

82.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 16:

“Artículo 16. Consejo Multisectorial sobre Ciberseguridad.

Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el “Consejo”, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad y/o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada dos años, pudiendo ser reelegidos en sus cargos por una sola vez. La integración del Consejo deberá ser paritaria.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.”.

ARTÍCULO 18

83.- De Su Excelencia el Presidente de la República, para suprimirlo.

ARTÍCULO 19

84.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 17:

“Artículo 17. Funcionamiento del Consejo.

El Consejo sesionará al menos cuatro veces al año, sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en el Consejo, en caso de no existir unanimidad respecto de las mismas.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo que sea necesario para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.”.

ARTÍCULO 20

85.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 18:

“Artículo 18. De las causales de cesación.

Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.”.

ARTÍCULO 21

86.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 19:

“Artículo 19. Red de Conectividad Segura del Estado.

Créase la Red de Conectividad Segura del Estado (RCSE), que proveerá servicios de interconexión y conectividad a Internet a los órganos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los órganos de la Administración del Estado.”.

PÁRRAFO 5°

ARTÍCULO 22

Letra a)

87.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de impacto significativo.”.

Letra b)

88.- Del Honorable Senador señor Van Rysselberghe, para eliminarla.

89.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de impacto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por éstos.”.

Letra d)

90.- Del Honorable Senador señor Van Rysselberghe, para suprimirla.

Letra e)

91.- Del Honorable Senador señor Van Rysselberghe, para eliminarla.

92.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“e) Supervisar incidentes a escala nacional.”.

Letra f)

93.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.”.

Letra g)

94.- De Su Excelencia el Presidente de la República, para eliminar el siguiente texto: “, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques”.

Letra h)

95.- Del Honorable Senador señor Van Rysselberghe, para suprimirla.

96.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “a los CSIRT Sectoriales, dentro del ámbito de su competencia,”, por la siguiente: “a las instituciones afectadas y/o a los CSIRT correspondientes”.

Letra i)

97.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.”.

98.- Del Honorable Senador señor Van Rysselberghe, para suprimir la frase “, conjuntamente con uno o más CSIRT Sectoriales,”.

Letra j)

99.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.”.

Letra k)

100.- De Su Excelencia el Presidente de la República, para eliminarla.

101.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la expresión “los otros CSIRT Sectoriales, de Gobierno y Defensa” por “los reguladores o fiscalizadores sectoriales”.

TÍTULO IV

102.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con los artículos 23, 24, 25 y 26, que lo integran.

EPÍGRAFE

103.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“TÍTULO IV

Otras instituciones intervinientes”.

ARTÍCULO 23

104.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 21:

“Artículo 21. CSIRT Sectoriales.

Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las instituciones privadas.

Las funciones de los CSIRT Sectoriales serán determinadas por la Agencia, y en su actuación quedarán sujetos a su coordinación e instrucción.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

ARTÍCULO 24

105.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 22:

“Artículo 22. Facultades especiales.

Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación sectorial respectiva, las que deberán ser sometidas a aprobación previa de la Agencia, quien deberá pronunciarse en el plazo de 30 días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes que sean necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia. Con todo, si las autoridades sectoriales dictan normas generales sobre gestión de riesgos, que estén basadas en estándares internacionales e incluyan elementos relativos a ciberseguridad, podrán mantener dichos elementos.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos son obligatorios para todos los regulados aun cuando la autoridad sectorial omita referirse a ellos.”.

ARTÍCULO 25

106.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, considerado como artículo 23:

“Artículo 23. Incidentes de impacto significativo.

Se considerará que un incidente de ciberseguridad tiene impacto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas de información que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.”.

ARTÍCULO 26

107.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 24:

“Artículo 24. Centros de Certificación Acreditados.

Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los órganos de la Administración del Estado, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados y/o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros órganos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.”.

°°°°°

Título nuevo

108.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar el siguiente Título, nuevo, consultado como Título V:

“Título V

De la Infraestructura Crítica de la Información

Párrafo 1°

De la calificación de la infraestructura de la información como crítica

Artículo …. La calificación de la infraestructura como crítica, será realizada por la Agencia Nacional de Ciberseguridad, en forma interagencial con los organismos que correspondan, debiendo efectuarse en un plazo inicial de 12 meses, un primer catastro de infraestructura crítica de la información.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas, y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

e) El impacto que tenga sobre la economía de una comunidad, provincia o región a causa de la disrupción de los sistemas informáticos o de telecomunicaciones.

f) El daño reputacional que pueda ocasionarse por la vulnerabilidad en la infraestructura de la información, produciendo afectación de actividades o generando desconfianza respecto a su disponibilidad.

Transcurridos los 12 meses dispuestos para el catastro inicial, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Artículo …. Los Directorios de empresas que posean infraestructura crítica de la información en los términos de los incisos anteriores, deberán acreditar que al menos uno de sus directores posea:

a) Certificación o título en ciberseguridad, o

b) Conocimientos, habilidades u otros antecedentes profesionales en ciberseguridad, tales como: áreas de política y gobierno de seguridad, gestión de riesgos, evaluación de seguridad, evaluación de control, arquitectura e ingeniería de seguridad, operaciones de seguridad, manejo de incidentes o planificación de continuidad comercial.

Artículo …. El catastro de Infraestructuras Críticas de la Información se actualizará anualmente, incluyendo a los criterios, los incidentes e impactos que se hayan registrado entre cada actualización, y remitirá su informe al Ministerio respectivo para su vigencia y aplicación.

Asimismo, se mantendrá un listado actualizado de todos los Directores de Informática de las empresas e instituciones calificadas como Infraestructura Crítica, y sus datos de contacto.

La Agencia Nacional de Ciberseguridad tendrá facultades de regulación sobre los organismos que posean infraestructura crítica, pudiendo establecer, entre otros, los contenidos mínimos de los Sistemas de Gestión de la Seguridad y Riesgo de la Información – SGSRI de los regulados, controlando que los mismos se encuentren correctamente auditados por entidades externas debidamente habilitadas para tal efecto por la Agencia.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo …. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas, informativas y de trazabilidad necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley. Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.

Artículo …. Deberes específicos. Los órganos del Estado, las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital, y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI, permanente y actualizado regularmente, cada 180 días a lo menos, con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema deberá contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

EL SGSRI debe además considerar el entorno operacional de la o las instalaciones, tales como las vulnerabilidades físicas a las que puede estar expuesta la información producto de acciones de la naturaleza, actos vandálicos que interrumpan comunicaciones, vulnerabilidad física y otros.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de la seguridad y riesgos de la información – SGSRI, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Establecer un plan de capacitación y actualización del personal en las tecnologías en uso, así como planes de inducción y procedimientos de administración del cambio al introducir modificaciones o actualizaciones relevantes de los sistemas.

d) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos cada 180 días, o cada vez que sean actualizados los sistemas o procesos. Los planes de ciberseguridad deberán contemplar los protocolos de acción inmediata frente a incidentes de ciberseguridad, y de la forma de comunicar la ocurrencia de estos.

e) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

f) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

g) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.”.

°°°°°

TÍTULO V

109.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 27 y 28, que lo integran.

EPÍGRAFE

110.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“TÍTULO V

Del Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional”.

ARTÍCULO 27

111.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 25:

“Artículo 25. Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional.

Créase el Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional, en adelante, “CSIRT de la Defensa Nacional”, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa Nacional y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT de la Defensa Nacional dependerá del Ministerio de Defensa Nacional, se regirá por el reglamento que ese Ministerio dicte al efecto y, en lo que le sea aplicable, se regirá por la presente ley.”.

ARTÍCULO 28

112.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 26:

“Artículo 26. De las funciones del CSIRT de la Defensa Nacional.

Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Responsable de conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la Defensa Nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.”.

°°°°°

Artículo nuevo

113.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo, nuevo, consultado como artículo 27:

“Artículo 27. De los Equipos de Respuesta a incidentes de seguridad informática institucionales de la Defensa Nacional.

En el sector de la Defensa Nacional se constituirán Equipos de Respuesta a incidentes de seguridad informática institucionales de la Defensa Nacional, en adelante “CSIRT institucionales de la Defensa Nacional”, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la Defensa Nacional.

Se podrán constituir CSIRT institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.”.

°°°°°

°°°°°

Artículo nuevo

114.- De Su Excelencia el Presidente de la República, para agregar el siguiente artículo, nuevo, consultado como artículo 28:

“Artículo 28. Deber de reporte al CSIRT de la Defensa Nacional.

Todas las instituciones de la Defensa Nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.”.

°°°°°

TÍTULO VI

ARTÍCULO 29

Inciso primero

115.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la frase “los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales”, por la siguiente: “la Agencial Nacional de Ciberseguridad”.

116.- De Su Excelencia el Presidente de la República, para suprimir la expresión “de Gobierno,”.

Inciso segundo

117.- De Su Excelencia el Presidente de la República, para intercalar, entre las palabras “autorización” y “su”, el vocablo “de”.

Inciso tercero

118.- Del Honorable Senador señor Van Rysselberghe, para sustituir la frase “CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales,” por “la Agencia Nacional de Ciberseguridad”.

119.- De Su Excelencia el Presidente de la República, para suprimir la expresión “de Gobierno,”.

TÍTULO VII

ARTÍCULO 33

120.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 33. De las infracciones.

Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Retardar o entregar fuera de plazo la información a la autoridad u órgano de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.”.

Inciso primero

Letra a)

121.- Del Honorable Senador señor Van Rysselberghe, para eliminar la expresión “Retardar o”.

Letra b)

122.- Del Honorable Senador señor Van Rysselberghe, para suprimir la palabra “injustificadamente”.

ARTÍCULO 34

123.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 34. Procedimiento administrativo por infracción de ley.

La determinación de las infracciones que cometan las instituciones privadas por incumplimiento o vulneración de los principios y obligaciones establecidas en esta ley y la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento, que recibirá el nombre de instructor.

c) La Agencia deberá presentar una formulación de cargos en contra de la institución privada, la que señalará una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como los principios, obligaciones, protocolos, estándares técnicos, instrucciones generales y particulares eventualmente infringidos por la institución privada, la disposición que establece la infracción, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos debe notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiera hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores pueden acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor emitirá, dentro de diez días, un dictamen en el cual propondrá la absolución o sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor elevará los antecedentes al Director, quien resolverá en el plazo de quince días, dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo de tres días para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios y obligaciones establecidos en la ley por la institución privada o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca el incumplimiento o vulneración a los principios y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución debe indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de 5 días hábiles contados desde la notificación, el que deberá ser resuelto por el Director dentro del plazo de 30 días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, la institución privada podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.”.

°°°°°

Artículos nuevos

124.- De Su Excelencia el Presidente de la República, para incorporar los siguientes artículos, nuevos, consultados como artículos 35, 36 y 37, pasando el actual artículo 35 a ser artículo 38 y así sucesivamente:

“Artículo 35. Procedimiento de reclamación judicial.

Las personas jurídicas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 36. Responsabilidad administrativa del jefe superior del órgano público.

El jefe superior de un órgano público deberá velar por que el órgano respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los órganos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.

Las infracciones en que incurra un órgano público serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contado desde que la respectiva resolución quede firme.

Artículo 37. Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.”.

°°°°°

ARTÍCULO 35

125.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 38:

“Artículo 38. Agravante especial.

Si como consecuencia de la perpetración de un delito resultare afectada gravemente la continuidad operativa de un operador de importancia vital, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos informáticos relevantes del operador de importancia vital o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de su sistema informático.”.

TÍTULO VIII

126.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 36, 37, 38, 39 y 40, que lo integran.

ARTÍCULO 36

127.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 39:

“Artículo 39. Comité Interministerial de Ciberseguridad.

Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la política nacional de ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incide en materias de ciberseguridad.

c) Coordinar la implementación de la política nacional de ciberseguridad.

d) Aprobar la lista de servicios esenciales propuesto por la Agencia, y sus modificaciones.

e) Aprobar la lista de operadores de importancia vital propuesto por la Agencia, y sus modificaciones.

f) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

g) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.”.

ARTÍCULO 37

128.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 40:

“Artículo 40. De los integrantes del Comité.

El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.”.

ARTÍCULO 38

(consultado por el Ejecutivo como artículo 41)

Inciso segundo

129.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Al Director Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.”.

ARTÍCULO 40

(contemplado por el Ejecutivo como artículo 43)

130.- De Su Excelencia el Presidente de la República, para sustituir la expresión “Ministerio del Interior y Seguridad Pública” por “Ministerio encargado de la seguridad pública”.

°°°°°

Título nuevo

131.- De Su Excelencia el Presidente de la República, para incorporar el siguiente Título IX, nuevo, pasando el actual Título IX a ser Título X y así sucesivamente:

“Título IX

Órganos autónomos constitucionales”.

°°°°°

°°°°°

Artículo nuevo

132.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo 44, nuevo, pasando el actual artículo 41 a ser artículo 45:

“Artículo 44. Regímenes especiales.

Corresponde a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidas en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación a las infracciones a esta ley que se produzcan.

Las instituciones y organismos señalados en este artículo no estarán sujetas a la regulación, fiscalización o supervigilancia de la Agencia.”.

°°°°°

TÍTULO IX

133.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con el artículo 41, que lo integra.

ARTÍCULO 41

134.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 45:

“Artículo 45. Incorpórese, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.”.

°°°°°

Artículos nuevos

135.- De Su Excelencia el Presidente de la República, para agregar los siguientes artículos, nuevos, consultados como artículos 46, 47 y 48:

“Artículo 46. Modificaciones a la ley N° 21.459 sobre delitos informáticos.

Incorpóranse las siguientes modificaciones en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1.- Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que reporte inmediatamente al responsable de las redes o sistemas informáticos afectados y a la Agencia Nacional de Ciberseguridad el acceso y las vulnerabilidades de seguridad detectadas en su investigación.”.

2.- Derógase el artículo 16.

Artículo 47. Incorpórase, en el artículo 8° de la ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia, el siguiente literal h):

“h) Elaborar, a requerimiento de la Agencia Nacional de Ciberseguridad, un informe fundado sobre los servicios que deban calificarse como esenciales para el mantenimiento de las actividades sociales o económicas cruciales para el país, que dependan de las redes y sistemas de información, cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que éste debe proveer. Asimismo, el informe se pronunciará sobre los operadores que resultan de importancia vital para la provisión de esos servicios esenciales.”.

Artículo 48. Derógase la letra a) del artículo 8° de la ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado.”.

°°°°°

TÍTULO X

DISPOSICIONES TRANSITORIAS

ARTÍCULO SEGUNDO TRANSITORIO

136.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazar la expresión “un año”, por la siguiente frase: “dieciocho meses, prorrogables por necesidades del servicio,”.

ARTÍCULO QUINTO TRANSITORIO

137.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo.

ARTÍCULO SEXTO TRANSITORIO

138.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo.

139.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo sexto transitorio.- Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad.

Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 16, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.”.

°°°°°

Artículo transitorio nuevo

140.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo octavo transitorio, nuevo:

“Artículo octavo transitorio.- Sobre los servicios Esenciales.

Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

°°°°°

- - -

VER INFORME FINANCIERO

BOLETÍN Nº 14.847-06

INDICACIONES

22.11.22

INDICACIONES FORMULADAS DURANTE LA DISCUSIÓN EN GENERAL DEL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN

1.- Del Honorable Senador señor Insulza, para reemplazar, todas las veces que aparece en el texto, la frase “incidentes de ciberseguridad” por la expresión “incidentes de ciberseguridad o ciberataques”.

2.- Del Honorable Senador señor Insulza, para sustituir, todas las veces que aparece en el texto, la frase “sistema informático” por “red o sistema de información”.

TÍTULO I

ARTÍCULO 1

3.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 1.- Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado así como los deberes de las instituciones privadas y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para los efectos de esta ley, se entenderá por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Los órganos autónomos constitucionales se ajustarán a las disposiciones de esta ley que así lo señalen. No se aplicarán las disposiciones de esta ley a las empresas públicas creadas por ley y a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital.

La institucionalidad de la ciberseguridad velará por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias, que comprende la adopción de las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan sus redes o sistemas informáticos, incluyendo las herramientas de cifrado.”.

4.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”; y la expresión “órganos del Estado” por “organismos de la Administración del Estado”.

ARTÍCULO 2

Número 1

5.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar entre la palabra “Ciberseguridad” y el punto final, la siguiente frase: “, que se conocerá en forma abreviada como ANCI”.

Número 2

6.- Del Honorable Senador señor Insulza, para reemplazar el numeral 2, por el siguiente:

“2. Ciberataque: un incidente de ciberseguridad en el que una persona o grupo de ellas intenta destruir, exponer, alterar, deshabilitar, robar o ganar acceso no autorizado a un activo de información, o hacer uso no autorizado de un activo de información.”.

7.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar entre la palabra “soportan” y el punto final, la siguiente frase: “y/o que se vean afectados eléctrica o mecánicamente”.

Número 3

8.- Del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“3. Ciberespacio: ambiente formado por la interconexión e interrelación compleja entre las redes y sistemas de información, los componentes lógicos de la información, los datos almacenados, procesados o transmitidos, y las interacciones sociales que ocurren en aquel.

Los componentes lógicos de la información son los diferentes programas computacionales que permiten el funcionamiento, administración y uso de la red.”.

9.- De Su Excelencia el Presidente de la República, para suprimir la frase “que abarcan los dominios físico, virtual y cognitivo”.

Número 4

10.- Del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“4. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas de información, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.”.

Número 5

11.- Del Honorable Senador señor Insulza, para reemplazarlo por el siguiente

“5. Equipo de respuesta a incidentes de seguridad informática o CSIRT: Centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.”.

12.- De Su Excelencia el Presidente de la República, para sustituir la expresión “coadyuvando asimismo” por la palabra “ayudando”.

Número 6

13.- De Su Excelencia el Presidente de la República, para reemplazar la frase “el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica”, por el siguiente texto: “la autoridad sectorial competente de conformidad con la presente ley”.

14.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

Número 7

15.- Del Honorable Senador señor Insulza, para reemplazar la frase “Gestión de incidente de ciberseguridad” por su plural “Gestión de incidentes de ciberseguridad”.

16.- De Su Excelencia el Presidente de la República, para suprimir la frase “en la medida de lo posible”.

Número 8

17.- Del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“8. Incidente de ciberseguridad: Todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes o sistemas informáticos, o la autenticación o no-repudio de los procesos ejecutados o implementados en las redes o sistemas informáticos.”.

Número 9

18.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“9. Operadores de importancia vital: Institución pública o privada, identificada como tal por la Agencia de conformidad con esta ley, por prestar algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, que depende de las redes y sistemas de información, y cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que éste debe proveer o garantizar.”.

19.- Del Honorable Senador señor Van Rysselberghe, para eliminar la palabra “instalaciones”.

20.- Del Honorable Senador señor Van Rysselberghe, para sustituir la frase “, y servicios y equipos físicos y de tecnología de la información”, por la siguiente expresión: “y servicios”.

Número 10

21.- De Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue:

“10. Red de datos: Conjunto de dispositivos, cables y equipos de comunicaciones que almacenan, procesan o transmiten datos digitales.”.

22.- Del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“10. Red o sistema de información: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.”.

Número 11

23.- De Su Excelencia el Presidente de la República, para consultar, en su lugar, el siguiente:

“11. Autoridad sectorial: Aquellos servicios públicos que cuentan con facultades regulatorias, fiscalizadoras y eventualmente sancionatorias respecto de sus regulados.”.

Número 12

24.- Del Honorable Senador señor Insulza, para reemplazarlo por el que sigue:

“12. Resiliencia: Capacidad de las redes o sistemas de información para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado; y la capacidad de las redes o sistemas de información para recuperar sus funciones después de un incidente de ciberseguridad.”.

Número 13

25.- Del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“13. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del incidente.”.

Número 14

26.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“14. Sector regulado: Aquel sector de la actividad económica que se encuentra sometido a la supervigilancia de un órgano público con facultades suficientes para regular, fiscalizar y eventualmente sancionar.”.

Número 15

27.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“15. Servicios esenciales: Todo servicio cuya afectación o interrupción tendría un impacto perturbador en el normal funcionamiento de la defensa nacional, la sociedad o la economía.”.

Número 16

28.- Del Honorable Senador señor Insulza, para reemplazarlo por el siguiente:

“16. Activo informático: Toda información almacenada en una red o sistema de información que tenga valor para una persona u organización.”.

°°°°°

Números nuevos

29.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes números, nuevos:

“…. Amenaza persistente avanzada (APT): Ataque informático sigiloso, continuo y oculto, dirigido por una compañía, un individuo, un grupo o un Estado, cuyo objetivo es observar, filtrar o modificar datos o recursos de una empresa, una organización o un Estado.

…. Anonimización: Proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere, protegiendo así los datos de carácter personal.

…. Auditorías de Seguridad: Procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad y Riesgo de la Información y Ciberseguridad – SGSRI.

…. Ciberhigiene: Conducta personal responsable referida a la actitud de cautela que debe tener un usuario al conectarse a los sistemas informáticos, incluyendo el cuidado de las claves personales, el visitar sitios dudosos y conexiones en redes abiertas, establecer nexos con desconocidos a través de las redes sociales, o compartir información a través de medios extraíbles.

…. Confianza Digital: Integridad, confidencialidad y trazabilidad de los datos e información proveniente de sistemas o equipos que intercambian información o realizan transacciones digitales de cualquier tipo.

…. Integridad: Es la propiedad de la información, por la que se garantiza la exactitud de los datos transportados o almacenados, asegurando que no se ha producido su alteración, pérdida o destrucción, ya sea de forma accidental o intencionada, por errores de software o hardware, intervención humana o por condiciones medioambientales.

…. Interagencialidad: Coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar un objetivo o tarea común del Estado, imposible de lograr de forma independiente.

…. Interoperabilidad: Capacidad de los sistemas de información, y por ende de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos, en tiempo real, habilitando la confianza digital y asegurando la certeza jurídica de los actos digitales.

…. Registro de proveedores de servicios de ciberseguridad: Listado o repertorio de las personas naturales y/o jurídicas que realicen, con el fin de proteger las redes y sistemas informáticos, al menos una de las siguientes actividades: implementación de políticas, procedimientos y medidas, consultoría, capacitación, información, investigación, desarrollo, innovación, auditoría, evaluación, prueba de medidas implementadas, gestión de riesgos e incidentes de seguridad.

…. Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI: Sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información, y su Ciberseguridad. Incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos, los recursos y la infraestructura física.

…. Trazabilidad: Propiedad o característica consistente en que las actuaciones digitales de una entidad pueden ser imputadas exclusivamente a dicha entidad.”.

°°°°°

°°°°°

Números nuevos

30.- Del Honorable Senador señor Pugh, para consultar los siguientes números nuevos:

“…. Catálogo Nacional de Operadores Esenciales: La información completa y actualizada relativa a las características específicas de cada uno de los operadores esenciales existentes en el territorio nacional, en los términos que señale la presente ley.

…. Operador de Servicios Esenciales – OSE: Entidad pública o privada que se identifique considerando los factores establecidos en la presente ley.”.

°°°°°

ARTÍCULO 3

Número 1

31.- Del Honorable Senador señor Van Rysselberghe, para sustituir la expresión “ofrece u opera” por “desarrolla, ofrece u opera”.

Número 3

32.- Del Honorable Senador señor Insulza, para reemplazar la frase “los datos, conectividad y sistemas deberán ser exclusivamente accedidos” por “la información almacenada o transmitida por redes y sistemas de información deberán ser conocidas y accedidas exclusivamente”.

Número 4

33.- Del Honorable Senador señor Insulza, para sustituir la frase “los datos y elementos de configuración de un sistema” por “la información almacenada o transmitida por redes y sistemas de información, incluida la configuración de estos,”.

Número 5

34.- Del Honorable Senador señor Insulza, para reemplazar la frase “los datos, conectividad y sistemas” por “la información almacenada o transmitida por redes y sistemas de información, y las redes y sistemas de información”.

Número 6

35.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“6. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad, todos los órganos del Estado, así como las instituciones privadas deberán siempre actuar diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.”.

36.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

37.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar entre las palabras “necesarias” y “para”, la siguiente frase: “en un plazo no superior a 24 horas,”.

Número 7

38.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

Número 8

39.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“8. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso puede significar la realización de, o el apoyo a, operaciones ofensivas.”.

40.- Del Honorable Senador señor Van Rysselberghe, para sustituirlo por el que sigue:

“8. Principio de especialidad: en materia regulatoria y sancionatoria, se preferirá la aplicación de lo dispuesto por el regulador o fiscalizador sectorial por sobre la establecida en esta ley.”.

°°°°°

Número nuevo

41.- De Su Excelencia el Presidente de la República, para incorporar el siguiente número, nuevo, consultado como número 9:

“9. Principio de igualdad y no discriminación: Para que todas las personas tengan garantizado el disfrute de sus derechos y libertades fundamentales en el entorno digital se deberán priorizar aquellos programas, proyectos y acciones dirigidos a la protección de la seguridad informática, especialmente de niños, niñas y adolescentes, mujeres, personas de la tercera edad, diversidades y disidencias sexuales y de género.”.

°°°°°

°°°°°

Número nuevo

42.- Del Honorable Senador señor Insulza, para consultar el siguiente número 9, nuevo:

“9. Principio de igualdad y no discriminación: Todas las personas tienen derecho a participar de un espacio digital seguro y libre de violencia. El Estado desarrollará acciones de prevención, promoción, reparación y garantía de este derecho, otorgando especial protección a mujeres, niñas, niños, jóvenes, personas de la tercera edad y disidencias sexogenéricas.”.

°°°°°

°°°°°

Números nuevos

43.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes números, nuevos:

“…. Principio de Confianza Cero: Iniciativa de carácter estratégico que elimina el concepto de confianza en una red de datos, hasta que ésta sea vulnerada. Se basa en el concepto “No confiar nunca, verificar siempre”, y asume que cada transacción, entidad e identidad no son de confianza hasta que se establece la confianza y se mantiene a lo largo del tiempo.

…. Principio de actualización y reutilización: en cuya virtud los órganos de la Administración del Estado deberán actualizar sus plataformas a tecnologías no obsoletas o carentes de soporte, así como generar medidas que permitan el rescate de los contenidos de formatos de archivo electrónicos que caigan en desuso y el empleo de algoritmos que se mantengan vigentes.

…. Principio de cooperación: en cuya virtud los distintos órganos de la Administración del Estado deben cooperar efectivamente entre sí en la utilización de medios electrónicos, anonimizando datos cuando así sea necesario.

…. Principio de interoperabilidad: Consiste en que los medios electrónicos deben ser capaces de interactuar y operar entre sí al interior de la Administración del Estado, a través de estándares abiertos que permitan una segura y expedita interconexión entre ellos, dándole certeza jurídica a todos los actos digitales.

…. Principio de no obsolescencia tecnológica: el uso de programas y equipos actualizados, de origen determinado, con procesos de mantención, actualización y certificaciones al día, propuestos por los proveedores o desarrolladores. Los equipos y programas que no cuenten con soporte técnico responsable, deberán ser reemplazados en un período no superior a 6 meses desde su caducidad.”.

°°°°°

TÍTULO II

44.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para suprimirlo.

EPÍGRAFE

45.- De Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“TÍTULO II

Obligaciones de ciberseguridad”.

PÁRRAFO 1°

EPÍGRAFE

46.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“Párrafo 1°

Servicios esenciales y operadores de importancia vital”.

ARTÍCULO 4

47.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital. En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas de información, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La dependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente, y

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deben calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial sobre Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial sobre Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y, a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.”.

Inciso primero

48.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la expresión “al Consejo Técnico de”, por la vocal “a”.

Letra b)

49.- Del Honorable Senador señor Insulza, para sustituir la frase “del sistema informático, red o sistema de información” por “red o sistema de información”.

Inciso final

50.- Del Honorable Senador señor Insulza, para suprimirlo.

PÁRRAFO 2°

EPÍGRAFE

51.- De Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“Párrafo 2°

Obligaciones de ciberseguridad”.

ARTÍCULO 5

52.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 5. Deberes generales. Será obligación de los órganos de la Administración del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física y/o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado de conformidad con lo prescrito en la presente ley.

En el caso de los órganos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.”.

53.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos del Estado” por “organismos del Estado”.

54.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazar la frase “físicas e informativas”, por la siguiente: “físicas, informativas y de trazabilidad”.

55.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar a continuación del punto final, que pasa a ser punto y seguido, el siguiente texto: “Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.”.

ARTÍCULO 6

DENOMINACIÓN

56.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales.”.

ENCABEZAMIENTO

57.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente: “Todos los órganos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:”.

58.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

Letra a)

59.- De Su Excelencia el Presidente de la República, para sustituir la voz “permanente”, por la palabra “continuo”.

60.- Del Honorable Senador señor Insulza, para suprimir la frase “y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad.”

61.- Del Honorable Senador señor Insulza, para reemplazar la expresión “determinar la gravedad” por la frase “estimar tanto la probabilidad como el impacto”.

Letra c)

62.- De Su Excelencia el Presidente de la República, para agregar, a continuación de la expresión “ciberseguridad”, la frase “certificados por un Centro de Certificación Acreditado o por la Agencia, según sea el caso”.

63.- De Su Excelencia el Presidente de la República, para sustituir la frase “periódicamente, a lo menos una vez al año”, por la siguiente: “y certificados periódicamente”.

Letra e)

64.- De Su Excelencia el Presidente de la República, para intercalar, entre las voces “Adoptar” y “las medidas”, la expresión “de forma oportuna y expedita”.

°°°°°

Letra nueva

65.- De Su Excelencia el Presidente de la República, para agregar la siguiente letra, nueva, contemplada como letra g):

“g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus sistemas o redes informáticas, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior conforme las instrucciones generales y particulares que al efecto dicte la Agencia.”.

°°°°°

°°°°°

Letra nueva

66.- De Su Excelencia el Presidente de la República, para incorporar la siguiente letra, nueva, consultada como letra h):

“h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores.”.

°°°°°

°°°°°

Letra nueva

67.- De Su Excelencia el Presidente de la República, para agregar una letra, nueva, consultada como letra i):

“i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de la máxima autoridad de la institución a la que pertenece.”.

°°°°°

°°°°°

Inciso nuevo

68.- De Su Excelencia el Presidente de la República, para agregar el siguiente inciso segundo, nuevo:

“Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los órganos del Estado con competencias específicas sobre servicios esenciales.”.

°°°°°

ARTÍCULO 7

69.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tienen la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar debe cumplirse en un plazo inferior a 3 horas contadas desde que se tuvo conocimiento del evento respectivo. Este plazo podrá ser prorrogado por una sola vez y con la sola finalidad de recabar mayores detalles, siempre que la prórroga sea solicitada dentro del plazo original de tres horas.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.”.

TÍTULO III

PÁRRAFO 1°

ARTÍCULO 8

70.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los órganos públicos en materia de ciberseguridad.

La Agencia deberá regular y fiscalizar las acciones de los órganos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.”.

Inciso primero

71.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

ARTÍCULO 9

Letra a)

72.- De Su Excelencia el Presidente de la República, para reemplazarla por la que sigue:

“a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.”.

Letra b)

73.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“b) Dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.”.

74.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

75.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar, a continuación del punto final, que pasa a ser punto y seguido, lo siguiente: “Asimismo, podrá dictar normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares o mínimos de ciberseguridad que los reguladores o fiscalizadores sectoriales deban exigir respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva.”.

Letra c)

76.- De Su Excelencia el Presidente de la República, para reemplazarla por la que se señala a continuación:

“c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad y los protocolos y estándares técnicos, las instrucciones generales y particulares que dicte la Agencia.”.

77.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituir la frase “al Ministro del Interior y Seguridad Pública”, por la siguiente: “a los Ministros del Interior y Seguridad Pública, y de Transportes y Telecomunicaciones”.

Letra d)

78.- De Su Excelencia el Presidente de la República, para consultar, en su lugar, la siguiente:

“d) Coordinar y supervisar a los CSIRT Sectoriales existentes, a aquellos que pertenezcan a órganos del Estado, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.”.

79.- Del Honorable Senador señor Van Rysselberghe, para eliminar el siguiente texto: “a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y”.

80.- Del Honorable Senador señor Insulza, para reemplazar en la expresión “órganos del Estado” por “organismos de la Administración del Estado”.

°°°°°

Letra nueva

81.- De Su Excelencia el Presidente de la República, para intercalar la siguiente letra e), nueva, ajustándose el orden correlativo de las letras subsiguientes:

“e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.”.

°°°°°

Letra e)

82.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra f):

“f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.”.

Letra f)

83.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, contemplada como letra g):

“g) Elaborar y actualizar la lista de servicios esenciales y operadores de importancia vital, en la forma prevista en el artículo 4 de la presente ley.”.

Letra g)

84.- De Su Excelencia el Presidente de la República, para sustituirla por la que sigue, consultada como letra h):

“h) Requerir de los CSIRT Sectoriales la información que sea necesaria para el cumplimiento de sus fines y que se encuentre en posesión de estas instituciones.”.

85.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la frase “de los CSIRT Sectoriales y del”, por la voz “al”.

Letra h)

86.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra i):

“i) Diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.”.

Letra i)

87.- De Su Excelencia el Presidente de la República, para reemplazarla por la que sigue, consultada como letra j):

“j) Requerir a los órganos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sea necesaria para el cumplimiento de sus fines, incluyendo el acceso a sistemas y redes informáticas, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N°19.628.”.

88.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos del Estado” por “organismos del Estado”.

Letra j)

89.- De Su Excelencia el Presidente de la República, para reemplazarla por la que sigue, consultada como letra k):

“k) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. La Agencia servirá de punto de contacto con las Agencias Nacionales de Ciberseguridad extranjeras o sus equivalentes y con los organismos internacionales con competencia en materia de ciberseguridad.”.

Letra k)

90.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, contemplada como letra l):

“l) Prestar asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N°19.628.”.

91.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

Letra l)

92.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, contemplada como letra m):

“m) Coordinar y colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.”.

93.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazarla por la siguiente:

“l) Colaborar e interoperar con organismos de inteligencia y de persecución del delito, para enfrentar amenazas en forma interagencial, que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.”.

Letra m)

94.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como letra n):

“n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.”.

Letra n)

95.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, considerada como letra ñ):

“ñ) Determinar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.”.

96.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituirla por la siguiente:

“n) Interoperar con la Agencia Nacional de Inteligencia para el intercambio de información sobre riesgos e incidentes de ciberseguridad, incluidas las campañas de desinformación en línea.”.

Letra o)

97.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“o) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.”.

98.- Del Honorable Senador señor Van Rysselberghe, para sustituirla por la siguiente:

“o) Diseñar, planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de la ciberseguridad nacional con los ministerios competentes.”.

°°°°°

Letras nuevas

99.- De Su Excelencia el Presidente de la República, para incorporar las siguientes letra p), q), r), s), t), u), v) y w), nuevas, pasando la actual letra p) a ser x):

“p) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

q) Informar al CSIRT de la Defensa Nacional y a los CSIRT Sectoriales los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector, que considere relevantes, pudiendo sugerir determinados planes de acción.

r) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los órganos de la Administración del Estado.

t) Otorgar y revocar las acreditaciones correspondientes a los Centros de Certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los órganos del Estado.

v) Regular, en coordinación con el Servicio Nacional del Consumidor, estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales, cubriendo tanto la publicidad del producto como la obligación de incluir etiquetas en éstos, pudiendo consistir en fechas de expiración, indicadores de riesgo, u otros indicadores similares.

w) Administrar la Red de Conectividad Segura del Estado (RCSE).”.

°°°°°

°°°°°

Letra nueva

100.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar la siguiente letra p), nueva, pasando la actual letra p) a ser letra q):

“p) Proponer al Ministro del Interior y Seguridad Pública, participar en un Programa de Divulgación de Vulnerabilidades que incluya un proceso de informe y divulgación. Se entiende por Programa de Divulgación de Vulnerabilidades, aquel plan o proyecto que puede configurarse para permitir que investigadores de seguridad externos (o hackers éticos) aporten a identificar las vulnerabilidades de seguridad, también conocidas como errores de seguridad, usando una plataforma de intercambio segura y de ser necesaria anonimizada, junto a su reporte a los organismos internacionales encargados de numerarlas.”.

°°°°°

°°°°°

Letras nuevas

101.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar las siguientes letras, nuevas:

“…) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento a la ley N° 21.113.

…) Establecer el catálogo de clasificación y taxonomía de los incidentes de ciberseguridad, en base a estándares internacionales, para priorización de respuesta y luego análisis e intercambio de información.

…) Definir el protocolo para manejo de información clasificada con organismos privados que operen infraestructura crítica de la información o realicen investigación avanzada de ciberseguridad.”.

°°°°°

PÁRRAFO 2°

ARTÍCULO 11

Letra f)

102.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “funcionarios de las plantas directiva, profesional o técnica de la Agencia, y” por “los funcionarios que indique, e”.

Letra g)

103.- De Su Excelencia el Presidente de la República, para suprimir el siguiente texto: “, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.”.

104.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

°°°°°

Letra nueva

105.- De Su Excelencia el Presidente de la República, para incorporar la siguiente letra h), nueva:

“h) Ejercer la representación judicial y extrajudicial de la Agencia.”.

°°°°°

ARTÍCULO 13

106.- De Su Excelencia el Presidente de la República, para intercalar, a continuación de la voz “indica”, la expresión “hasta el segundo nivel jerárquico”.

ARTÍCULO 14

107.- De Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“Artículo 14.- Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, de 2000, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, del Ministerio de Hacienda, promulgado el año 2004 y publicado el año 2005, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, del Ministerio de Hacienda, de 1977, y al decreto supremo N° 1, del Ministerio de Hacienda, de 1991, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores del Servicio, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, sobre administración financiera del Estado.”.

108.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para reemplazar la expresión “Estatuto Administrativo” por “Código del Trabajo”.

ARTÍCULO 15

109.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 15.- Prohibiciones e inhabilidades. Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, Jefes o empleados de ellas, sean estas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del 1° a 4° grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso quedan exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañen personalmente al funcionario o que se refieran a la administración de su patrimonio. Además, será compatible con los cargos docentes hasta un máximo de doce horas semanales.

Igualmente queda exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro.

Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del servicio.”.

PÁRRAFO 3°

EPÍGRAFE

110.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“Párrafo 3°

Consejo Multisectorial sobre Ciberseguridad”.

ARTÍCULO 16

111.- De Su Excelencia el Presidente de la República, para suprimirlo.

Inciso primero

112.- Del Honorable Senador señor Van Rysselberghe, para eliminar la frase “a los CSIRT Sectoriales,”.

113.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos del Estado señalados en el inciso final del artículo 4º y a las” por “organismos del Estado e”.

PÁRRAFO 4°

114.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con los artículos 17, 18, 19, 20 y 21, que lo integran.

EPÍGRAFE

115.- De Su Excelencia el Presidente de la República, para suprimirlo, pasando el actual Párrafo 5° a ser Párrafo 4° y así sucesivamente.

ARTÍCULO 17

116.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 16:

“Artículo 16. Consejo Multisectorial sobre Ciberseguridad.Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el “Consejo”, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad y/o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada dos años, pudiendo ser reelegidos en sus cargos por una sola vez. La integración del Consejo deberá ser paritaria.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.”.

ARTÍCULO 18

117.- De Su Excelencia el Presidente de la República, para suprimirlo.

ARTÍCULO 19

118.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 17:

“Artículo 17. Funcionamiento del Consejo. El Consejo sesionará al menos cuatro veces al año, sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en el Consejo, en caso de no existir unanimidad respecto de las mismas.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo que sea necesario para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.”.

ARTÍCULO 20

119.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 18:

“Artículo 18. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.”.

ARTÍCULO 21

120.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 19:

“Artículo 19. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado (RCSE), que proveerá servicios de interconexión y conectividad a Internet a los órganos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los órganos de la Administración del Estado.”.

PÁRRAFO 5°

ARTÍCULO 22

Letra a)

121.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de impacto significativo.”.

Letra b)

122.- Del Honorable Senador señor Van Rysselberghe, para eliminarla.

123.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de impacto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por éstos.”.

Letra d)

124.- Del Honorable Senador señor Van Rysselberghe, para suprimirla.

Letra e)

125.- Del Honorable Senador señor Van Rysselberghe, para eliminarla.

126.- De Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“e) Supervisar incidentes a escala nacional.”.

Letra f)

127.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.”.

Letra g)

128.- De Su Excelencia el Presidente de la República, para eliminar el siguiente texto: “, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques”.

129.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

Letra h)

130.- Del Honorable Senador señor Van Rysselberghe, para suprimirla.

131.- De Su Excelencia el Presidente de la República, para reemplazar la expresión “a los CSIRT Sectoriales, dentro del ámbito de su competencia,”, por la siguiente: “a las instituciones afectadas y/o a los CSIRT correspondientes”.

Letra i)

132.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.”.

133.- Del Honorable Senador señor Van Rysselberghe, para suprimir la frase “, conjuntamente con uno o más CSIRT Sectoriales,”.

134.- Del Honorable Senador señor Insulza, para reemplazar las dos veces en que aparece la expresión “órganos del Estado”, por “organismos del Estado”.

Letra j)

135.- De Su Excelencia el Presidente de la República, para sustituirla por la siguiente:

“j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.”.

Letra k)

136.- De Su Excelencia el Presidente de la República, para eliminarla.

137.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la expresión “los otros CSIRT Sectoriales, de Gobierno y Defensa” por “los reguladores o fiscalizadores sectoriales”.

TÍTULO IV

138.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 23, 24, 25 y 26, que lo integran.

EPÍGRAFE

139.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“TÍTULO IV

Otras instituciones intervinientes”.

ARTÍCULO 23

140.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 21:

“Artículo 21. CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las instituciones privadas.

Las funciones de los CSIRT Sectoriales serán determinadas por la Agencia, y en su actuación quedarán sujetos a su coordinación e instrucción.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

ARTÍCULO 24

141.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 22:

“Artículo 22. Facultades especiales. Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación sectorial respectiva, las que deberán ser sometidas a aprobación previa de la Agencia, quien deberá pronunciarse en el plazo de 30 días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes que sean necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia. Con todo, si las autoridades sectoriales dictan normas generales sobre gestión de riesgos, que estén basadas en estándares internacionales e incluyan elementos relativos a ciberseguridad, podrán mantener dichos elementos.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos son obligatorios para todos los regulados aun cuando la autoridad sectorial omita referirse a ellos.”.

Letra b)

142.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos del Estado” por “organismos del Estado”.

ARTÍCULO 25

143.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, considerado como artículo 23:

“Artículo 23. Incidentes de impacto significativo. Se considerará que un incidente de ciberseguridad tiene impacto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas de información que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.”.

ARTÍCULO 26

144.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 24:

“Artículo 24. Centros de Certificación Acreditados. Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los órganos de la Administración del Estado, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados y/o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros órganos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.”.

°°°°°

Título nuevo

145.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar el siguiente Título, nuevo, consultado como Título V:

“Título V

De la Infraestructura Crítica de la Información

Párrafo 1°

De la calificación de la infraestructura de la información como crítica

Artículo …. La calificación de la infraestructura como crítica, será realizada por la Agencia Nacional de Ciberseguridad, en forma interagencial con los organismos que correspondan, debiendo efectuarse en un plazo inicial de 12 meses, un primer catastro de infraestructura crítica de la información.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas, y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

e) El impacto que tenga sobre la economía de una comunidad, provincia o región a causa de la disrupción de los sistemas informáticos o de telecomunicaciones.

f) El daño reputacional que pueda ocasionarse por la vulnerabilidad en la infraestructura de la información, produciendo afectación de actividades o generando desconfianza respecto a su disponibilidad.

Transcurridos los 12 meses dispuestos para el catastro inicial, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Artículo …. Los Directorios de empresas que posean infraestructura crítica de la información en los términos de los incisos anteriores, deberán acreditar que al menos uno de sus directores posea:

a) Certificación o título en ciberseguridad, o

b) Conocimientos, habilidades u otros antecedentes profesionales en ciberseguridad, tales como: áreas de política y gobierno de seguridad, gestión de riesgos, evaluación de seguridad, evaluación de control, arquitectura e ingeniería de seguridad, operaciones de seguridad, manejo de incidentes o planificación de continuidad comercial.

Artículo …. El catastro de Infraestructuras Críticas de la Información se actualizará anualmente, incluyendo a los criterios, los incidentes e impactos que se hayan registrado entre cada actualización, y remitirá su informe al Ministerio respectivo para su vigencia y aplicación.

Asimismo, se mantendrá un listado actualizado de todos los Directores de Informática de las empresas e instituciones calificadas como Infraestructura Crítica, y sus datos de contacto.

La Agencia Nacional de Ciberseguridad tendrá facultades de regulación sobre los organismos que posean infraestructura crítica, pudiendo establecer, entre otros, los contenidos mínimos de los Sistemas de Gestión de la Seguridad y Riesgo de la Información – SGSRI de los regulados, controlando que los mismos se encuentren correctamente auditados por entidades externas debidamente habilitadas para tal efecto por la Agencia.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo …. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas, informativas y de trazabilidad necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley. Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.

Artículo …. Deberes específicos. Los órganos del Estado, las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital, y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI, permanente y actualizado regularmente, cada 180 días a lo menos, con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema deberá contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

EL SGSRI debe además considerar el entorno operacional de la o las instalaciones, tales como las vulnerabilidades físicas a las que puede estar expuesta la información producto de acciones de la naturaleza, actos vandálicos que interrumpan comunicaciones, vulnerabilidad física y otros.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de la seguridad y riesgos de la información – SGSRI, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Establecer un plan de capacitación y actualización del personal en las tecnologías en uso, así como planes de inducción y procedimientos de administración del cambio al introducir modificaciones o actualizaciones relevantes de los sistemas.

d) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos cada 180 días, o cada vez que sean actualizados los sistemas o procesos. Los planes de ciberseguridad deberán contemplar los protocolos de acción inmediata frente a incidentes de ciberseguridad, y de la forma de comunicar la ocurrencia de estos.

e) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

f) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

g) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.”.

°°°°°

TÍTULO V

146.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 27 y 28, que lo integran.

EPÍGRAFE

147.- De Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“TÍTULO V

Del Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional”.

ARTÍCULO 27

148.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 25:

“Artículo 25. Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional. Créase el Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional, en adelante, “CSIRT de la Defensa Nacional”, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa Nacional y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT de la Defensa Nacional dependerá del Ministerio de Defensa Nacional, se regirá por el reglamento que ese Ministerio dicte al efecto y, en lo que le sea aplicable, se regirá por la presente ley.”.

Letra a)

149.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

ARTÍCULO 28

150.- De Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 26:

“Artículo 26. De las funciones del CSIRT de la Defensa Nacional. Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Responsable de conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la Defensa Nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.”.

°°°°°

Artículo nuevo

151.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo, nuevo, consultado como artículo 27:

“Artículo 27. De los Equipos de Respuesta a incidentes de seguridad informática institucionales de la Defensa Nacional. En el sector de la Defensa Nacional se constituirán Equipos de Respuesta a incidentes de seguridad informática institucionales de la Defensa Nacional, en adelante “CSIRT institucionales de la Defensa Nacional”, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la Defensa Nacional.

Se podrán constituir CSIRT institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.”.

°°°°°

°°°°°

Artículo nuevo

152.- De Su Excelencia el Presidente de la República, para agregar el siguiente artículo, nuevo, consultado como artículo 28:

“Artículo 28. Deber de reporte al CSIRT de la Defensa Nacional. Todas las instituciones de la Defensa Nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.”.

°°°°°

TÍTULO VI

ARTÍCULO 29

Inciso primero

153.- Del Honorable Senador señor Van Rysselberghe, para reemplazar la frase “los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales”, por la siguiente: “la Agencial Nacional de Ciberseguridad”.

154.- De Su Excelencia el Presidente de la República, para suprimir la expresión “de Gobierno,”.

155.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

Inciso segundo

156.- De Su Excelencia el Presidente de la República, para intercalar, entre las palabras “autorización” y “su”, el vocablo “de”.

Inciso tercero

157.- Del Honorable Senador señor Van Rysselberghe, para sustituir la frase “CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales,” por “la Agencia Nacional de Ciberseguridad”.

158.- De Su Excelencia el Presidente de la República, para suprimir la expresión “de Gobierno,”.

TÍTULO VII

ARTÍCULO 33

159.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Retardar o entregar fuera de plazo la información a la autoridad u órgano de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.”.

160.- Del Honorable Senador señor Insulza, para sustituirlo por el que sigue:

“Artículo 33. De las infracciones. Serán consideradas infracciones leves para efectos de esta ley, las siguientes:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano del Estado habilitado para requerirla.

b) Incumplir el plazo previsto en el artículo 25, para efectos de reportar incidentes.

c) Incumplir los deberes generales previstos en el artículo 5.

Serán consideradas infracciones graves para efectos de esta ley, las siguientes:

a) Negar injustificadamente información a la autoridad u órgano del Estado habilitado para requerirla.

b) Incumplir los deberes específicos previstos en el artículo 6.

Serán consideradas infracciones gravísimas para efectos de esta ley, las siguientes:

a) Entregar información falsa o manifiestamente errónea.

b) Incumplir el deber de reportar previsto en el artículo 25.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción y a la siguiente escala:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 10 a 5.000 Unidades Tributarias Mensuales.

b) Las infracciones graves serán sancionadas con multa de hasta 10.000 Unidades Tributarias Mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios del Estado se regirán por su respectivo estatuto sancionatorio.”.

Inciso primero

Letra a)

161.- Del Honorable Senador señor Van Rysselberghe, para eliminar la expresión “Retardar o”.

Letra b)

162.- Del Honorable Senador señor Van Rysselberghe, para suprimir la palabra “injustificadamente”.

ARTÍCULO 34

163.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 34. Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan las instituciones privadas por incumplimiento o vulneración de los principios y obligaciones establecidas en esta ley y la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento, que recibirá el nombre de instructor.

c) La Agencia deberá presentar una formulación de cargos en contra de la institución privada, la que señalará una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como los principios, obligaciones, protocolos, estándares técnicos, instrucciones generales y particulares eventualmente infringidos por la institución privada, la disposición que establece la infracción, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos debe notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiera hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores pueden acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor emitirá, dentro de diez días, un dictamen en el cual propondrá la absolución o sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor elevará los antecedentes al Director, quien resolverá en el plazo de quince días, dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo de tres días para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios y obligaciones establecidos en la ley por la institución privada o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca el incumplimiento o vulneración a los principios y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución debe indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de 5 días hábiles contados desde la notificación, el que deberá ser resuelto por el Director dentro del plazo de 30 días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, la institución privada podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.”.

°°°°°

Artículos nuevos

164.- De Su Excelencia el Presidente de la República, para incorporar los siguientes artículos, nuevos, consultados como artículos 35, 36 y 37, pasando el actual artículo 35 a ser artículo 38 y así sucesivamente:

“Artículo 35. Procedimiento de reclamación judicial. Las personas jurídicas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 36. Responsabilidad administrativa del jefe superior del órgano público. El jefe superior de un órgano público deberá velar por que el órgano respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los órganos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.

Las infracciones en que incurra un órgano público serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contado desde que la respectiva resolución quede firme.

Artículo 37. Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.”.

°°°°°

ARTÍCULO 35

165.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 38:

“Artículo 38. Agravante especial. Si como consecuencia de la perpetración de un delito resultare afectada gravemente la continuidad operativa de un operador de importancia vital, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos informáticos relevantes del operador de importancia vital o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de su sistema informático.”.

TÍTULO VIII

166.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 36, 37, 38, 39 y 40, que lo integran.

ARTÍCULO 36

167.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 39:

“Artículo 39. Comité Interministerial de Ciberseguridad. Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la política nacional de ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incide en materias de ciberseguridad.

c) Coordinar la implementación de la política nacional de ciberseguridad.

d) Aprobar la lista de servicios esenciales propuesto por la Agencia, y sus modificaciones.

e) Aprobar la lista de operadores de importancia vital propuesto por la Agencia, y sus modificaciones.

f) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

g) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.”.

168.- Del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

ARTÍCULO 37

169.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 40:

“Artículo 40. De los integrantes del Comité. El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.”.

Inciso final

170.- Del Honorable Senador señor Insulza, para sustituir la expresión “funcionarios de la Administración del Estado” por “funcionarios del Estado”.

ARTÍCULO 38

(consultado por el Ejecutivo como artículo 41)

Inciso segundo

171.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Al Director Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.”.

ARTÍCULO 40

(contemplado por el Ejecutivo como artículo 43)

172.- De Su Excelencia el Presidente de la República, para sustituir la expresión “Ministerio del Interior y Seguridad Pública” por “Ministerio encargado de la seguridad pública”.

°°°°°

Título nuevo

173.- De Su Excelencia el Presidente de la República, para incorporar el siguiente Título IX, nuevo, pasando el actual Título IX a ser Título X y así sucesivamente:

“Título IX

Órganos autónomos constitucionales”.

°°°°°

°°°°°

Artículo nuevo

174.- De Su Excelencia el Presidente de la República, para consultar el siguiente artículo 44, nuevo, pasando el actual artículo 41 a ser artículo 45:

“Artículo 44. Regímenes especiales. Corresponde a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidas en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación a las infracciones a esta ley que se produzcan.

Las instituciones y organismos señalados en este artículo no estarán sujetas a la regulación, fiscalización o supervigilancia de la Agencia.”.

°°°°°

°°°°°

Artículo nuevo

175.- Del Honorable Senador señor Insulza, para agregar el siguiente artículo, nuevo:

“Artículo…. Derecho general al cifrado. Toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.”.

°°°°°

TÍTULO IX

176.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con el artículo 41, que lo integra.

ARTÍCULO 41

177.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 45:

“Artículo 45. Incorpórese, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a incidentes de seguridad informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.”.

°°°°°

Artículos nuevos

178.- De Su Excelencia el Presidente de la República, para agregar los siguientes artículos, nuevos, consultados como artículos 46, 47 y 48:

“Artículo 46. Modificaciones a la ley N° 21.459 sobre delitos informáticos.

Incorpóranse las siguientes modificaciones en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1.- Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que reporte inmediatamente al responsable de las redes o sistemas informáticos afectados y a la Agencia Nacional de Ciberseguridad el acceso y las vulnerabilidades de seguridad detectadas en su investigación.”.

2.- Derógase el artículo 16.

Artículo 47. Incorpórase, en el artículo 8° de la ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia, el siguiente literal h):

“h) Elaborar, a requerimiento de la Agencia Nacional de Ciberseguridad, un informe fundado sobre los servicios que deban calificarse como esenciales para el mantenimiento de las actividades sociales o económicas cruciales para el país, que dependan de las redes y sistemas de información, cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que éste debe proveer. Asimismo, el informe se pronunciará sobre los operadores que resultan de importancia vital para la provisión de esos servicios esenciales.”.

Artículo 48. Derógase la letra a) del artículo 8° de la ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado.”.

°°°°°

TÍTULO X

DISPOSICIONES TRANSITORIAS

ARTÍCULO PRIMERO TRANSITORIO

179.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo Primero Transitorio.- Entrada en vigencia y personal. Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

3. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

4. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los incisos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el inciso anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el inciso precedente, deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y a su vez un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al inciso anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

5. Determinar la estructura de la Agencia y su dotación máxima de personal.

6. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.”.

ARTÍCULO SEGUNDO TRANSITORIO

180.- De los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituir la expresión “un año”, por la siguiente frase: “dieciocho meses, prorrogables por necesidades del servicio,”.

ARTÍCULO QUINTO TRANSITORIO

181.- Del Honorable Senador señor Van Rysselberghe, para eliminarlo.

182.- Del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

ARTÍCULO SEXTO TRANSITORIO

183.- Del Honorable Senador señor Van Rysselberghe, para suprimirlo.

184.- De Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo sexto transitorio.- Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 16, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.”.

°°°°°

Artículo transitorio nuevo

185.- De Su Excelencia el Presidente de la República, para incorporar el siguiente artículo octavo transitorio, nuevo:

“Artículo octavo transitorio.- Sobre los servicios Esenciales. Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

°°°°°

- - -

Oficio N° D/01/2023

Valparaíso, 8 de marzo de 2023.

Tengo el honor de comunicar a Vuestra Excelencia que las Comisiones de Defensa Nacional y de Seguridad Pública, unidas, se encuentran discutiendo, en particular, el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información (Boletín No 14.847-06).

En atención a que a la iniciativa de ley mencionada se ha presentado una indicación de S. E. el Presidente de la República -individualizada con el número 164-, que incorpora, entre otros, el artículo 35, nuevo, que establece un procedimiento de reclamación judicial, las Comisiones unidas acordaron ponerlo en conocimiento de la Excelentísima Corte Suprema, recabando su parecer, en cumplimiento de lo preceptuado por la Constitución Política de la República.

Lo que me permito solicitar a Su Excelencia, de conformidad a lo dispuesto en los artículos 77, incisos segundo y siguientes, de la Carta Fundamental, y 16 de la ley N° 18.918, orgánica constitucional del Congreso Nacional.

Para un conocimiento cabal de este asunto, adjunto a este oficio copia del correspondiente primer informe de las Comisiones de Defensa Nacional y de Seguridad Pública, unidas, y del documento que contiene las indicaciones presentadas a su respecto.

Dios guarde a Vuestra Excelencia.

FRANCISCO HUENCHUMILLA JARAMILLO

Presidente Comisiones Unidas

MILENA KARELOVIC RIOS

Abogada Secretaria

A S.E. EL PRESIDENTE

DE LA EXCELENTÍSMA CORTE SUPREMA

DON JUAN EDUARDO FUENTES BELMAR

PRESENTE

OFICIO N° 62-2023

INFORME DE PROYECTO DE “LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN”

Antecedente: Boletín N° 14.847-06.

Santiago, quince de marzo de 2023.

Por Oficio N° D/01/2023, el Presidente de las Comisiones de Defensa Nacional y de Seguridad Pública del Senado, unidas, señor Francisco Huenchumilla Jaramillo, y su Secretaria Abogada, señora Milena Karelovic Ríos, remitieron a la Corte Suprema el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información”, a fin de recabar la opinión de la Corte Suprema sobre la iniciativa, en cumplimiento de lo dispuesto en los artículos 77 incisos segundo y tercero de la Constitución Política de la República y el artículo 16 de la Ley Nº 18.918, Orgánica Constitucional del Congreso Nacional.

Impuesto el Tribunal Pleno del proyecto en sesión celebrada el 15 de marzo de 2023, presidida por el Ministro señor Juan Eduardo Fuentes Belmar, e integrada por los ministros señores Muñoz G., Brito, Valderrama, Dahm y Prado, señoras Vivanco y Repetto, señor Llanos, señora Letelier, señor Matus, señoras Gajardo y Melo, y Suplentes señora Lusic y señor González, acordó informarlo al tenor de la resolución que se transcribe a continuación:

AL PRESIDENTE DE LAS COMISIONES UNIDAS DE DEFENSA NACIONAL Y DE SEGURIDAD PÚBLICA DEL SENADO.

SEÑOR FRANCISCO HUENCHUMILLA JARAMILLO. VALPARAÍSO

“Santiago, quince de marzo de dos mil veintitrés.

Vistos y teniendo presente:

Primero: Que el Presidente de las Comisiones de Defensa Nacional y de Seguridad Pública del Senado, unidas, señor Francisco Huenchumilla Jaramillo, y su Secretaria Abogada, señora Milena Karelovic Ríos, solicitaron mediante Oficio N° D/01/2023, de fecha 8 de marzo de 2023, recabar el parecer de esta Corte Suprema en torno al proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, contenido en el boletín 14.847-06. Lo anterior, expresa el referido oficio, de conformidad con lo dispuesto en el inciso segundo del artículo 77 de la Constitución Política de la República y del artículo 16 de la Ley N°18.918, Orgánica Constitucional del Congreso Nacional.

La iniciativa se encuentra en su primer trámite constitucional y tiene urgencia suma asignada para su tramitación.

Segundo: Que el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información se justifica en la necesidad que el Estado profundice su transformación digital, habida consideración de los acelerados cambios culturales que han producido las tecnologías emergentes en la sociedad digital, que importa, entre otros aspectos, la entrega de las prestaciones por los servicios públicos, al incluirse el acceso a los mismos, por lo que deben ser proporcionados bajo estándares de seguridad, para cumplir en mejor forma las funciones del Estado.

El objetivo es establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, la formación de una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

Tercero: Que el proyecto dispone de normas que vinculan al sector público y privado que posean “Infraestructura Crítica de la Información”, estableciendo un marco normativo en materia de ciberseguridad, responsabilidades y deberes asociados para los órganos e instituciones señaladas, fijando los requisitos mínimos para la prevención y resolución de incidentes de ciberseguridad y contingencias.

Actualmente, un conjunto de 185 indicaciones, promovidas tanto por el Ejecutivo como por los miembros de las Comisiones Unidas de Defensa Nacional y de Seguridad Pública del Senado, donde actualmente se discute el proyecto, buscan introducir una serie de modificaciones, consultándose la que incorpora el nuevo artículo 35.

El proyecto ha tenido un cambio fundamental en las indicaciones; incorporando definiciones y principios, determinando el campo de competencia en cuanto a la materia y sujetos obligados, como la orgánica que llevará adelante sus objetivos. Es así como se establece la Agencia Nacional de Ciberseguridad, servicio público funcionalmente descentralizado, cuyo objetivo es asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en la materia de ciberseguridad, regular y fiscalizar las acciones de los Órganos de la Administración del Estado y de las instituciones privadas en la materia de ciberseguridad. Se incorpora la figura del Consejo Multisectorial sobre Ciberseguridad, organismo eminentemente consultivo del que detallan sus funciones; y la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a internet a los órganos que se encuentren sujetos a las disposiciones de esta ley.

Más adelante se establecen y regulan los Equipos Nacionales y Sectoriales de Respuesta a Incidentes de Seguridad Informática (“CSIRT Nacionales” y “CSIRT Sectoriales”), sometidos funcionalmente a la Agencia Nacional de Ciberseguridad y a los cuales se les dota de potestades normativas. Se reformula la noción de “incidentes de impacto significativo” y se crea la figura de los Centros de Certificación Acreditados, únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente.

En el aspecto administrativo el Título VII regula las infracciones, sanciones (multas) y el procedimiento sancionatorio, el cual, con las indicaciones, establece un procedimiento sancionatorio que incluye una reclamación judicial para impugnar los actos administrativos de la Agencia Nacional de Ciberseguridad, entre los cuales puede encontrarse precisamente la imposición de sanciones.

Cuarto: Que la consulta gira en torno a la indicación número 164, por la cual se incorpora un artículo 35 que establece un procedimiento de reclamación judicial.

Quinto: Que, antes de abordar la materia específica consultada, corresponde hacer referencia a otras disposiciones directamente relacionadas.

Así, el artículo 33 del proyecto describe las acciones que serán consideradas transgresiones y la pena que correspondería aplicar en caso de verificarse dichas circunstancias. Esta regla es de aplicación solo a los actores privados, sujetándose los funcionarios de la Administración Pública, a la regulación establecida en sus propios estatutos.

Sobre esta norma se observa que las conductas que se sancionan podrían contener un mayor desarrollo y atender en mejor forma la graduación de las penas, puesto que las letras a), b) y c), del inciso primero del artículo 33° solo contienen infracciones asociadas a la entrega de información, no obstante, en el proyecto se establece un cúmulo de obligaciones igualmente relevantes, como las indicadas en el artículo 6°, referidas a implementar un sistema de gestión de riesgo permanente. Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de riesgos, de conformidad a lo que señale el reglamento; Elaborar e implementar planes de continuidad operacional y ciberseguridad; Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas; Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario; Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

Luego, en la letra d) del mismo inciso, nos remite a las obligaciones contenidas en el Párrafo II del Título II del proyecto de ley, en el cual está inserto el artículo 6° señalado precedentemente.

La posibilidad de robustecer normativamente el proyecto dice relación con reservar las infracciones graves y gravísimas solo para las conductas vinculadas al retardo en la entrega de información solicitada, a la entrega de información falsa y la no entrega de información. En el caso de la letra d), ésta sólo podría ser considerada una falta leve, porque no cuenta con una sanción específica y se aplicaría la regla residual dispuesta en la letra c) del inciso segundo del artículo 33°. En este punto, se estima que la regla es deficiente, porque deja fuera de las infracciones graves y gravísimas la contravención a los artículos 5 y 6 del proyecto de ley [1], donde se radican obligaciones esenciales para cumplir con los objetivos de la ley, en tanto tienen por propósito evitar los ciberataques y/o disminuir sus impactos.

Se omite establecer, para las faltas gravísimas y graves, un monto mínimo que permita diferenciar un tipo de falta de otra.

Este artículo incorpora la aplicación del principio de especialidad de la sanción, definido en el artículo 3 N° 8 de la propuesta de ley2. Para el análisis de éste, cabe hacer presente lo que ha expresado esta Corte Suprema, en cuanto “la potestad sancionadora de la Administración admite un origen común con el derecho penal en el ius puniendi del Estado, por lo que le resultan aplicables los mismos principios, límites y garantías que en la Carta Fundamental se prescriben para el derecho punitivo, aunque ese traspaso haya de producirse con ciertos matices en consideración a la particular naturaleza de las contravenciones administrativas.”

Por lo anterior “como expresión de la actividad administrativa estatal, la potestad sancionatoria debe primordialmente sujetarse al principio de legalidad, que obliga a todos los Órganos del Estado a actuar con arreglo a la Constitución y a las normas dictadas conforme a ella. En el campo particular del derecho sancionatorio, el principio de la legalidad requiere que tanto las conductas reprochables como las sanciones con que se las castiga estén previamente determinadas en la norma. Este criterio rector encuentra su expresión más específica en otro principio que le sirve de complemento: el de la tipicidad, de acuerdo con el cual no resulta suficiente que la infracción se halle establecida en la ley, sino que a ello se debe agregar la exigencia que ésta describa expresamente la conducta que la configura, con lo que se resguarda la garantía de la seguridad jurídica, desde que la descripción del comportamiento indebido pone anticipadamente en conocimiento del destinatario cuál es el deber a que debe ceñirse en su actuar.” [3]

Es importante resaltar las exigencias que se realizan para el ejercicio de la potestad sancionadora estatal, la cual debe estar sujeta al principio de legalidad y, a su expresión más específica para el derecho sancionatorio, el principio de tipicidad, en virtud del cual la conducta que se reprocha y la sanción que se aplican deben estar expresamente descritas.

Por lo anterior y entendiendo que es a través del presente proyecto de ley que se busca crear una institucionalidad en materia de ciberseguridad, no se comprende a qué regulación sectorial se refiere el órgano colegislador al crear este principio. En tanto es esta iniciativa la que da el impulso de acción regulatoria del Estado en esta área. A modo de ejemplo, encontramos referencias a infraestructura crítica de telecomunicaciones en el artículo 39 A de la Ley General de Telecomunicaciones N° 18.168, sin embargo, el Titulo VII De las Infracciones y Sanciones, no regula las conductas que se describen en el proyecto de ley. No existen menciones a ciberseguridad, ciberataque, infraestructura critica de la información, deber de reportar incidentes u otros conceptos que son incorporados por el proyecto; tampoco existen sanciones a las conductas que en él se describen.

Las modificaciones que se plantean al artículo 33 corrigen en parte la descripción de las conductas y la graduación de las sanciones propuestas. Se advierte que, aunque la propuesta del Ejecutivo es aplicable solo a las instituciones privadas (excluyendo a personas naturales con las repercusiones que se verán), se crea una regulación especial para el sector público, mediante la incorporación de dos nuevos artículos, 36 y 37.

Sexto: Que el artículo 35 del proyecto -objeto de la consulta- establece una reclamación judicial a través de la incorporación de un Reclamo de Ilegalidad para ser ejercido por las personas jurídicas, sobre las decisiones adoptadas por la Agencia Nacional de Ciberseguridad.

El procedimiento de reclamación propuesto tiene las siguientes características:

a.- Legitimado activo para recurrir:

La propuesta del Poder Ejecutivo ha dispuesto el Reclamo de Ilegalidad como una herramienta jurisdiccional para personas jurídicas, para reclamar de las resoluciones dictadas por la Agencia Nacional de Ciberseguridad.

b.- Actos reclamables:

Son aquellos actos administrativos que paralizan el procedimiento, o una resolución final o de término emanado de la Agencia, que sea ilegal y cause perjuicio.

c.- Procedimiento de reclamación:

El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

i . Tribunal Competente. La Corte de Apelaciones del domicilio del reclamante.

i i . Contenido del reclamo. El reclamante señalará en su escrito, con precisión: la resolución objeto del reclamo; la o las normas legales que se suponen infringidas; la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

i i i . Control de admisibilidad. La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas anteriormente.

i v . Suspensión de los efectos del acto impugnado. El tribunal podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

v . Respuesta a la impugnación. Recibida la reclamación, la Corte de Apelaciones requerirá de informe de la Agencia, concediéndole un plazo de diez días al efecto.

v i . Término probatorio. Evacuado el traslado o teniéndosele por evacuado en rebeldía, el tribunal de alzada podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

v i i . Tramitación previa vista de la causa. Vencido el término de prueba, se ordenará traer los autos en relación.

v i i i . Limitación de la preferencia. La vista de esta causa gozará de preferencia para su inclusión en la tabla ordinaria.

i x . Motivación y competencia de la sentencia estimatoria. Si la Corte de Apelaciones da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

x . Fundamentación de la sentencia que se impugna una determinación sancionatoria. Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar (la indicación incorrectamente dice “confirmar”) o acoger (la indicación señala erróneamente “revocar”) y anular o dejar sin efecto la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o “modificar” la sanción impuesta al responsable o su absolución, según sea el caso.

x i . Legislación supletoria. En todo aquello no regulado, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Séptimo: Que el procedimiento de reclamación antes reseñado ha de ser examinado a la luz de los pronunciamientos que ha realizado esta Corte Suprema en materia contencioso administrativo [4], y, con tal propósito, cabe destacar que el procedimiento aquí reglado se ajusta, en gran medida, a lo expuesto por el Pleno de la Corte Suprema en su resolución de cinco de mayo de 2021, dictada en los AD-583-2018, relativa a dicho tipo de procedimientos.

Del mismo modo, también resulta útil tener presente que la tendencia más reciente de la Corte Suprema ha planteado en una gran número de sentencias que en el control de actos administrativos se pueden encontrar principalmente dos tipos de acciones, las que integran el contencioso de nulidad, las que tienen por objeto remover del ordenamiento jurídico, con efectos generales o erga omnes, las determinaciones de la autoridad por infringir el principio de legalidad y aquellas pretensiones que buscan la declaración relativa de derechos entre las partes del juicio o de plena jurisdicción.

En esta línea, cabe destacar el siguiente razonamiento: “Que, a continuación, para la adecuada resolución del asunto, conviene precisar que como ha dicho esta Corte en reiteradas oportunidades, existen dos acciones contenciosas administrativas: ‘Las acciones encaminadas únicamente a conseguir la nulidad de un acto administrativo y aquéllas que miran a la obtención de algún derecho en favor de un particular. Las primeras pueden interponerse por cualquiera que tenga algún interés en ello, presentan la particularidad de hacer desaparecer el acto administrativo con efectos generales, `erga omnes’ y requieren de una ley expresa que las consagre, como ocurre con el artículo 140 de la Ley N° 18.695, Orgánica Constitucional de Municipalidades, que instituye el reclamo de ilegalidad contra las resoluciones u omisiones ilegales de los órganos municipales. En cambio, las segundas presentan la característica de ser declarativas de derechos" (CS Rol N°1203-2006)”.

En la misma sentencia se expresa sobre las acciones de plena jurisdicción: “Que estas acciones declarativas de derechos o también denominadas de ‘plena jurisdicción’, de claro contenido patrimonial, producen efectos relativos, limitados al juicio en que se pronuncia la nulidad […] Es por ello que aquello que en realidad prescribe no es la nulidad de derecho público, sino la acción declarativa de derechos a favor del particular. Efectivamente, la naturaleza misma de los derechos cuyo reconocimiento se solicita es, por lo general, de carácter patrimonial y privado, aun cuando su fuente se encuentre en una nulidad de derecho público, y como tal sujeto a la posibilidad de extinguirse por el simple transcurso del tiempo. La ley no somete a un estatuto particular los efectos de un acto administrativo nulo, de modo que si compromete sólo la esfera patrimonial particular de un individuo, contenidas en el Código Civil”.

Octavo: Que, dicho todo lo anterior, la propuesta de reclamación de ilegalidad contenida en el proyecto puede ser analizada desde diversos ángulos a partir de la opinión actual de la Corte Suprema en materia de tramitación de procedimientos contenciosos administrativos, manifestada en los AD-583-2018, como también en términos generales respecto del procedimiento.

Así, se formulan las siguientes observaciones:

Primero, en relación con la regla de competencia relativa, el artículo se ajusta a lo expresado por la Corte, por cuanto se ha dispuesto que el Reclamo de Ilegalidad debe ser interpuesto ante la Corte de Apelaciones de Santiago (coincidente con el domicilio de la Agencia [5]), o la del lugar donde se encuentre domiciliado el reclamante. Así, se favorece el acceso a la justicia y se contribuye a la descongestión de algunos tribunales.

En segundo término, respecto de la legitimación activa, no se vislumbra la razón tenida en cuenta para excluir a las personas naturales de la posibilidad de recurrir respecto de las decisiones de la Agencia Nacional de Ciberseguridad. A lo largo del proyecto de ley, es posible distinguir una serie de actos emanados de la Agencia que, potencialmente, tienen la posibilidad de producir efectos sobre personas naturales. Entre este tipo de actos se pueden señalar: el artículo 36° agregado por la indicación N° 164, que permite al Jefe de Servicio utilizar este reclamo administrativo para impugnar la decisión de la Agencia, sobre los procedimientos administrativos que adopte, en el marco de un proceso sancionatorio a un organismo de la administración del Estado. Otras expresiones que evidencian la posibilidad que tienen las personas naturales de ser afectadas por decisiones de la Agencia, son: el otorgar y/o revocar acreditaciones a Centros de Certificación (nada impide a una persona natural ejercer una actividad comercial y solicitar esta acreditación); los miembros del Consejo Multisectorial sobre Ciberseguridad, al ser destituidos de su cargo por faltas graves; ser agraviado por las Resoluciones, Protocolos y/o Estándares Técnicos dictados por la Agencia, entre otros.

En tercer lugar, la disposición citada está establecida en favor del directamente agraviado por la decisión de la Agencia, descartando con ello la posibilidad de recurrir en pos del interés general.

Como cuarto punto, la decisión sobre la que se recurre debe tener una manifestación concreta, expresada en un acto administrativo, con lo cual se excluye la posibilidad de recurrir respecto a las omisiones ilegales en que pudiera incidir la Agencia, para lo cual deberá tenerse en consideración la Ley 19.880 en relación al silencio positivo o negativo.

En cuanto a la forma y los plazos para realizar la presentación por parte del reclamante; la posibilidad de decretar orden de no innovar; el plazo para informar de la Agencia; el término de prueba y el procedimiento para ello, la preferencia para ingresar a la tabla ordinaria y; la sentencia, la indicación propuesta se ajusta a los consensos expresados por la Corte y que fueron expresados más arriba.

Sobre la posibilidad de recurrir de la decisión de la Corte de Apelaciones, tal como se ha pronunciado la Corte Suprema [6], se sugiere establecer expresamente que la sentencia dictada sea inapelable, porque, de esa forma, procedería en su contra los recursos de casación, acorde a lo dispuesto en los artículos 766 y 767 del Código de Procedimiento Civil.

Por último, pareciera ser impreciso el proyecto al indicar que la Corte de Apelaciones podrá “confirmar o revocar” la resolución que resuelve un procedimiento sancionatorio, pues dicho tribunal está actuando en primera instancia, de manera que en virtud de su decisión podrá “acoger o rechazar” la reclamación interpuesta; de otro modo -si “confirmara” o “revocara” con su fallo- se estaría frente al error de reconocer indirectamente atribuciones jurisdiccionales a un órgano que carece de ellas -la administración-. Al respecto la Corte Suprema ha debido anular determinaciones de las Cortes de Apelaciones que sin mayor fundamento se limitan a “confirmar” las decisiones de la autoridad administrativa, puesto que los tribunales deben examinar la legalidad de las mismas, de manera siempre fundada.

Noveno: Que, finalmente, el artículo 37 determina que al concluir que existen responsabilidades individuales de uno o más funcionarios del Órgano Público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de los funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.

Conviene detenerse en este punto y considerar lo dispuesto en el Decreto 2421, de 1964, que Fija el texto refundido de la Ley de Organización y Atribuciones de la Contraloría General de la República, que, en su artículo 134, precisa que los sumarios administrativos serán el medio formal de establecer hechos sujetos a una investigación, regulando su realización [7].

En el caso del proyecto de ley, se ordena a la Contraloría General de la República iniciar un procedimiento administrativo no regulado en su Orgánica, como es la Investigación Sumaria.

Luego, el inciso segundo establece que si el procedimiento administrativo correspondiente determina que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33° de la ley, esa conducta se considerará una contravención grave a la probidad administrativa, con lo cual queda determinada la única sanción posible, como es la destitución del funcionario.

Profundizando en la elección de la investigación sumaria como la vía para investigar este tipo de hechos, también se aprecia una incongruencia con lo expresado en el artículo 128 del DFL 29 que Fija el texto Refundido, Coordinado y Sistematizado de la ley 18.834, sobre Estatuto Administrativo, en virtud del cual “si la naturaleza de los hechos denunciados o su gravedad así lo exigiere (…), se dispondrá la instrucción de un sumario administrativo”. En este caso, la comisión de alguna de las infracciones gravísimas del artículo 33, es considerada una infracción grave a la probidad administrativa, razón por la cual debió optarse por el sumario administrativo. Más aún, si se tiene en consideración que la sanción ante este tipo de hechos, como se ha dicho, es la destitución, de acuerdo con lo establecido en el inciso segundo del artículo 125 del mismo estatuto. Respecto de ello no se debe perder de vista que la medida disciplinaria de destitución solamente se puede disponer a través de una investigación sumaria, cuando se está en presencia de ausencias injustificadas y atrasos; para otro tipo de hechos, la vía idónea es el sumario administrativo.

Décimo: Que, a modo de conclusión, resulta necesario establecer el alcance que el presente proyecto de ley tendrá sobre los organismos autónomos señalados en el artículo 44, y en lo que nos interesa, del Poder Judicial en particular. Las observaciones presentadas dejan abierta la duda respecto al alcance de las obligaciones que la nueva institucionalidad que se crea y generan para estos organismos. Correspondería regular expresamente la coordinación que se tendrá con este organismo, puesto que de lo contrario quedará entregada a las mejores prácticas.

En cuanto a la reclamación de los actos administrativos de la Agencia, el presente informe analiza si las disposiciones se ajustan o no a los lineamientos que ha entregado la Corte Suprema sobre la materia, en aras de uniformar los procedimientos contenciosos administrativos. Así, se hace necesario adecuar la propuesta en aquellas materias referidas a la posibilidad de recurrir de las decisiones de las Cortes de Apelaciones. Urge conocer las razones tenidas en vista por parte del autor de las indicaciones para comprender la razón de la exclusión de las personas naturales como legitimados activos del Reclamo de Ilegalidad propuesto. Y en relación con los procedimientos administrativos destinados a establecer responsabilidades administrativas por parte de funcionarios públicos, se debe verificar la congruencia de la propuesta con las reglas del Estatuto Administrativo de la Ley 18.834.

Por estas consideraciones y de conformidad con lo dispuesto en la norma constitucional citada, se acuerda informar en los términos antes expuestos el referido proyecto de ley.

Ofíciese.

PL N° 8-2023”

Saluda atentamente a V.S.

JUAN EDUARDO FUENTES BELMAR

Ministro (P)

Fecha: 15/03/2023 17:31:10

SEGUNDO INFORME DE LAS COMISIONES DE DEFENSA NACIONAL Y DE SEGURIDAD PÚBLICA, UNIDAS, recaído en el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información. BOLETÍN N° 14.847-06.

HONORABLE SENADO:

Las Comisiones de Defensa Nacional y de Seguridad Pública, unidas, tienen el honor de informar respecto del proyecto de ley individualizado en el epígrafe, iniciado en mensaje de S. E. el ex Presidente de la República, señor Sebastián Piñera Echenique, con urgencia calificada de discusión inmediata.

La iniciativa legal fue aprobada en general por la Corporación en sesión de 18 de octubre de 2022, oportunidad en la que se fijó como plazo para presentar indicaciones el 11 de noviembre de ese año. En dicha ocasión se determinó, además, que la proposición de ley fuera informada en particular por las Comisiones de Defensa Nacional y de Seguridad Pública, unidas.

Con posterioridad, el día 15 del mismo mes y año, la Sala abrió un nuevo plazo para formular indicaciones, hasta el 22 de noviembre, período en el que se presentaron otras. Dado que ello se produjo antes de iniciar el estudio de las primeras, esta Secretaría las reenumeró.

Finalmente, el 11 de abril de 2023, la Sala resolvió abrir un nuevo plazo, hasta las 16:30 horas del mismo día, indicaciones que fueron oportunamente incorporadas en el boletín correspondiente.

Cabe destacar que este proyecto de ley debe ser considerado, además, por la Comisión de Hacienda, en su caso, según el trámite conferido a su ingreso a esta Corporación.

A una o más de las sesiones en que se discutió este asunto asistieron, además de sus miembros, la Honorable Senadora señora Ximena Órdenes Neira.

Asimismo, concurrieron, especialmente invitados:

Del Ministerio del Interior y Seguridad Pública: Ministra, señora Carolina Tohá; Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez; asesoras legislativas de la Secretaría de Estado, señoras Leslie Sánchez, María de los Ángeles Fernández y Catalina Lagos, y asesora legislativa del Coordinador Nacional de Ciberseguridad, señora Michelle Bordachar.

De la Subsecretaría de Defensa: Jefe de la División de Desarrollo Tecnológico e Industria, señor Yerko Benavides; Jefe del Departamento de Ciberdefensa, Mayor de Ejército, señor Juan Pablo Cortés, y asesor legislativo, señor Daniel Andrade.

De la Comisión para el Mercado Financiero: Comisionado, señora Bernardita Piedrabuena; Director General (s) Jurídico, señora Claudia Soriano; Director Regulación Prudencial de Valores, Medios de Pago y Desarrollo de Mercado, señor Daniel Calvo, y Director Riesgo Operacional, señor José Mendoza.

Asesores parlamentarios: del Honorable Senador señor Araya, señores Roberto Godoy y Pedro Lazaeta; del Honorable Senador señor Cruz-Coke, señor Iván Reinoso; del Honorable Senador señor Flores, señora Carolina Allende; del Honorable Senador señor Huenchumilla, señora Alejandra Leiva; del Honorable Senador señor Insulza, señoras Javiera Gómez y Lorena Escalona y señores Guillermo Miranda y Carlos Fernández; del Honorable Senador señor Kast, señores José Astorga y Óscar Morales; del Honorable Senador señor Kusanovic, señores Hernán Maturana y Tomás Matheson; del Honorable Senador señor Macaya, señor Carlos Oyarzún; del Honorable Senador señor Ossandón, señor Ronald von der Weth; de la Honorable Senadora señora Provoste, señores Julio Valladares, Enrique Soler y Rodrigo Vega; del Honorable Senador señor Pugh, señores Pascal de Smet d`Olbecke y Michael Heavey; del Honorable Senador señor Quintana, señor Claudio Rodríguez; de la Honorable Senadora señora Rincón, señora Natalia Navarro; del Honorable Senador señor Van Rysselberghe, señor Juan Paulo Morales; del Comité Partido Socialista, señora Javiera Riquelme, y del Comité Unión Demócrata Independiente, señora Karin Luttecke y señor Camilo Sánchez.

De la Biblioteca del Congreso Nacional, el analista del Área Gobierno, Defensa y Relaciones Internacionales, señor Juan Pablo Jarufe.

De la Fundación Jaime Guzmán: asesor, señor Ignacio Rodríguez.

De Canal 13: periodista, señora Eliana Díaz.

- - -

NORMAS DE QUÓRUM ESPECIAL

A. Normas orgánicas constitucionales:

1) Según el artículo 38 de la Constitución Política de la República, en relación con el artículo 66, inciso segundo, del mismo Texto Supremo:

- Artículos 1, inciso segundo; 8; 9 letras a), b), c), d), e), i), m), n), ñ), v) y x); 10; 13; 14; 16 (su inciso tercero en virtud de lo dispuesto en el artículo 8°, inciso tercero de la Carta Fundamental); 20; 21; 25; 26; 34; 36; 37; 39; 40; 41; 44 y 45.

- Artículos segundo; quinto y sexto de las disposiciones transitorias.

2) Según el artículo 99, inciso final, de la Carta Fundamental:

- Artículo 4, inciso final, y artículo octavo de las disposiciones transitorias.

3) Según el artículo 77 de la Constitución Política de la República:

- Artículo 35.

B. Normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, y 66, inciso segundo, ambos de la Carta Fundamental:

Artículos 29; 30; 31 y 42.

- - -

Para los efectos de lo dispuesto en el artículo 124 del Reglamento del Senado, cabe dejar constancia de lo siguiente:

1.- Artículos del proyecto que no han sido objeto de indicaciones ni de modificaciones: 12; 31 y 32; y los artículos tercero; cuarto y séptimo de las disposiciones transitorias.

2.- Indicaciones aprobadas sin modificaciones: 5; 11; 13; 15; 16; 17; 18; 23; 25; 26; 27; 36; 38; 38 bis; 39; 42; 42 bis; 43 bis; 45; 46; 51; 53; 55 bis; 56; 58; 60; 61; 61 bis; 62; 63; 64; 65; 67; 71; 72; 76; 80; 81; 82; 83; 84; 86; 88; 89; 90; 94 bis; 95 bis; 97; 99 (en cuanto a los literales p), q), r), t), v) y w) que propone incorporar al artículo 9); 101 (en cuanto al primer literal propuesto, que pasa a ser x) en el artículo 9); 101 bis; 102; 103; 106; 107 bis; 109 bis; 110; 111; 115; 117; 119 bis; 126; 127; 128; 131; 132;135; 136; 139; 140 bis; 141 bis; 147; 148; 150; 151; 152; 154; 155; 156; 158; 165; 167; 169; 171; 172; 173; 174 bis; 177; 178 (en cuanto a la incorporación de los artículos 47 y 48, nuevos); 182 y 184.

3.- Indicaciones aprobadas con modificaciones: 2; 3; 6; 7; 8; 10; 22; 24; 28; 29 (en cuanto a la incorporación de las siguientes definiciones: “auditorías de seguridad”, “ciberhigiene”, “integridad”; “interagencialidad”, “interoperabilidad”, y “Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI”); 31; 32; 33; 34; 35; 43 (en cuanto a la inclusión del siguiente principio rector: “principio de actualización y reutilización”); 47; 52; 55; 57; 59; 66; 68; 69; 70; 73; 78; 87; 92; 94; 95; 99 (en cuanto a los literales s) y u) que propone incorporar al artículo 9); 105; 107; 109; 116; 118; 119; 120; 121; 123; 140; 141; 143; 144; 153; 157; 159; 161; 163; 164; 174; 175; 178 (en cuanto a la incorporación del artículo 46, nuevo); 179 y 185.

4.- Indicaciones rechazadas: 9; 12; 21; 29 (en cuanto a la incorporación de las siguientes definiciones: “amenaza persistente avanzada (APT)”, “anonimización”, “confianza digital”, “registro de operadores de servicios de ciberseguridad”, y “trazabilidad”); 37; 40; 41; 43 (en cuanto a la inclusión de los siguientes principios rectores: “principio de confianza cero”, “principio de cooperación”, “principio de interoperabilidad”, y “principio de no obsolescencia tecnológica”); 44; 54; 75; 77; 93; 96; 100; 101 (en cuanto a los dos últimos literales que propone introducir al artículo 9); 108; 149; 160; 168; 170 y 180.

5.- Indicaciones retiradas: 1; 4; 14; 19; 20; 30; 48; 49; 50; 74; 79; 85; 91; 98; 104; 112; 113; 114; 122; 124; 125; 129; 130; 133; 134; 137; 138; 142; 145; 146; 162; 166; 176; 181 y 183.

6.- Indicaciones declaradas inadmisibles: no hay.

- - -

DISCUSIÓN EN PARTICULAR

Antes de dar inicio a la discusión en particular, estas instancias legislativas recibieron en audiencia a la Ministra del Interior y Seguridad Pública, señora Carolina Tohá, quien aseguró que para el Ejecutivo es fundamental avanzar en la tramitación de esta propuesta de ley, reflejándose así en la formulación de diversas indicaciones al texto aprobado en general por el Senado. Anunció que ellas recogen muchas de las observaciones planteadas durante el estudio de la iniciativa tanto en la Comisión de Defensa Nacional como en la de Seguridad Pública.

Destacó que, si bien el Gobierno siempre ha estado comprometido con el proyecto de ley en análisis, en los últimos meses este ha alcanzado mayor connotación producto de los ciberataques cometidos, lo que hace aún más pertinente y urgente su pronto despacho. Al respecto, anheló que la redacción que se apruebe cuente con un amplio respaldo.

En línea con lo anterior, sostuvo que la importancia de la temática conduce a la necesidad de tener una base legal para dar continuidad a esta política de Estado, que descanse en principios ampliamente compartidos.

Aclaró que el objetivo de la seguridad informática no radica en proteger equipos y programas, sino a las personas y a la sociedad en su conjunto. Los servicios digitales, alertó, cobran cada día más relevancia -puesto que manejan datos sensibles-, resultando, la ciberseguridad, por lo tanto, esencial para el ejercicio de los derechos.

En consecuencia, subrayó que el Estado y los particulares tienen el deber de proteger la información que se les entrega, cuidando, de esta manera, la confianza de la ciudadanía. Advirtió que, si ellos no actúan de la forma prevista, los individuos, sus derechos, su patrimonio y su seguridad se verán afectados. En este punto, explicó que la propuesta legal da un estatus a esos deberes y los hace operables.

Continuando con el desarrollo de su exposición, se detuvo en las acciones llevadas a cabo por la Administración actual en materia de seguridad informática. Reveló que el Gobierno está evaluando la Política Nacional de Ciberseguridad 2018 a 2022, trabajo que permitirá formular una nueva para el periodo 2023-2028.

A la medida señalada, comentó, se suma la dictación del decreto supremo que establece la obligación para los servicios públicos de notificar los incidentes o ataques de ciberseguridad que sufran, en tanto no exista una norma legal que recoja tal deber.

Adicionalmente, informó, se ha reactivado el Comité Interministerial sobre Ciberseguridad y se ha designado al Coordinador Nacional, el señor Daniel Álvarez.

Por otro lado, declaró que se está ejecutando un préstamo del Banco Interamericano de Desarrollo, a fin de incrementar y mejorar las capacidades nacionales en seguridad informática.

Adentrándose en el análisis del proyecto de ley, recordó que contiene una propuesta de institucionalidad pública con funciones y atribuciones especificas en materia de ciberseguridad. En este contexto, consignó, se crea la Agencia Nacional de Ciberseguridad, la que se relacionará con el Presidente de la República a través del Ministerio del Interior y Seguridad Pública.

La iniciativa, dijo, establece un ámbito de aplicación acotado a los organismos públicos y a los privados que sean calificados como infraestructura crítica de la información y un régimen de sanciones. Asimismo, añadió, prescribe un régimen de organización de los centros de respuestas a incidentes de ciberseguridad -en adelante CSIRT-, diferenciando el CSIRT Nacional, los sectoriales y el de Defensa.

Tras definir algunos de los aspectos centrales del proyecto de ley aprobado en general por el Senado, aseveró que el Ejecutivo persistirá en su tramitación, habida consideración de que el área involucrada constituye una política de Estado.

En lo que atañe a las indicaciones formuladas por Su Excelencia el Presidente de la República, apuntó que persiguen un cambio de enfoque, haciendo énfasis en que la seguridad cibernética tiene por finalidad última la protección de las personas y sus derechos. Por eso, sentenció, se recomienda incorporar expresamente el deber de velar por el resguardo, promoción y respeto a la ciberseguridad- idea matriz del proyecto-, y se suman dos nuevos principios, el de respuesta responsable y el de igualdad y no discriminación. Precisó que el primero busca que las reacciones a tal tipo de incidentes no agraven sus características, asegurando, en definitiva, proporcionalidad. El segundo, en tanto, detalló, tiene por objetivo que las distintas instituciones y normas permitan a todas las personas gozar de los derechos y las libertades cibernéticos, y que no generen brechas o profundicen las existentes.

De igual modo, hizo ver que las indicaciones apoyan la creación de la Agencia Nacional de Ciberseguridad y fortalecen sus atribuciones y funciones, ampliando el ámbito de aplicación a todo el sector público y privado, con obligaciones diferenciadas por riesgos y tamaño.

Por otra parte, adelantó que se sustituye el concepto de “infraestructura crítica de la información” por el de “servicios esenciales” y “operadores de importancia vital”. Adujo que estas últimas expresiones son más dinámicas y amplias, y hacen posible comprender, en toda su dimensión, la regulación.

En materia orgánica, observó, se simplifica el modelo de gobernanza, creando un solo CSIRT Nacional, sometiendo a su coordinación y supervisión a los otros que pudieran surgir.

Asimismo, develó, se consolida la Red de Conectividad Segura del Estado.

A reglón seguido, dio a conocer que se perfeccionan las normas relativas al deber de reportar vulnerabilidades e incidentes de ciberseguridad, tanto en el sector público como en el privado, incluyendo la protección del hacking ético.

Para concluir, planteó que se establecen obligaciones específicas para el Estado y para los particulares en ciberseguridad, incorporando la dimensión de la educación, la capacitación, las buenas prácticas y la higiene digital, entre otros temas, a fin de crear un ambiente de responsabilidad integral en torno a la temática.

Finalizada la exposición de la señora Ministra, algunos señores Senadores expresaron sus apreciaciones acerca de la iniciativa de ley y las indicaciones en ella recaídas.

El Honorable Senador señor Pugh connotó que los ciberataques han evidenciado que la dependencia de los sistemas digitales es total y se incrementa a diario. Por tal razón, juzgó que la transformación digital del país debe ir acompañada de la protección correspondiente.

Luego, alabó la decisión política del Ejecutivo de proseguir la tramitación de este proyecto de ley, presentado durante la Administración precedente, formulándole indicaciones. Tal determinación, complementó, revela que se está frente a una política de Estado. Sobre el particular, puso de relieve que la seguridad cibernética es un dominio común y busca proteger a las personas en el nuevo espacio que se habita.

Reconoció que tal misión no será un asunto fácil, toda vez que la ciberseguridad es dinámica. Así, enunció, lo ha reconocido la experiencia comparada, siendo este el caso de España, país que ha señalado que todos los actores serán atacados y que, en consecuencia, la resiliencia se torna esencial.

En sintonía con lo expresado recientemente, expuso el ejemplo Ucrania, Estado que pese a la agresión de la que fue objeto a principios de este año por parte de Rusia, logró continuar con sus servicios básicos, utilizando la nube y el internet satelital, demostrando que es factible, incluso en la peor condición, seguir operando.

Refiriéndose a las indicaciones recaídas en la propuesta legal, opinó que las 185 formuladas dan cuenta del interés en alcanzar una ley adecuada. No obstante, clarificó, esta no es la ocasión para velar por gustos personales ni para demorar la tramitación legislativa, puesto que el país requiere una respuesta institucional a corto plazo.

Aseguró que el viaje realizado recientemente junto con el Honorable Senador señor Saavedra a Estonia, referente mundial en ciberseguridad, les ha permitido adquirir los conocimientos suficientes para contribuir a la construcción de esta ley marco.

Por último, llamó a conseguir acuerdos transversales, que den paso a una regulación clara y aplicable.

El Honorable Senador señor Macaya, a su turno, valoró también la disposición del Ejecutivo para tomar un proyecto ingresado por la Administración anterior. En este punto, arguyó que, habitualmente, cuando hay cambio de Gobierno, el nuevo presenta una indicación sustitutiva a la iniciativa de ley cuya tramitación quiere continuar.

En el mismo orden de ideas, estimó que la determinación adoptada constituye una buena manera de abordar un tema que es de importancia nacional, y que requiere apoyo transversal. Además, observó que muchas de las indicaciones de Su Excelencia el Presidente de la República coinciden con aquellas de autoría de los Honorables Senadores señor Pugh, señora Órdenes, señor Ossandón y de él mismo.

Finalmente, manifestó su disposición a despachar prontamente esta propuesta legal.

Sumándose a los dichos de los legisladores que le precedieron en el uso de la palabra, el Honorable Senador señor Quintana adhirió a la valoración de la decisión política adoptada.

Enseguida, hizo ver que el país está en deuda en asuntos de ciberseguridad. En efecto, recordó que S. E. la ex Presidenta de la República, señora Michelle Bachelet, durante su segundo mandato, elaboró la Política Nacional de Ciberseguridad para el periodo 2018-2022, instrumento que contiene aspectos formativos trascendentes y que no fueron tomados en cuenta sino hasta principios de este año, cuando se inició la tramitación de esta iniciativa de ley. Así, relevó, durante mucho tiempo no hubo atención a esta materia. Especificó que los únicos pasos dados radican en la aprobación del Convenio de Budapest.

A continuación, resaltó que una de las recomendaciones realizadas el 2018 fue la utilización de la nube para el almacenamiento y procesamiento de la información, tal como lo hacía el mundo privado.

Por otro lado, advirtió que esta proposición de ley va en línea con aquella que fortalece y moderniza el sistema de inteligencia del Estado (Boletín N° 12.234-02).

Adentrándose en el análisis de las indicaciones formuladas por el Ejecutivo, expresó aprensiones respecto a la idea de sustituir la expresión “infraestructura crítica de la información” por “servicios esenciales”. Al efecto, previno que el empleo de la primera no es un capricho de los últimos Gobiernos. Pormenorizó que fue el ex Presidente de los Estados Unidos de América, señor Bill Clinton, quien instauró, en los años ´90, este concepto que está consagrado no solo en la legislación norteamericana, sino también en la europea. En atención a lo expuesto, llamó al Ejecutivo a reconsiderar el cambio señalado. A mayor abundamiento, juzgó que utilizar el mismo lenguaje a nivel mundial en materia digital es fundamental.

El Honorable Senador señor Insulza advirtió que el Congreso Nacional ha abordado previo a este proyecto de ley otros vinculados a la ciberseguridad. Entre ellos, acotó, se encuentra la aprobación del Convenio de Budapest y la de la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al tratado referido.

Para terminar, llamó a adoptar las medidas indispensables para que el estudio de las indicaciones se realice lo más rápido posible; de lo contrario, vislumbró, esta iniciativa de ley no podrá despacharse con la celeridad requerida.

La Ministra del Interior y Seguridad Pública, señora Carolina Tohá, en relación con la primera observación del legislador que le antecedió en el uso de la palabra, consideró que quizás un orden inverso de tratar las propuestas legales mencionadas habría sido lo ideal. Con todo, planteó que hay proyectos paralelos que están vinculados. Entre ellos, puntualizó, el de modernización del Sistema de Inteligencia, respecto del cual el Gobierno presentará indicaciones, y el de infraestructura crítica, que resguarda las instalaciones en espacios públicos. Además, hizo hincapié en que el Ejecutivo se ha reunido con las compañías de servicios digitales, a fin de buscar una solución frente al robo de cables de cobre, ilícito que conlleva el corte de conexiones. De esta manera, subrayó, esta proposición legal no se estudia aisladamente, mas constituye el marco para todas las demás.

En tanto, el Honorable Senador señor Saavedra, fijando su atención en los planteamientos de la Secretaria de Estado, sentenció que, si bien en esta oportunidad solo se discutirá la futura ley marco de ciberseguridad, debe hacerse con un enfoque sistémico, debido a la diversidad de elementos involucrados. En consecuencia, alertó, no puede tenerse una mirada meramente lineal, puesto que impedirá tener en cuenta las diversas variables que intervienen en el mundo actual, en donde la digitalización tiene un rol fundamental en la vida de los habitantes, sus derechos y su patrimonio.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, a su vez, informó que, tras el análisis efectuado por el Ejecutivo a las indicaciones, es posible concluir que, respecto de la mayoría de las enmiendas, hay consenso. Por tal razón, sugirió constituir una mesa de trabajo entre los asesores parlamentarios y los del Gobierno para avanzar en aquellos puntos en que hay acuerdo, con el propósito de no retardar la tramitación de esta importante y urgente proposición legal.

Centrando su atención en las indicaciones formuladas por Su Excelencia el Presidente de la República, aseveró que recogen parte de la discusión originada en el seno de estas Comisiones, particularmente en lo que dice relación con el modelo de organización. En efecto, puntualizó que el previsto en el texto aprobado en general es muy complejo, y dificulta la relación entre las diversas entidades.

Otro tema que también se aceptó, anunció, es el relativo a la situación laboral de quienes se desempeñarán en la Agencia Nacional de Ciberseguridad. Recordó que el proyecto de ley original dispone que se regirán por las normas del Estatuto Administrativo. Connotó que los Honorables Senadores señores Araya y Quintana hicieron ver lo dificultoso que podría llegar a ser contratar talento humano altamente especializado para dicha entidad bajo tales reglas. Por ello, justificó, se propone sujetarlos a los preceptos del Código del Trabajo, introduciendo algunas modificaciones.

Además, llamó a no olvidar que dicha institución tendrá el carácter de fiscalizador, lo que exige cierta estructura tradicionalmente consagrada en el Estado.

Atendiendo a la observación realizada por el Honorable Senador señor Quintana acerca de sustituir la expresión “infraestructura crítica de la información” por “servicios esenciales”, explicó que tal decisión descansa en que esta última es más dinámica y permite desvincularla del mundo militar. En efecto, ahondó, este concepto se acuñó durante la Segunda Guerra Mundial y dice relación con la planificación primaria de la defensa. En Chile, resaltó, nunca ha existido esa cultura, demostrándolo así la ausencia de un cuerpo legal sobre el particular.

En sintonía con lo relatado, apuntó que si se analiza la legislación de aquellos países que han avanzado de manera sustantiva en seguridad informática, lo primero que regularon fue la infraestructura crítica, abordando la ciberseguridad como un riesgo para ellas. Chile, por el contrario, continuó, comenzó por la ciberseguridad. Con todo, aseguró que la Secretaría del Interior y Seguridad Pública trabaja coordinadamente con los Ministerios Secretaría General de la Presidencia y de Hacienda, de modo que lo que resulte de este proyecto se refleje también en otras iniciativas, como la que moderniza el sistema de inteligencia.

Respaldando los planteamientos del Honorable Senador señor Saavedra, juzgó que para garantizar la ciberseguridad debe haber una respuesta sistémica, proveniente no solo de esta proposición legal, sino también de la ley de delitos informáticos, de la que moderniza el sistema de inteligencia y del proyecto de datos personales. Agregó que las indicaciones del Ejecutivo en esta oportunidad buscan hacer coherentes tales proyectos. Así, precisó, si se examinan las normas referidas a aspectos procedimentales, podrá concluirse que las reglas son las mismas aprobadas durante el año 2021 para la segunda iniciativa de ley, lo que permitirá tener un modelo coherente.

En cuanto a las indicaciones al texto aprobado en general, estimó que muchas de ellas lo armonizan, mientras que otras mejoran definiciones, acercándolas a los estándares internacionales. Avizoró que respecto de la mayoría habrá consenso. Las diferencias, adelantó, descansarán en temas como la relación entre la Agencia Nacional de Ciberseguridad y los sectores regulados. El reemplazo de la expresión “infraestructura crítica de la información” por “servicios esenciales”, en tanto, aseveró, será una discusión sobre títulos más que de contenido, toda vez que, probablemente, no habrá reparos a la redacción de las disposiciones que abordan el tema.

Por último, el Honorable Senador señor Saavedra fue tajante en manifestar la necesidad de dejar claramente consagrado en la proposición de ley que la Agencia Nacional de Ciberseguridad es un órgano de carácter estratégico, evitando con ello que, dentro del marco de las relaciones laborales regidas por el Código del Trabajo, la organización sindical acuerde paralizar sus funciones.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dando cuenta de los avances de la mesa de trabajo conformada por asesores parlamentarios y de Gobierno para asegurar el pronto despacho de esta proposición de ley, expresó que dicha instancia se ha reunido en dos oportunidades y ha alcanzado grandes acuerdos sobre las indicaciones formuladas a los artículos 1, 2 y 3 del texto aprobado en general por el Senado. No obstante, reconoció que en ciertos aspectos existen diferencias. Asimismo, comunicó, hay otros cuyo examen y votación se sugiere dejar pendiente en tanto no se estudie el precepto que aborda el tema de fondo.

Por último, consignó que de las decisiones adoptadas respecto de cada indicación se deja constancia en una minuta.

°°°°°

La indicación número 1, del Honorable Senador señor Insulza, es para reemplazar, todas las veces que aparece en el texto, la frase “incidentes de ciberseguridad” por la expresión “incidentes de ciberseguridad o ciberataques”.

- Esta indicación fue retirada por su autor.

°°°°°

°°°°°

La indicación número 2, del Honorable Senador señor Insulza, busca sustituir, todas las veces que aparece en el texto, la frase “sistema informático” por “red o sistema de información”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que la mesa de trabajo constituida por los asesores sugiere aprobar con enmiendas tal indicación, reemplazando la expresión “sistema de información” por “sistema informático”, de modo que haya coherencia entre el lenguaje utilizado en este texto con aquel previsto en la ley N° 21.549, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

Pese al cambio propuesto, aclaró que, desde el punto de vista meramente técnico, las locuciones citadas son sinónimas.

- Las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Araya, Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana y Saavedra, aprobaron la indicación número 1 con la enmienda mencionada precedentemente.

°°°°°

ARTÍCULO 1

Consigna la finalidad perseguida por esta iniciativa. Al respecto, dispone que la presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permiten estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los órganos del Estado así como los deberes de las instituciones privadas que posean infraestructura de la información calificada como crítica y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad por la infracción de la normativa.

Sobre este precepto recayeron las indicaciones números 3 y 4.

La indicación número 3, de Su Excelencia el Presidente de la República, es para reemplazarlo por el siguiente:

“Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones privadas y, en ambos casos, los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para los efectos de esta ley, se entenderá por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Los órganos autónomos constitucionales se ajustarán a las disposiciones de esta ley que así lo señalen. No se aplicarán las disposiciones de esta ley a las empresas públicas creadas por ley y a las empresas del Estado y sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital.

La institucionalidad de la ciberseguridad velará por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias, que comprende la adopción de las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan sus redes o sistemas informáticos, incluyendo las herramientas de cifrado.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, puso de relieve que la indicación examinada determina el objeto de la ley -el que se recoge en el inciso primero del artículo 1 propuesto-; su ámbito de aplicación -contenido en el inciso segundo-, y su objetivo sustantivo -previsto en el inciso tercero-, consistente en que la institucionalidad de la ciberseguridad debe velar por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias.

Dando a conocer el acuerdo alcanzado por la mesa de trabajo, sostuvo que, acogiendo una observación de las Comisiones unidas, se decidió aprobar esta indicación con enmiendas, suprimiendo, en el inciso primero del artículo sugerido en la indicación, la frase “, en ambos casos,”. Arguyó que esta última conducía a una interpretación equívoca de la norma.

Fijando su atención en el inciso segundo, sentenció que prescribe que la ley se aplicará a los organismos de la Administración del Estado, precisando cuáles son estos, y establece una regla especial para los órganos autónomos constitucionales; las empresas públicas creadas por ley, y las del Estado y sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio.

El asesor legislativo del Honorable Senador señor Araya, señor Roberto Godoy, discrepó del acuerdo de la mesa de trabajo prelegislativa.

Profundizando en su afirmación, adelantó que la principal legislación existente en materia de ciberseguridad es la europea, conforme a la cual el bien jurídico protegido es el adecuado funcionamiento de los mercados internos de bienes y servicios y de los sistemas.

Consignado lo anterior, se adentró en el análisis de la indicación. Sobre el particular, notó que modifica el inciso único del artículo 1 y le incorpora dos nuevos.

En lo que atañe a la enmienda recaída en el primero de ellos -relativo al objeto de la ley-, connotó que la recomendación del Ejecutivo somete a esta legislación a todas las instituciones privadas, sin identificarlas ni definirlas.

Alertó que el inciso segundo, a su vez, al fijar el ámbito de aplicación, además de definir “Administración del Estado”-cuestión que por razones de técnica legislativa debe incluirse en el artículo 2-, excluye a las empresas públicas creadas por ley, a las del Estado y a las sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital.

A la luz de lo señalado, juzgó que se advierte la inconsistencia de que todas las entidades privadas deberán sujetarse a este cuerpo normativo, mientras que las recientemente citadas quedan al margen de él, a menos que sean catalogadas de la manera indicada.

Continuando con el análisis de la indicación, remarcó que, conforme a lo dispuesto en el inciso tercero, la institucionalidad de la ciberseguridad tendrá la misión de velar por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias. Al efecto, insistió en que, para la legislación europea, tal concepto está concebido desde una perspectiva funcional. De tal modo, precisó, se consagra en el Reglamento (UE) 2019/881, del Parlamento Europeo y del Consejo de la Unión Europea.

Plantear su regulación como un derecho subjetivo, acotó, introduce un modelo que no se aviene con el que suele tenerse como referente.

Para finalizar, hizo hincapié en que el artículo 1 constituye la piedra angular de esta futura ley, y no una mera disposición del proyecto.

Refiriéndose a las observaciones realizadas por el asesor que le antecedió en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recordó que, tal como lo expuso la Ministra del Interior y Seguridad Pública al dar inicio al estudio en particular de iniciativa, su ámbito de aplicación cambia sustancialmente luego de las indicaciones formuladas por Su Excelencia el Presidente de la República, señor Gabriel Boric.

Coincidió en que el texto aprobado en general por la Sala del Senado se basa en la norma de ciberseguridad identificada por el señor Godoy. Sin embargo, previno que esta fue modificada de forma radical recientemente. De hecho, ahondó, el Parlamento Europeo aprobó la Directiva de Seguridad de las Redes y de la Información 2 -NIS 2, por sus siglas en inglés- la que será publicada en las próximas semanas y contempla un giro significativo. Pormenorizó que la legislación citada propendía originalmente a la protección de los mercados, mas en la actualización aludida se busca la de los ciudadanos. Así, reiteró, la visión economicista fue abandonada.

Adicionalmente, relató que el derecho a la ciberseguridad nace en el mismo órgano que reconoció el de la autodeterminación informativa, el año 1978. En 2008, prosiguió, el tribunal federal alemán afirmó que las personas tienen derecho a la integridad, confidencialidad y disponibilidad de los datos contenidos en sistemas informáticos.

Por último, anunció que la iniciativa de ley, conforme a las indicaciones presentadas por el Ejecutivo, apunta a proteger los derechos de las personas y no los aparatos digitales. Por ello, agregó, un sistema coherente supone que el ámbito de aplicación de la ley se extiende a todo el sector público y al privado, estableciendo, posteriormente -entre los artículos 4 y 6-, sujetos especialmente obligados, que corresponden a los operadores de servicios esenciales y a los de importancia vital.

El Honorable Senador señor Galilea solicitó explicar por qué se decide someter a esta regulación a todas las instituciones privadas, mientras que, al tenor de lo prescrito en el inciso segundo, respecto de las públicas no se adopta igual criterio.

Atendiendo la consulta de Su Señoría, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aclaró que, en términos generales, el proyecto se aplica a los organismos del Estado, a las instituciones privadas y a las empresas públicas creadas por ley o en donde el Estado participe. No obstante, clarificó, las obligaciones especiales recaerán únicamente en quienes sean calificados como servicios esenciales y operadores de importancia vital, sin distinciones.

Aseguró que podrá ser declarado como un operador de servicios esenciales una empresa privada, una pública o una con participación del Estado. Al efecto, recalcó que el inciso segundo del artículo 3 propuesto señala que no se aplicarán las disposiciones de esta ley a las empresas públicas creadas por ley y a las empresas del Estado y sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital. Igual criterio, reiteró, regirá para las empresas privadas.

El Honorable Senador señor Quintana consultó si los conceptos “servicios esenciales” y “operadores de importancia vital” son mundialmente utilizados.

Deteniéndose en la interrogante formulada por Su Señoría, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, subrayó que tradicionalmente se hablaba de infraestructura crítica para referirse a todo el universo de entidades. Sin embargo, actualmente, ha quedado acotada a las infraestructuras físicas propiamente tales; para lo demás se recurre a la locución “servicios esenciales”. Así se aprecia, continuó, en NIS 2, que emplea la expresión “operadores de servicios esenciales”.

Hizo ver que el texto analizado, en tanto, deja claramente establecido que, en materia digital, lo realmente trascendente son los servicios esenciales y los operadores de importancia vital.

Adicionalmente, enunció que el Ejecutivo buscará que las indicaciones que se formulen al proyecto de reforma constitucional de infraestructura crítica y al que modifica el sistema de inteligencia sean coherentes con esta nueva nomenclatura. En consecuencia, concluyó, la Constitución Política de la República abordará las capacidades físicas, mientras que esta iniciativa de ley, la prestación de servicios esenciales digitales.

El Honorable Senador señor Quintana discrepó de la tajante separación entre lo físico y lo cibernético expuesta por el personero de Gobierno. Sostuvo que basta con observar lo que ocurre con las criptomonedas para comprender la estrecha vinculación entre ambos mundos.

- En votación la indicación número 3, fue aprobada con la enmienda consignada anteriormente y otras de adecuación, por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana y Saavedra.

La indicación número 4, del Honorable Senador señor Insulza, busca sustituir la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”; y la expresión “órganos del Estado” por “organismos de la Administración del Estado”.

El Honorable Senador señor Huenchumilla previno que la Constitución Política de la República utiliza indistintamente ambas expresiones. Sin embargo, consignó, la ley de bases generales de la Administración del Estado emplea, mayoritariamente, la voz “órganos”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, afirmó que en el ordenamiento jurídico chileno se usan ambos términos.

Dicho lo anterior, informó que el Ejecutivo, luego de analizar la iniciativa de ley, distinguió dos tipos de obligaciones, unas que se aplicarán a todos los órganos del Estado y otras que solo recaerán en los que conforman la Administración del Estado.

En relación con los primeros, justificó que tal decisión obedece a la necesidad de incrementar los niveles de madurez en ciberseguridad.

Las Comisiones unidas optaron por resolver, en cada oportunidad en que el texto lo exija, cuál será la locución que corresponde emplear.

- La indicación número 4 fue retirada por su autor.

ARTÍCULO 2

Precisa, por medio de 17 numerales, la definición de algunas expresiones utilizadas en esta propuesta legal.

Número 1

Señala que por “Agencia” se entenderá la Agencia Nacional de Ciberseguridad.

Respecto de este numeral se presentó la indicación número 5, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar entre la palabra “Ciberseguridad” y el punto final, la siguiente frase: “, que se conocerá en forma abreviada como ANCI”.

El Honorable Senador señor Insulza consultó si otros textos normativos -como la ley N° 19.974, sobre el Sistema de Inteligencia del Estado y crea la Agencia Nacional de Inteligencia- consideran siglas.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que para el Ejecutivo la indicación no reviste inconvenientes.

El Honorable Senador señor Quintana manifestó que las Comisiones unidas aún no han definido si el organismo encargado de la ciberseguridad se constituirá como una Agencia. De ser así, anunció su discrepancia, toda vez que “agenciar” implica encomendar un asunto de suma importancia para el Estado a un tercero.

El Honorable Senador señor Huenchumilla cuestionó el empleo de la voz “Agencia” en el derecho administrativo nacional. De hecho, recordó que la Ley de Bases Generales de la Administración del Estado no la incluye.

Para concluir, agregó que el vocablo referido proviene del modelo norteamericano. Ejemplo de ello es la Agencia Central de Inteligencia, sostuvo.

Deteniéndose en la inquietud del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enfatizó que la palabra objeto de reparos se ha utilizado en los últimos años en el derecho administrativo chileno, demostrándolo así, verbigracia, la Agencia Nacional de Inteligencia.

Pese a lo señalado, develó que la discusión de fondo radica en la delegación en terceros de asuntos públicos.

Por último, llamó a tener presente que, no obstante la denominación conferida, se esconde detrás de la figura mencionada un servicio público sometido a la supervigilancia de Su Excelencia el Presidente de la República.

Discrepando de los planteamientos del Honorable Senador señor Quintana, el Honorable Senador señor Ossandón postuló que una Agencia dará mayor flexibilidad para atender asuntos que dicen relación con la ciberseguridad, los cuales evolucionan rápidamente. Además, recordó, la entidad dependerá del Primer Mandatario.

El Honorable Senador señor Quintana reconoció la importancia de que la estructura adoptada no dé paso a amarres. Con todo, recordó que la voz aludida no se encuentra consagrada en el derecho administrativo chileno, y que la figura implica que el Estado se desentiende del asunto. Tales razones, adujo, motivaron el reemplazo de la denominación de la Agencia Nacional de Acreditación por la de “Comisión Nacional de Acreditación”.

En atención a las diferencias existentes entre los integrantes de las Comisiones unidas, el Honorable Senador señor Huenchumilla aconsejó dejar pendiente el análisis de esta indicación en tanto no se examinen aquellas recaídas en el precepto referido a la naturaleza jurídica del órgano encargado de la ciberseguridad.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó que, tras una nueva revisión de esta indicación, el grupo de asesores conformado para facilitar la tramitación de la iniciativa de ley recomienda aprobarla.

- En consecuencia, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron la indicación número 5.

Número 2

Dispone que el ciberataque consiste en la acción producida en el ciberespacio que compromete la disponibilidad, integridad y confidencialidad de la información mediante el acceso no autorizado, la modificación, degradación o destrucción de los sistemas de información y telecomunicaciones o las infraestructuras que los soportan.

Al respecto, se formularon las indicaciones números 6 y 7.

La indicación número 6, del Honorable Senador señor Insulza, es para reemplazar este numeral por el siguiente:

“2. Ciberataque: un incidente de ciberseguridad en el que una persona o grupo de ellas intenta destruir, exponer, alterar, deshabilitar, robar o ganar acceso no autorizado a un activo de información, o hacer uso no autorizado de un activo de información.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que la mesa de trabajo constituida por asesores parlamentarios y del Ejecutivo propone aprobar la definición técnica sugerida, con enmiendas, a fin de perfeccionar su redacción y recoger, además, la dimensión física comprendida en la indicación que sigue. Consignó que, de acogerse la recomendación de la instancia mencionada, el tenor literal del número 2 del artículo 2 sería el que se transcribe a continuación:

“2. Ciberataque: un incidente de ciberseguridad en el que una persona o grupo de ellas, conocidas o no, intenta destruir, exponer, alterar, deshabilitar, exfiltrar, hacer uso o acceder de manera no autorizada a un activo de información, y en el que puedan verse afectados también activos físicos de forma eléctrica o mecánica.”.

El Honorable Senador señor Ossandón sugirió incorporar, luego de la palabra “persona”, la locución “, natural o jurídica,”, dejando claramente establecido que el ciberataque puede provenir también de estas últimas.

Sobre el punto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, estimó innecesario formular tal especificación, toda vez que la redacción actual comprende ambos tipos de personas.

El Honorable Senador señor Insulza manifestó interés por tener mayores antecedentes acerca de la voz “exfiltrar”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que la acción aludida corresponde a un concepto técnico, consistente en extraer de manera no autorizada datos desde un sistema.

- Puesta en votación la indicación número 6, fue aprobada con modificaciones, con la redacción consignada precedentemente, por la unanimidad de los miembros presentes de las instancias legislativas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas Comisiones-, Insulza, Ossandón, Saavedra y Van Rysselberghe.

La indicación número 7, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, agrega entre la palabra “soportan” y el punto final, la siguiente frase: “y/o que se vean afectados eléctrica o mecánicamente”.

- Sometida a votación, esta indicación fue respaldada con enmiendas, en los términos previstos con ocasión de la indicación anterior, por la totalidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Saavedra y Van Rysselberghe.

Número 3

Establece que el ciberespacio es el dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información, los datos (almacenados, procesados o transmitidos) que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Agrega que las infraestructuras tecnológicas corresponden a los equipos materiales empleados para la transmisión de las comunicaciones, tales como enlaces, enrutadores, conmutadores, estaciones, sistemas radiantes, nodos y conductores, entre otros.

Por último, puntualiza que los componentes lógicos de la información, en tanto, son los diferentes softwares que permiten el funcionamiento, administración y uso de la red.

En relación con este numeral se presentaron las indicaciones números 8 y 9.

La indicación número 8, del Honorable Senador señor Insulza, propone sustituir este numeral por el siguiente:

“3. Ciberespacio: ambiente formado por la interconexión e interrelación compleja entre las redes y sistemas de información, los componentes lógicos de la información, los datos almacenados, procesados o transmitidos, y las interacciones sociales que ocurren en aquel.

Los componentes lógicos de la información son los diferentes programas computacionales que permiten el funcionamiento, administración y uso de la red.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativa recomienda acoger esta indicación, toda vez que la definición prevista en ella es más exacta que la del texto aprobado en general. No obstante, detalló, al igual que en oportunidades anteriores y por la misma razón, sugiere reemplazar la expresión “sistemas de información” por “sistemas informáticos”.

- Las Comisiones unidas, por la unanimidad de sus integrantes presentes, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe, aprobaron la indicación con la modificación señalada.

La indicación número 9, de Su Excelencia el Presidente de la República, busca suprimir la frase “que abarcan los dominios físico, virtual y cognitivo”, del texto despachado en general.

- En atención a la aprobación de la indicación anterior, fue rechazada por la totalidad de los miembros presentes de las instancias legislativas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas Comisiones-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

Número 4

Define a la ciberseguridad como el conjunto de acciones destinadas al estudio y manejo de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención, mitigación y respuesta frente a estos, así como para reducir sus efectos y el daño causado, antes, durante y después de su ocurrencia, respecto de los activos informáticos y de servicios.

Al efecto, se formuló la indicación número 10, del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“4. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas de información, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo conformada para el estudio preliminar de las indicaciones estima que la definición sugerida por el Honorable Senador señor Insulza para “ciberseguridad” es mejor que aquella aprobada en general por el Senado, motivo por el cual recomienda su aprobación. Con todo, al igual que en ocasiones anteriores, considera necesario reemplazar la expresión “sistemas de información” por “sistemas informáticos”.

- Puesta en votación la indicación número 10, resultó aprobada con la enmienda consignada precedentemente, por la totalidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

Número 5

Especifica que se entiende por equipo de respuesta a incidentes de seguridad informática o CSIRT a los centros conformados por especialistas multidisciplinarios capacitados para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad, en forma rápida y efectiva, y que actúan según procedimientos y políticas predefinidas, coadyuvando asimismo a mitigar sus efectos.

Sobre este numeral recayeron las indicaciones números 11 y 12.

La indicación número 11, del Honorable Senador señor Insulza, es para reemplazarlo por el siguiente:

“5. Equipo de respuesta a incidentes de seguridad informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.”.

Las Comisiones unidas advirtieron la necesidad de incorporar, entre las palabras “conforme” y “procedimientos”, la preposición “a”.

- Sometida a votación la indicación número 11, fue respaldada con enmiendas meramente formales, por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

La indicación número 12, de Su Excelencia el Presidente de la República, busca sustituir la expresión “coadyuvando asimismo” por la palabra “ayudando”.

- En atención a la aprobación de la indicación anterior, fue rechazada por la totalidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

Número 6

Define la locución “estándares mínimos de ciberseguridad”, señalando que estos corresponden al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica.

Al respecto, se presentaron las indicaciones números 13 y 14.

La indicación número 13, de Su Excelencia el Presidente de la República, reemplaza la frase “el regulador sectorial competente, los cuales deben ser cumplidos por los órganos de la Administración del Estado y por quienes posean infraestructura de la información calificada como crítica”, por el siguiente texto: “la autoridad sectorial competente de conformidad con la presente ley”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expresó que la mesa de asesores recomienda aprobar la sustitución aludida. Detalló que la enmienda propuesta por el Ejecutivo simplifica la definición de la expresión “estándares mínimos de ciberseguridad”, y la ajusta al nuevo modelo regulatorio diseñado. En definitiva, ahondó, podrán ser dictados por la Agencia Nacional de Ciberseguridad o por la autoridad sectorial competente.

El Honorable Senador señor Quintana advirtió que la indicación examinada suprime la referencia a la infraestructura crítica de la información, medida que aseguró no compartir. Por ese motivo, anunció que no la respaldaría.

El Honorable Senador señor Galilea, a su turno, puso de relieve que el reemplazo en estudio no solo simplifica la definición, sino que, además, elimina la posibilidad de que todos quienes posean infraestructura crítica de la información puedan dictar normas de ciberseguridad.

Atendiendo la observación realizada por el legislador que le precedió en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aclaró que el texto aprobado en general por el Senado no faculta a tales actores a dictar reglas de seguridad informática. Esa función, remarcó, corresponde a la Agencia Nacional de Ciberseguridad o al regulador sectorial competente. Las entidades aludidas por Su Señoría, connotó, son los sujetos obligados a su cumplimiento.

En otro orden de ideas, solicitó dejar pendiente el debate y votación de este numeral mientras no se realice el de las indicaciones recaídas en el artículo 6.

En una sesión posterior y luego de zanjarse la redacción del precepto citado, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo sugiere respaldar esta indicación, de manera que haya coherencia con la idea aprobada anteriormente por las Comisiones unidas, relativa a que la facultad normativa quede radicada en la Agencia Nacional de Ciberseguridad o en el regulador sectorial, según corresponda.

- Puesta en votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron esta indicación con enmiendas simplemente formales.

La indicación número 14, del Honorable Senador señor Insulza, sustituye la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

- Esta indicación fue retirada por su autor.

Número 7

Consigna que por gestión de incidente de ciberseguridad se entiende el conjunto ordenado de acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

Sobre este numeral recayeron las indicaciones números 15 y 16.

La indicación número 15, del Honorable Senador señor Insulza, busca reemplazar la frase “Gestión de incidente de ciberseguridad” por su plural “Gestión de incidentes de ciberseguridad”.

- Puesta en votación, fue aprobada por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

La indicación número 16, de Su Excelencia el Presidente de la República, es para suprimir la frase “en la medida de lo posible”.

- Sometida a votación, fue respaldada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

Número 8

Precisa que un incidente de ciberseguridad es todo evento que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o datos informáticos almacenados, transmitidos o procesados, o los servicios correspondientes ofrecidos a través sistemas de telecomunicaciones y su infraestructura, que puedan afectar al normal funcionamiento de los mismos.

Al respecto, se presentó la indicación número 17, del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“8. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes o sistemas informáticos, o la autenticación o no-repudio de los procesos ejecutados o implementados en las redes o sistemas informáticos.”.

El Honorable Senador señor Huenchumilla consultó si las redes o sistemas informáticos pueden ser resilientes.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, fue tajante en señalar que así debiera ser. Ello, justificó, porque inevitablemente serán objeto de ciberataques, y deben tener la capacidad de recuperarse prontamente.

- Puesta en votación la indicación número 17, fue aprobada por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Galilea, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Quintana, Saavedra y Van Rysselberghe.

Número 9

Señala que la infraestructura crítica de la información corresponde a aquellas instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información cuya afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción puede tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

Sobre este numeral recayeron las indicaciones números 18, 19 y 20.

La indicación número 18, de Su Excelencia el Presidente de la República, lo sustituye por el siguiente:

“9. Operadores de importancia vital: institución pública o privada, identificada como tal por la Agencia de conformidad con esta ley, por prestar algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, que depende de las redes y sistemas de información, y cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, propuso dejar pendiente el estudio de esta indicación en tanto no se analicen y voten aquellas recaídas en el artículo 4.

- En una sesión posterior, y luego de determinarse la redacción del artículo 4, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe, respaldaron tal indicación, con una enmienda de adecuación.

La indicación número 19, del Honorable Senador señor Van Rysselberghe, elimina la palabra “instalaciones”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, solicitó no abordar esta indicación mientras no se examinen y resuelvan aquellas formuladas al artículo 4.

- En una sesión posterior, esta indicación fue retirada por su autor.

La indicación número 20, del Honorable Senador señor Van Rysselberghe, sustituye la frase “, y servicios y equipos físicos y de tecnología de la información”, por la siguiente expresión: “y servicios”.

Dando a conocer la opinión de la mesa de trabajo prelegislativo, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, llamó a dejar pendiente el estudio de esta indicación en tanto no se determine la redacción del artículo 4.

- En una sesión posterior, el Honorable Senador señor Van Rysselberghe retiró la indicación de su autoría.

Número 10

Dispone que la red o sistema de información es el medio en virtud del cual dispositivos, redes o plataformas almacenan, procesan o transmiten datos digitales, ya sea a través de redes de comunicaciones electrónicas, dispositivos o cualquier grupo de redes interconectadas o dispositivos o sistemas de información y plataformas relacionadas entre sí.

Respecto de este numeral se formularon las indicaciones números 21 y 22.

La indicación número 21, de Su Excelencia el Presidente de la República, es para reemplazarlo por el que sigue:

“10. Red de datos: conjunto de dispositivos, cables y equipos de comunicaciones que almacenan, procesan o transmiten datos digitales.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda rechazar esta indicación, de manera de acoger la siguiente.

- Respaldando tal sugerencia, las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe, desecharon esta indicación.

La indicación número 22, del Honorable Senador señor Insulza, busca sustituir este número por el siguiente:

“10. Red o sistema de información: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo propone acoger esta indicación, reemplazando la expresión “sistema de información” por “sistema informático”, tal como se ha hecho en ocasiones precedentes, y por la misma razón.

- Puesta en votación, esta indicación resultó aprobada con la enmienda consignada anteriormente, por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe.

Número 11

Establece que se entiende por regulador o fiscalizador sectorial aquellos servicios públicos dentro de cuyas funciones se encuentra la regulación y/o supervigilancia de uno o más sectores regulados.

Sobre este numeral recayó la indicación número 23, de Su Excelencia el Presidente de la República, para consultar, en su lugar, el siguiente:

“11. Autoridad sectorial: aquellos servicios públicos que cuentan con facultades regulatorias, fiscalizadoras y eventualmente sancionatorias respecto de sus regulados.”.

- Sometida a votación, esta indicación fue respaldada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe.

Número 12

Plantea que la resiliencia consiste en la capacidad de las redes o sistemas de información para seguir operando pese a estar sometidos a un incidente de ciberseguridad o ciberataque, aunque sea en un estado degradado, debilitado o segmentado y, también, la capacidad de restaurar con presteza sus funciones esenciales después de un incidente de ciberseguridad o ciberataque, por lo general con un efecto reconocible mínimo.

Al respecto, se presentó la indicación número 24, del Honorable Senador señor Insulza, para reemplazarlo por el que sigue:

“12. Resiliencia: capacidad de las redes o sistemas de información para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes o sistemas de información para recuperar sus funciones después de un incidente de ciberseguridad.”.

Adentrándose en el análisis de esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reveló que el grupo de asesores conformado para facilitar la tramitación del proyecto sugiere respaldarla. Con todo, resaltó que, al igual que en otras oportunidades, se propone sustituir la expresión “sistemas de información” por “sistemas informáticos”.

- En votación, esta indicación fue aprobada con la enmienda citada precedentemente, por la totalidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe.

Número 13

Especifica que riesgo es toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes o sistemas de información. Puntualiza que se puede cuantificar como la probabilidad de materialización de una amenaza que produzca un impacto negativo en éstas.

Sobre este numeral recayó la indicación número 25, del Honorable Senador señor Insulza, para sustituirlo por el siguiente:

“13. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del incidente.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recomendó aprobar esta indicación. No obstante, para evitar redundancias, llamó a reemplazar la locución “del incidente”, la segunda vez que aparece, por “del mismo”.

- Las Comisiones unidas, por la unanimidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe, aprobaron esta indicación con la enmienda formal referida.

Número 14

Define sector regulado como aquel que representa alguna actividad económica estratégica nacional, que se encuentra sometido a la supervigilancia de un regulador o fiscalizador sectorial.

Respecto de este numeral se formuló la indicación número 26, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“14. Sector regulado: aquel sector de la actividad económica que se encuentra sometido a la supervigilancia de un órgano público con facultades suficientes para regular, fiscalizar y eventualmente sancionar.”.

- Puesta en votación, esta indicación fue respaldada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe.

Número 15

Consigna que se entiende por servicios esenciales todo aquel respecto del cual la afectación, degradación, denegación de servicio, interceptación, interrupción o destrucción de su infraestructura de la información pueda afectar gravemente algunos de las áreas indicadas entre los literales a) y e).

Letra a)

“a) La vida o integridad física de las personas;”

Letra b)

“b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones;”

Letra c)

“c) Al normal funcionamiento de obras públicas fiscales y medios de transporte;”

Letra d)

“d) A la generalidad de usuarios o clientes de sistemas necesarios para operaciones financieras, bancarias, de medios de pago y/o que permitan la transacción de dinero o valores; y”

Letra e)

“e) De modo general, el normal desarrollo y bienestar de la población.”.

Sobre este numeral recayó la indicación número 27, de Su Excelencia el Presidente de la República, para sustituirlo por el que sigue:

“15. Servicios esenciales: todo servicio cuya afectación o interrupción tendría un impacto perturbador en el normal funcionamiento de la defensa nacional, la sociedad o la economía.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que la mesa de trabajo prelegislativo estima necesario dejar pendiente la votación de esta indicación en tanto no se determine la redacción del artículo 4 del proyecto.

- En una sesión posterior, y luego de definirse la redacción del artículo 4 de la iniciativa de ley, la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe, aprobó esta indicación.

Número 16

Precisa que por sistema informático se entiende todo dispositivo aislado o el conjunto de ellos, interconectados o relacionados entre sí, incluidos sus soportes lógicos, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.

Al respecto, se presentó la indicación número 28, del Honorable Senador señor Insulza, para reemplazarlo por el siguiente:

“16. Activo informático: toda información almacenada en una red o sistema de información que tenga valor para una persona u organización.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, relató que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda respaldar esta indicación. Sin embargo, advirtió que, al igual que en ocasiones anteriores, sugiere sustituir la expresión “sistema de información” por “sistema informático”.

- Sometida a votación, esta indicación fue aprobada con enmiendas por todos los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe.

°°°°°

Números nuevos

A continuación, se formuló la indicación número 29, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes números, nuevos:

“…. Amenaza persistente avanzada (APT): ataque informático sigiloso, continuo y oculto, dirigido por una compañía, un individuo, un grupo o un Estado, cuyo objetivo es observar, filtrar o modificar datos o recursos de una empresa, una organización o un Estado.”.

Al respecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que la mesa de trabajo prelegislativo discrepa de la idea de incluir la definición del concepto aludido.

- Las Comisiones unidas, por la unanimidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh y Van Rysselberghe, rechazaron esta parte de la indicación.

Otro número, nuevo, cuya incorporación propone la indicación número 29, es el que sigue:

“…. Anonimización: proceso por el cual deja de ser posible establecer por medios razonables el nexo entre un dato y el sujeto al que se refiere, protegiendo así los datos de carácter personal.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó que el grupo de asesores conformado para facilitar la tramitación del proyecto disiente de la idea de incorporar esta definición.

- En votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, rechazaron la inclusión de tal término en esta parte de la indicación número 29.

Luego, la indicación número 29 propone introducir la locución que se transcribe:

“…. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad y Riesgo de la Información y Ciberseguridad – SGSRI.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que la mesa de trabajo prelegislativo recomienda aprobar la incorporación de la expresión aludida, mas sugiere definirla de manera más técnica, de la forma que sigue:

“…. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.”.

- Puesta en votación, esta parte de la indicación número 29 fue aprobada en los términos expuestos, por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Asimismo, la indicación número 29 busca incluir el siguiente número, nuevo, al artículo 2:

“…. Ciberhigiene: conducta personal responsable referida a la actitud de cautela que debe tener un usuario al conectarse a los sistemas informáticos, incluyendo el cuidado de las claves personales, el visitar sitios dudosos y conexiones en redes abiertas, establecer nexos con desconocidos a través de las redes sociales, o compartir información a través de medios extraíbles.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el grupo de asesores conformado para facilitar la tramitación del proyecto valora la idea de agregar esta definición. Con todo, precisó, sugiere reemplazarla por la que sigue:

“…. Ciberhigiene o higiene digital: conjunto de prácticas habituales de las personas para mejorar la gestión segura de datos y proteger redes y sistemas informáticos, que incluyen, entre otros, el cuidado de claves de acceso, la gestión de vulnerabilidades y la actualización de programas y aplicaciones.”.

- Sometida a votación, esta parte de la indicación número 29 fue respaldada con la redacción precedente, por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Adicionalmente, la indicación número 29 propone incorporar el siguiente número, nuevo, al artículo 2:

“…. Confianza digital: integridad, confidencialidad y trazabilidad de los datos e información proveniente de sistemas o equipos que intercambian información o realizan transacciones digitales de cualquier tipo.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseveró que la mesa de trabajo prelegislativo recomienda rechazar la incorporación del concepto consignado. Adujo que tal decisión descansa en que dicho término no es utilizado en el proyecto de ley, a diferencia de otras expresiones como confidencialidad, integridad, disponibilidad, autenticación y no repudio, respecto de las cuales, añadió, existe, además, amplio consenso, toda vez que se condicen con los estándares técnicos internacionales. En consecuencia, concluyó, se sugiere no incluir en la nómina del artículo 2 la referencia a la confianza digital, pero si las palabras citadas, como se detallará más adelante.

- Todos los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, compartieron la idea de rechazar la inclusión de la definición transcrita en esta parte de la indicación número 29.

Por otro lado, la indicación número 29 considera la incorporación del número, nuevo, que sigue al artículo 2:

“…. Integridad: propiedad de la información por la que se garantiza la exactitud de los datos transportados o almacenados, asegurando que no se ha producido su alteración, pérdida o destrucción, ya sea de forma accidental o intencionada, por errores de software o hardware, intervención humana o por condiciones medioambientales.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que el grupo de asesores conformado para facilitar la tramitación del proyecto sugiere aprobar con modificaciones la propuesta anterior. Ahondando en su afirmación, puntualizó que se recomienda una nueva definición para la voz “integridad” y sumar la inclusión de los vocablos “confidencialidad”, “disponibilidad”, “autenticación” y “no repudio”. Previno que todas ellas se emplean en el texto.

Adelantó que, de seguir el consejo de la instancia mencionada, se agregarían a la lista del artículo 2 las siguientes palabras con el significado que en cada caso se menciona:

“.... Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

…. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

…. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

…. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

…. No repudio: propiedad de la información que permite probar su origen.”.

- Puesta en votación, esta parte de la indicación número 29 fue respaldada con las enmiendas anteriores, por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

A continuación, la indicación número 29 propone la inclusión del siguiente número, nuevo, al artículo 2:

“…. Interagencialidad: coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar un objetivo o tarea común del Estado, imposible de lograr de forma independiente.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expresó que la mesa de trabajo prelegislativo sugiere aprobar la voz citada con modificaciones, reemplazando la locución “un objetivo o tarea común del Estado” por “objetivos comunes” y el vocablo “imposible” por su plural “imposibles”.

Pormenorizó que, de apoyarse el criterio del grupo de asesores, el número en análisis quedaría como sigue:

“…. Interagencialidad: coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar objetivos comunes, imposibles de lograr de forma independiente.”.

- Sometida a votación, esta parte de la indicación número 29 fue aprobada con las enmiendas aludidas, por la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Más adelante, la indicación número 29 sugiere la incorporación del número, nuevo, siguiente:

“…. Interoperabilidad: capacidad de los sistemas de información, y por ende de los procedimientos a los que éstos dan soporte, de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos, en tiempo real, habilitando la confianza digital y asegurando la certeza jurídica de los actos digitales.”.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, planteó que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda aprobar con modificaciones la inclusión del concepto, en los términos que se transcribe:

“…. Interoperabilidad: capacidad de los sistemas informáticos de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos en tiempo real.”.

- Las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, respaldó esta parte de indicación número 29 con la enmienda referida.

Seguidamente, la indicación número 29 propone incorporar el siguiente número, nuevo, al artículo 2:

“…. Registro de proveedores de servicios de ciberseguridad: listado o repertorio de las personas naturales y/o jurídicas que realicen, con el fin de proteger las redes y sistemas informáticos, al menos una de las siguientes actividades: implementación de políticas, procedimientos y medidas, consultoría, capacitación, información, investigación, desarrollo, innovación, auditoría, evaluación, prueba de medidas implementadas, gestión de riesgos e incidentes de seguridad.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo discrepa de la idea de incluir el término citado.

- Acogiendo la propuesta anterior, todos los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, rechazaron esta parte de indicación número 29.

Por otra parte, la indicación número 29 sugiere considerar el siguiente número, nuevo, dentro del artículo 2:

“…. Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI: sistema de gestión que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información, y su Ciberseguridad. Incluye la estructura organizativa, las políticas, las actividades de planificación, las responsabilidades, las prácticas, los procedimientos, los procesos, los recursos y la infraestructura física.”.

Pronunciándose sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación del proyecto coincide en la necesidad de introducir la definición consignada. No obstante, acotó, se proponen ciertas modificaciones, de modo que su redacción quede así:

“…. Sistema de gestión de seguridad de la información: conjunto de políticas, procedimientos, guías técnicas, y las actividades y recursos asociados, gestionados colectivamente por una organización para proteger sus activos de información.”.

- Puesta en votación, esta parte de la indicación número 29 resultó aprobada en los términos expuestos, por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Finalmente, la indicación número 29 recomienda incluir el número que se indica al artículo 2:

“…. Trazabilidad: propiedad o característica consistente en que las actuaciones digitales de una entidad pueden ser imputadas exclusivamente a dicha entidad.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que la mesa de trabajo prelegislativo está por desechar la inclusión de este concepto.

- Sometida a votación, esta parte de la indicación fue rechazada por la totalidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

°°°°°

°°°°°

Números nuevos

Seguidamente, el Honorable Senador señor Pugh, formuló la indicación número 30, para consultar los siguientes números, nuevos:

“…. Catálogo nacional de operadores esenciales: la información completa y actualizada relativa a las características específicas de cada uno de los operadores esenciales existentes en el territorio nacional, en los términos que señale la presente ley.

…. Operador de servicios esenciales – OSE: entidad pública o privada que se identifique considerando los factores establecidos en la presente ley.”.

- Esta indicación fue retirada por su autor.

°°°°°

Artículo 3

Establece, por medio de ocho numerales, los principios rectores que deberán observarse en la aplicación de las disposiciones de esta ley.

Número 1

El texto aprobado en general dice lo siguiente:

“1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las ofrece u opera, con independencia de la naturaleza pública o privada del organismo.”.

Al respecto, se formuló la indicación número 31, del Honorable Senador señor Van Rysselberghe, para sustituir la expresión “ofrece u opera” por “desarrolla, ofrece u opera”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expresó que el grupo de asesores conformado para facilitar la tramitación del proyecto valora la modificación anterior. Con todo, apuntó que recomienda reemplazar la voz “desarrolla” por “provee”.

En consecuencia, la redacción quedaría como se expresa a continuación:

“1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las provee, ofrece u opera, con independencia de la naturaleza pública o privada del organismo.”.

- Las Comisiones unidas, por la totalidad de sus legisladores presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, aprobaron la indicación con la enmienda propuesta.

Número 3

Su tenor es el que sigue:

“3. Principio de confidencialidad de los sistemas de información: los datos, conectividad y sistemas deberán ser exclusivamente accedidos por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.”.

Sobre este numeral recayó la indicación número 32, del Honorable Senador señor Insulza, para reemplazar la frase “los datos, conectividad y sistemas deberán ser exclusivamente accedidos” por “la información almacenada o transmitida por redes y sistemas de información deberá ser conocida y accedida exclusivamente”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo sugiere acoger tal indicación, pero sustituyendo la expresión “sistemas de información” por “sistemas informáticos”.

En virtud de tal recomendación, este principio quedaría como se señala:

“3. Principio de confidencialidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos deberá ser conocida y accedida exclusivamente por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.”.

- En votación, esta indicación resultó respaldada con el texto antes referido, por la unanimidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Número 4

La redacción aprobada en general prescribe:

“4. Principio de integridad de los sistemas informáticos y de la información: los datos y elementos de configuración de un sistema solo podrán ser modificados por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.”.

Respecto de este numeral se presentó la indicación número 33, del Honorable Senador señor Insulza, para sustituir la frase “los datos y elementos de configuración de un sistema” por “la información almacenada o transmitida por redes y sistemas de información, incluida la configuración de estos,”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, señaló que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda aprobar esta indicación, reemplazando la expresión “sistemas de información” por “sistemas informáticos”.

En consecuencia, el texto que se sugiere aprobar es el siguiente:

“4. Principio de integridad de los sistemas informáticos y de la información: la información almacenada o transmitida por redes y sistemas informáticos, incluida la configuración de estos, solo podrá ser modificada por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.”.

- Puesta en votación, esta indicación fue respaldada con la enmienda consignada, por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Número 5

Dispone lo que expresa a continuación:

“5. Principio de disponibilidad de los sistemas de información: los datos, conectividad y sistemas deben estar accesibles para su uso a demanda.”.

En relación con este numeral, se formuló la indicación número 34, del Honorable Senador señor Insulza, para reemplazar la frase “los datos, conectividad y sistemas” por “la información almacenada o transmitida por redes y sistemas de información, y las redes y sistemas de información”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que la mesa de trabajo prelegislativo sugiere acoger tal indicación, pero sustituyendo la expresión “sistemas de información” por “sistemas informáticos”.

En virtud de lo anterior, la redacción de este numeral quedaría como sigue:

“5. Principio de disponibilidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos, y las redes y sistemas informáticos deberán estar accesibles para su uso a demanda.”.

- Sometida a votación, esta indicación fue aprobada con la enmienda mencionada, por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Número 6

Establece lo que se transcribe:

“6. Principio de control de daños: los órganos del Estado y aquellas instituciones privadas que posean infraestructura de la información calificada como crítica, en el caso de un incidente de ciberseguridad o de un ciberataque, deben siempre actuar diligentemente y adoptar las medidas necesarias para evitar la escalada del incidente de ciberseguridad o del ciberataque y su posible propagación a otros sistemas informáticos, notificando de igual forma el incidente de ciberseguridad al CSIRT respectivo.”.

Al respecto, se presentaron las indicaciones números 35, 36 y 37.

La indicación número 35, de Su Excelencia el Presidente de la República, es para sustituirlo por el siguiente:

“6. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad, todos los órganos del Estado, así como las instituciones privadas, deberán siempre actuar diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que el grupo de asesores conformado para facilitar la tramitación del proyecto comparte la propuesta del Primer Mandatario. Sin embargo, observó, sugiere aprobarla con modificaciones, a fin de reemplazar la expresión “órganos del Estado” por “organismos del Estado”, como lo recomienda la indicación siguiente.

- Las Comisiones unidas, por la totalidad de sus legisladores presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron la indicación con la enmienda citada.

La indicación número 36, del Honorable Senador señor Insulza, busca reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

- En votación, las Comisiones unidas, por la unanimidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron la indicación.

La indicación número 37, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, es para intercalar entre las palabras “necesarias” y “para”, la siguiente frase: “en un plazo no superior a 24 horas,”.

- Puesta en votación, las Comisiones unidas, por la totalidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, rechazaron la indicación.

Número 7

El texto aprobado en general prescribe:

“7. Principio de cooperación con la autoridad: los órganos de la Administración del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad, y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.”.

Sobre este numeral recayó la indicación número 38, del Honorable Senador señor Insulza, para sustituir la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que la mesa de trabajo prelegislativo recomienda aprobar la indicación anterior.

Al efecto, las Comisiones unidas advirtieron que el reemplazo sugerido extiende el ámbito de aplicación de la ley, obligando a observar el principio de cooperación con la autoridad a todos los organismos del Estado y no solo a aquellos dependientes de su Administración. Por consiguiente, previno, la indicación en examen aborda una materia de iniciativa exclusiva de Su Excelencia el Presidente de la República, conforme lo dispone el artículo 65, inciso cuarto, número 2°, de la Constitución Política de la República.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo acogerá la proposición analizada.

- Habida cuenta del compromiso enunciado, las Comisiones unidas aprobaron ad referéndum la indicación, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 38 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 38, se entiende recogida en la indicación número 38 bis.

Número 8

El texto aprobado en general reza lo que se expresa a continuación:

“8. Principio de especialidad en la sanción: en materia sancionatoria, se preferirá la aplicación de la regulación sectorial por sobre la establecida en esta ley.”.

Respecto de este numeral se formularon las indicaciones números 39 y 40.

La indicación número 39, de Su Excelencia el Presidente de la República, lo reemplaza por el siguiente:

“8. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.”.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron la indicación.

La indicación número 40, del Honorable Senador señor Van Rysselberghe, lo sustituye por el que sigue:

“8. Principio de especialidad: en materia regulatoria y sancionatoria, se preferirá la aplicación de lo dispuesto por el regulador o fiscalizador sectorial por sobre la establecida en esta ley.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, planteó que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda dejar pendiente el examen de esta indicación, a fin de abordarla de forma conjunta con el artículo 7.

- En una sesión posterior, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, rechazaron esta indicación.

°°°°°

Número nuevo

Asimismo, se presentó la indicación número 41, de Su Excelencia el Presidente de la República, para incorporar el siguiente numeral, nuevo, consultado como número 9:

“9. Principio de igualdad y no discriminación: para que todas las personas tengan garantizado el disfrute de sus derechos y libertades fundamentales en el entorno digital se deberán priorizar aquellos programas, proyectos y acciones dirigidos a la protección de la seguridad informática, especialmente de niños, niñas y adolescentes, mujeres, personas de la tercera edad, diversidades y disidencias sexuales y de género.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que la mesa de trabajo prelegislativo sugiere desechar esta indicación, a fin de acoger la que sigue.

- Las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, rechazaron esta indicación.

°°°°°

°°°°°

Número nuevo

También se formuló la indicación número 42, del Honorable Senador señor Insulza, para consultar el siguiente número 9, nuevo:

“9. Principio de igualdad y no discriminación: todas las personas tienen derecho a participar de un espacio digital seguro y libre de violencia. El Estado desarrollará acciones de prevención, promoción, reparación y garantía de este derecho, otorgando especial protección a mujeres, niñas, niños, jóvenes, personas de la tercera edad y disidencias sexogenéricas.”.

El Honorable Senador señor Huenchumilla preguntó por el empleo de la locución “disidencias sexogenéricas”.

Atendiendo la inquietud del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que, actualmente, para hacer referencia a las diversidades sexuales y de identidad de género se utiliza la expresión mencionada. A mayor abundamiento, sentenció, es la más apropiada para evitar discriminaciones.

Las Comisiones unidas alertaron que la indicación en estudio aborda materias de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo dispuesto en el artículo 65, inciso cuarto, número 2°, del Texto Supremo.

En relación con el reparo consignado, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo acogerá la propuesta del Honorable Senador señor Insulza, en una futura indicación.

- Por consiguiente, puesta en votación ad referéndum, esta indicación contó con el voto favorable de la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 42 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 42, se entiende recogida en la indicación número 42 bis.

°°°°°

°°°°°

Números nuevos

Además, se presentó la indicación número 43, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar los siguientes numerales, nuevos.

El primero de ellos es el que se transcribe:

“…. Principio de confianza cero: iniciativa de carácter estratégico que elimina el concepto de confianza en una red de datos, hasta que ésta sea vulnerada. Se basa en el concepto “No confiar nunca, verificar siempre”, y asume que cada transacción, entidad e identidad no son de confianza hasta que se establece la confianza y se mantiene a lo largo del tiempo.”.

En lo que concierne al principio referido, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, puso de relieve que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda rechazar su inclusión.

El Honorable Senador señor Pugh remarcó que el principio objeto de análisis es empleado en la legislación comparada, iluminando la operación de sistemas informáticos en la dirección señalada.

Reconoció que la confianza cero no queda adecuadamente articulada dentro del texto legal. Con todo, anheló su consideración en el reglamento de esta futura ley, de modo de incentivar el cambio de cultural y hacer ver los riesgos que se desprenden de la manipulación del conjunto de elementos físicos y lógicos capaces de guardar y procesar información.

- Sometida a votación, esta parte de la indicación número 43 fue rechazada por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Otro número cuya incorporación se propone al artículo 3 es el que se señala:

“…. Principio de actualización y reutilización: en cuya virtud los órganos de la Administración del Estado deberán actualizar sus plataformas a tecnologías no obsoletas o carentes de soporte, así como generar medidas que permitan el rescate de los contenidos de formatos de archivo electrónicos que caigan en desuso y el empleo de algoritmos que se mantengan vigentes.”.

En lo que atañe a este principio, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que la mesa de trabajo prelegislativo celebra su inclusión. Con todo, puntualizó, sugiere modificar su redacción, quedando de la manera que sigue:

“…Principio de actualización de programas computacionales: los organismos públicos e instituciones privadas adoptarán las medidas necesarias para la instalación de las actualizaciones de seguridad de los sistemas informáticos que usen o administren, dando prioridad a aquellas que solucionen vulnerabilidades graves.”.

Las Comisiones unidas estuvieron contestes en que este principio dice relación con materias de iniciativa exclusiva de Su Excelencia el Presidente de la República, según lo previsto en el artículo 65, inciso cuarto, número 2°, de la Carta Fundamental.

Pronunciándose sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo respaldará la indicación en estudio en lo que refiere a este principio.

- Habida cuenta del compromiso adquirido, las Comisiones unidas, por la unanimidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron ad referéndum con enmiendas esta parte de la indicación número 43.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 43 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 43, se entiende recogida en la indicación número 43 bis.

El siguiente numeral que se sugiere considerar en el artículo 3 es el que se señala:

“…. Principio de cooperación: en cuya virtud los distintos órganos de la Administración del Estado deben cooperar efectivamente entre sí en la utilización de medios electrónicos, anonimizando datos cuando así sea necesario.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, hizo hincapié en que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda rechazar su inclusión.

- En votación esta parte de la indicación número 43, resultó rechazada por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Asimismo, la indicación número 43 recomienda incluir el siguiente numeral al artículo 3:

“…. Principio de interoperabilidad: consiste en que los medios electrónicos deben ser capaces de interactuar y operar entre sí al interior de la Administración del Estado, a través de estándares abiertos que permitan una segura y expedita interconexión entre ellos, dándole certeza jurídica a todos los actos digitales.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que la instancia prelegislativa discrepa de la idea de incorporar el principio referido.

El Honorable Senador señor Pugh puso de relieve que la interoperabilidad constituye una materia de suma importancia que se vincula con la ley N° 21.180, sobre transformación digital del Estado. Sin embargo, connotó, requiere un cuerpo legal específico.

A la luz de lo expuesto, instó al Ejecutivo a presentar una iniciativa de ley sobre gobernanza de la interoperabilidad, siguiendo el modelo europeo, que es el que ha demostrado mejores resultados. Solo así, enfatizó, el Estado será exitoso en el mundo digital.

- Puesta en votación, esta parte de la indicación número 43 fue rechazada por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Por último, la indicación número 43 sugiere incorporar el siguiente numeral al artículo 3:

“…. Principio de no obsolescencia tecnológica: el uso de programas y equipos actualizados, de origen determinado, con procesos de mantención, actualización y certificaciones al día, propuestos por los proveedores o desarrolladores. Los equipos y programas que no cuenten con soporte técnico responsable, deberán ser reemplazados en un período no superior a 6 meses desde su caducidad.”.

Acerca de tal propuesta, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el grupo de asesores conformado para facilitar la tramitación del proyecto aún no ha alcanzado un acuerdo respecto de su redacción, motivo por el cual sugiere dejar pendiente su votación.

En la sesión posterior, el Honorable Senador señor Pugh sostuvo que la obsolescencia es una variable esencial en el marco de la ciberseguridad, puesto que el rápido avance de la tecnología conlleva que los equipamientos, procedimientos y protocolos queden en desuso de un momento a otro. Con todo, planteó que este principio debiera recogerse en el sistema integrado de gestión de riesgos del país.

Por su parte, el Honorable Senador señor Saavedra notó que la no obsolescencia tecnológica es una medida fundamental para la seguridad, y obliga a reemplazar oportunamente los equipos y softwares.

- Sometida a votación, esta parte de la indicación número 43 fue rechazada por seis votos en contra, de los Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Ossandón, Saavedra -en su condición de miembro de ambas Comisiones- y Van Rysselberghe, y una abstención, del Honorable Senador señor Pugh.

°°°°°

TÍTULO II

Lleva por epígrafe “De la determinación de Infraestructura Crítica de la Información”.

En relación con el título referido, se formuló la indicación número 44, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para suprimirlo.

- Esta indicación fue rechazada por la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Ossandón, Pugh, Saavedra -en su condición de miembro de ambas Comisiones- y Van Rysselberghe.

EPÍGRAFE

Sobre él recayó la indicación número 45, de Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“TÍTULO II

Obligaciones de ciberseguridad”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que esta indicación, así como aquellas formuladas por el Primer Mandatario a los artículos 4, 5 y 6 del texto aprobado en general, reemplazan la referencia a las infraestructuras críticas de la información por otras relativas a los servicios esenciales y operadores de importancia vital.

Adelantó que en el grupo de asesores conformado para facilitar la tramitación de la propuesta legal hay consenso respecto del cambio citado, pese a lo cual se introducen algunas modificaciones menores que se detallarán oportunamente.

- En votación, esta indicación fue respaldada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

PÁRRAFO 1°

Se denomina “Determinación de la infraestructura crítica de la información”.

EPÍGRAFE

Al efecto, se presentó la indicación número 46, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Párrafo 1°

Servicios esenciales y operadores de importancia vital”.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe, aprobaron esta indicación.

ARTÍCULO 4

Señala el procedimiento y los factores a tener en consideración para determinar si un sector o institución posee infraestructura de la información que deba calificarse como crítica.

Inciso primero

Su tenor literal es el siguiente:

“Artículo 4. Calificación de la infraestructura de la información como crítica. Cada dos años, el Ministerio del Interior y Seguridad Pública requerirá al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que detalle cuáles son aquellos sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica.”.

Inciso segundo

Especifica, por medio de cuatro literales, los factores a atender para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica.

Letra a)

Reza lo siguiente:

“a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas; y

iv. La seguridad nacional y el ejercicio de la soberanía.”.

Letra b)

Consiga lo que sigue:

“b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.”.

Letra c)

Prescribe lo que se indica:

“c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).”.

Letra d)

Señala lo siguiente:

“d) Afectación relevante del funcionamiento del Estado y sus órganos.”.

Inciso tercero

Dispone que, dentro de los ciento veinte días siguientes a la recepción del informe, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Acota que se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Inciso cuarto

Consigna que, sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

En relación con el precepto referido se formularon las indicaciones números 47, 48, 49 y 50.

La indicación número 47, de Su Excelencia el Presidente de la República, es para sustituirlo por el siguiente:

“Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital. En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas de información, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La dependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente, y

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deban calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial de Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial de Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que la mesa de trabajo prelegislativo recomienda aprobar la indicación con modificaciones. Estas, puntualizó, consisten en reemplazar, en el literal b) del inciso tercero, la expresión “de información” por “informáticos”, como se ha hecho en otras oportunidades; en sustituir, en el inciso cuarto, letra b), la voz “dependencia” por “interdependencia”, de manera hacer ver que la sujeción puede ser multidireccional y no solo jerárquica, y en incorporar dos nuevos factores que permitirán determinar si el impacto de un incidente de ciberseguridad puede ser perturbador. Estos últimos, relató, son la afectación relevante del funcionamiento del Estado y sus organismos y el daño reputacional que pueda ocasionarse.

Reveló que, de acogerse la sugerencia aludida, la redacción del artículo 4 del proyecto de ley quedaría como sigue:

“Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital. En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas informáticos, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La interdependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente;

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio;

g) La afectación relevante del funcionamiento del Estado y sus organismos, y

h) El daño reputacional que pueda ocasionarse.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deban calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial sobre Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial sobre Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.”.

El Honorable Senador señor Pugh celebró el consenso alcanzado respecto de materias tan trascendentes como la interdependencia entre el sistema eléctrico y el informático, de modo que los operadores de importancia vital cuenten con todos los elementos para llevar a cabo adecuadamente sus funciones.

En línea con lo señalado, previno que es indispensable cambiar algunos aspectos. Detalló que en la actualidad ciertos medios de comunicación deben esperar la restitución el servicio eléctrico para asegurar su actividad. La idea, anheló, es que haya un solo estándar y que, por lo tanto, todos los servicios esenciales objeto de una afectación estén obligados a reaccionar de la misma manera.

Adicionalmente, destacó los dos nuevos literales incorporados al inciso cuarto. Fijando su atención en el segundo, pormenorizó que el daño reputacional debe afectar las actividades desarrolladas o la disponibilidad de los servicios. Con todo, enunció que el reglamento proporcionará mayores antecedentes sobre el particular.

- Puesta en votación, la indicación número 47 fue aprobada con las enmiendas consignadas, por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

La indicación número 48, del Honorable Senador señor Van Rysselberghe, recaída en el inciso primero del artículo 4, es para reemplazar la expresión “al Consejo Técnico de”, por la vocal “a”.

- Esta indicación fue retirada por su autor.

La indicación número 49, del Honorable Senador señor Insulza, busca sustituir, en la letra b) del inciso segundo del artículo referido, la frase “del sistema informático, red o sistema de información” por “red o sistema de información”.

- Esta indicación fue retirada por su autor.

La indicación número 50, del Honorable Senador señor Insulza, es para suprimir el inciso final del precepto analizado.

- Al igual que la anterior, esta indicación fue retirada por su autor.

PÁRRAFO 2°

EPÍGRAFE

Esta parte del Título II reza lo que sigue:

“Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica”.

Al respecto, se presentó la indicación número 51, de Su Excelencia el Presidente de la República, para sustituir su denominación por la siguiente:

“Párrafo 2°

Obligaciones de ciberseguridad”.

- Sometida a votación, esta indicación fue respaldada por la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

ARTÍCULO 5

Fija las obligaciones generales que deberán cumplir las instituciones que poseen infraestructura de la información calificada como crítica. Su tenor literal es el siguiente:

“Artículo 5. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley.”.

Sobre la norma transcrita recayeron las indicaciones números 52, 53, 54 y 55.

La indicación número 52, de Su Excelencia el Presidente de la República, es para reemplazar este artículo por la siguiente:

“Artículo 5. Deberes generales. Será obligación de los órganos de la Administración del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado, de conformidad con lo prescrito en la presente ley.

En el caso de los órganos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.”.

Explicando la propuesta del grupo de asesores conformado para facilitar la tramitación del proyecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que este recomienda aprobar la indicación en análisis, con ciertas adecuaciones, para que haya coherencia con el texto aprobado previamente. Precisó que estas últimas son las siguientes:

- Reemplazar, en el inciso primero, la frase “órganos de la Administración del Estado” por “organismos del Estado”;

- Sustituir, en el inciso tercero, la voz “órganos” por “organismos”, y

- Agregar el siguiente inciso, nuevo:

“Para efectos de emitir los protocolos y estándares a los que se refiere el inciso anterior, la Agencia deberá solicitar informe previo de la autoridad sectorial competente, el que deberá ser evacuado a más tardar dentro el plazo de treinta días hábiles, sin perjuicio de lo dispuesto en el artículo 22 respecto de las instituciones financieras fiscalizadas por la Comisión para el Mercado Financiero.”.

Deteniéndose en la última enmienda, especificó que permite consagrar expresamente el deber de coordinación de la Agencia Nacional de Ciberseguridad con cualquier otra autoridad sectorial que requiera dictar normas técnicas en materia de seguridad informática.

Connotó que, de acogerse los planteamientos de la instancia prelegislativa, la redacción del artículo 5 quedaría de la manera que se transcribe a continuación:

“Artículo 5. Deberes generales. Será obligación de los organismos del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado de conformidad con lo prescrito en la presente ley.

En el caso de los organismos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Para efectos de emitir los protocolos y estándares a los que se refiere el inciso anterior, la Agencia deberá solicitar informe previo de la autoridad sectorial competente, el que deberá ser evacuado a más tardar dentro el plazo de 30 días hábiles, sin perjuicio de lo dispuesto en el artículo 22 respecto de las instituciones financieras fiscalizadas por la Comisión para el Mercado Financiero.”.

No obstante, anunció que la indicación número 55 propone incorporar al precepto transcrito un inciso final.

- En votación la indicación número 52, fue aprobada con las enmiendas referidas por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

La indicación número 53, del Honorable Senador señor Insulza, sustituye la expresión “órganos del Estado” por “organismos del Estado”.

- Esta indicación fue respaldada por la totalidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

La indicación número 54, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, reemplaza la frase “físicas e informativas”, por la siguiente: “físicas, informativas y de trazabilidad”.

- Puesta en votación, esta indicación fue rechazada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

La indicación número 55, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, agrega a continuación del punto final, que pasa a ser punto y seguido, el siguiente texto: “Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el grupo de asesores conformado para facilitar la tramitación del proyecto recomienda aprobar con modificaciones esta indicación. Concretamente, concluyó, se propone transformar la oración sugerida en un inciso final, nuevo, del artículo 5, con el tenor que sigue:

"Se prohíbe a los organismos e instituciones señalados en el inciso primero, realizar pagos de cualquier tipo por rescate ante ataques de secuestro digital o ransomware, ya sea que dichos ataques causen la inoperatividad de los sistemas o amenacen con exponer la información exfiltrada.”.

Las Comisiones unidas advirtieron que la materia cuya regulación se propone constituye un asunto de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo dispuesto en el artículo 65, inciso cuarto, número 2°, de la Constitución Política de la República.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo acogerá esta propuesta en una futura indicación.

El Honorable Senador señor Pugh, en tanto, puso de relieve que el inciso final acordado busca erradicar el pago de los organismos del Estado y de las instituciones privadas ante el secuestro de sus datos. Tal medida, enfatizó, evitará que este ilícito siga escalando y posicionará a Chile como un pionero ético digital. Además, resaltó, obligará a considerar herramientas de protección efectiva.

- Habida cuenta del compromiso asumido por el Ejecutivo, la indicación número 55 fue aprobada con enmiendas, ad referéndum, por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 55 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 55, se entiende recogida en la indicación número 55 bis.

ARTÍCULO 6

El texto aprobado en general prescribe lo siguiente en su encabezamiento:

“Artículo 6. Deberes específicos. Los órganos del Estado señalados en el inciso final del artículo 4º y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

En relación con la denominación de este artículo -“Deberes específicos”-, se presentó la indicación número 56, para reemplazarla por la siguiente:

“Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales.”.

- Puesta en votación, esta indicación contó con el respaldo de la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Respecto del encabezamiento de la mencionada disposición, se formularon las indicaciones 57 y 58.

La indicación número 57, de Su Excelencia el Presidente de la República, es para sustituirlo por el siguiente: “Todos los órganos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, postuló que la mesa de trabajo prelegislativo propone reemplazar la voz “órganos” por “organismos”.

Aclarado lo anterior, afirmó que, de acogerse esta indicación, el encabezamiento del artículo 6 sería coherente con la redacción aprobada para los artículos 4 y 5, y quedaría de la siguiente manera:

“Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales. Todos los organismos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:”.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron la indicación con la enmienda aludida.

La indicación número 58, del Honorable Senador señor Insulza, busca reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

- Esta indicación fue aprobada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra a)

Contempla como primer deber específico, el que se expresa:

“a) Implementar un sistema de gestión de riesgo permanente con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema debe contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.”.

Sobre este literal recayeron las indicaciones números 59, 60 y 61.

La indicación número 59, de Su Excelencia el Presidente de la República, sustituye la voz “permanente”, por la palabra “continuo”.

El Honorable Senador señor Pugh celebró la propuesta del Ejecutivo. Sin embargo, estimó necesario aprobarla con enmiendas, a fin de reemplazar la frase “un sistema de gestión de riesgo permanente” por “un sistema de gestión de seguridad de la información continuo”.

Las Comisiones unidas estuvieron contestes en respaldar la sugerencia de Su Señoría.

- Sometida a votación, esta indicación fue aprobada con la enmienda referida y otra de carácter formal por la totalidad de los legisladores presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 60, del Honorable Senador señor Insulza, suprime la frase “y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad.”

- En votación, esta indicación contó con el voto favorable de la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 61, del Honorable Senador señor Insulza, reemplaza la expresión “determinar la gravedad” por “estimar tanto la probabilidad como el impacto”.

Las Comisiones unidas estimaron que la indicación analizada recae en una materia de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo previsto en el artículo 65, inciso cuarto, número 2°, del Texto Supremo.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que el Ejecutivo acompañaría la indicación pertinente.

- Habida cuenta del compromiso asumido por el representante del Gobierno, la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobó ad referéndum esta indicación.

Cabe destacar que, en virtud de los acuerdos anteriores, el literal en debate quedaría como sigue:

“a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio. Dicho sistema debe contar con la capacidad de estimar tanto la probabilidad como el impacto de las consecuencias de un incidente de ciberseguridad.”.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 61 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 61, se entiende recogida en la indicación número 61 bis.

Letra c)

Considera como segundo deber específico:

“c) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos una vez al año.”.

Al respecto, se presentaron las indicaciones números 62 y 63, ambas de Su Excelencia el Presidente de la República.

La indicación número 62 es para agregar, a continuación de la expresión “ciberseguridad”, la frase “,certificados por un centro de certificación acreditado o por la Agencia, según sea el caso”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, hizo presente que la indicación número 144, de Su Excelencia el Presidente de la República, que recae en el artículo 26, regula los centros de certificación acreditados.

- Puesta en votación, esta indicación fue respaldada por la totalidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 63, por su lado, busca sustituir la frase “periódicamente, a lo menos una vez al año”, por la siguiente: “y certificados periódicamente”.

El Honorable Senador señor Pugh celebró la decisión de no fijar una fecha para la actualización de los planes de continuidad operacional y ciberseguridad. Argumentó que tal medida permitirá renovarlos en la oportunidad que corresponda, lo que dependerá de las condiciones de riesgo, dando, por lo tanto, flexibilidad.

En sintonía con lo expuesto, relató que en algunos países dichos instrumentos se modernizan cada seis meses.

- Sometida a votación, esta indicación fue apoyada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Cabe mencionar que, en virtud de los acuerdos precedentes, el tenor de este literal sería:

“c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados por un centro de certificación acreditado o por la Agencia, según sea el caso. Dichos planes deberán ser actualizados y certificados periódicamente.”.

Letra e)

Dispone lo siguiente:

“e) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.”.

En relación con este literal se formuló la indicación número 64, de Su Excelencia el Presidente de la República, para intercalar, entre las voces “Adoptar” y “las medidas”, la expresión “de forma oportuna y expedita”.

En consecuencia, el literal quedaría de la manera que se transcribe a continuación:

“e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.”.

-Esta indicación contó con el voto favorable de todos los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

°°°°°

Letra nueva

Adicionalmente, se presentó la indicación número 65, de Su Excelencia el Presidente de la República, para agregar el siguiente literal, nuevo, contemplado como letra g):

“g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus redes o sistemas informáticos, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior, conforme a las instrucciones generales y particulares que al efecto dicte la Agencia.”.

- Las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación.

°°°°°

°°°°°

Letra nueva

Asimismo, Su Excelencia el Presidente de la República formuló la indicación número 66, para incorporar la siguiente letra, nueva, consultada como letra h):

“h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo recomienda aprobar esta indicación con modificaciones, a fin de insertar, en la letra h) propuesta, luego de la voz “colaboradores”, la frase “, que incluyan campañas de ciberhigiene”.

En virtud de lo anterior, este literal quedaría:

“h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.”.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación con la enmienda señalada.

°°°°°

°°°°°

Letra nueva

Por otro lado, Su Excelencia el Presidente de la República presentó la indicación número 67, para agregar una letra, nueva, consultada como letra i):

“i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de la máxima autoridad de la institución a la que pertenece.”.

- Las Comisiones unidas, por la unanimidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación.

°°°°°

°°°°°

Inciso nuevo

Finalmente, en relación con el artículo 6, Su Excelencia el Presidente de la República formuló la indicación número 68, para agregar el siguiente inciso segundo, nuevo:

“Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los órganos del Estado con competencias específicas sobre servicios esenciales.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación del proyecto sugiere acoger la indicación en estudio. Con todo, al igual que en oportunidades anteriores, se propone reemplazar la palabra “órganos” por “organismos”.

De apoyarse tal recomendación, la redacción del inciso segundo del artículo 6 quedaría como sigue:

“Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los organismos del Estado con competencias específicas sobre servicios esenciales.”.

- Todos los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación con la enmienda consignada.

°°°°°

ARTÍCULO 7

Confiere facultades normativas a los reguladores o fiscalizadores sectoriales. Su redacción literal es la que se consigna:

“Artículo 7. Facultades normativas. Los reguladores o fiscalizadores sectoriales podrán dictar instrucciones, circulares, órdenes, normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares de ciberseguridad respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva, las que deberán considerar, a lo menos, los estándares establecidos por la Agencia Nacional de Ciberseguridad.”.

Sobre este precepto recayó la indicación número 69, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar deberá cumplirse en un plazo inferior a tres horas contadas desde que se tuvo conocimiento del evento respectivo. Este plazo podrá ser prorrogado por una sola vez y con la sola finalidad de recabar mayores detalles, siempre que la prórroga sea solicitada dentro del plazo original de tres horas.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes, plataformas y sistemas informáticos de los órganos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el Gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo juzga indispensable aprobar la indicación con modificaciones, a objeto de precisar, en el inciso segundo, en qué oportunidad y con qué finalidad puede solicitarse la prórroga de la obligación de reportar. Para ello, pormenorizó, se sugiere sustituir la oración final del inciso segundo por la siguiente:

“La entidad informante podrá solicitar la prórroga de dicho plazo por una sola vez y mientras se encuentre este vigente, con la sola finalidad de recabar mayores antecedentes.”.

A mayor abundamiento, planteó que, de apoyarse el criterio referido, el tenor literal del artículo 7 sería el que sigue:

“Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar deberá cumplirse en un plazo inferior a tres horas contadas desde que se tuvo conocimiento del evento respectivo. La entidad informante podrá solicitar la prórroga de dicho plazo por una sola vez y mientras se encuentre este vigente, con la sola finalidad de recabar mayores antecedentes.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.”.

- Las Comisiones unidas, con el voto favorable de la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron la indicación número 69, con enmiendas.

ARTÍCULO 8

Crea la Agencia Nacional de Ciberseguridad. Su tenor literal es el que sigue:

“Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial, y que posea infraestructura de la información calificada como crítica, según los preceptos de esta ley. Se relacionará con el Presidente de la República por intermedio del Ministerio del Interior y Seguridad Pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras localidades o regiones del país.”.

Al respecto, se presentaron las indicaciones números 70 y 71.

La indicación número 70, de Su Excelencia el Presidente de la República, es para reemplazarlo por el siguiente:

“Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los órganos públicos en materia de ciberseguridad.

La Agencia deberá regular y fiscalizar las acciones de los órganos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que la mesa de trabajo prelegislativo recomienda aprobar esta indicación, sin perjuicio de introducirle ciertas modificaciones. Puntualizó que estas últimas consisten en reemplazar, en el inciso primero, la expresión “órganos públicos” por “organismos de la Administración del Estado”, de modo de respetar el carácter autónomo de ciertas instituciones, y en sustituir, en el inciso segundo, la frase “regular y fiscalizar” por “regular, fiscalizar y sancionar”, además de la palabra “órganos” por “organismos”.

Detalló que, de apoyarse la sugerencia del equipo de asesores, la redacción del artículo 8 quedaría como sigue:

“Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

La Agencia deberá regular, fiscalizar y sancionar las acciones de los organismos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.”.

- Puesta en votación, esta indicación fue aprobada con las enmiendas referidas, por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 71, del Honorable Senador señor Insulza, recaída solo en el inciso primero del precepto referido, busca sustituir la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

- Las Comisiones unidas, con el voto favorable de todos sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación.

ARTÍCULO 9

Establece, por medio de dieciséis letras, las atribuciones con las que contará la Agencia Nacional de Ciberseguridad para dar cumplimiento a su objeto.

Letra a)

Considera como primera facultad asesorar al Presidente de la República, en el análisis y definiciones de la política nacional de ciberseguridad, así como los planes y programas de acción específicos para su ejecución y cumplimiento, así como en temas relativos a estrategias de avance en su implementación.

En relación con este literal, se formuló la indicación número 72, de Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue:

“a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.”.

- En votación, las Comisiones unidas, con el voto favorable de todos sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

Letra b)

Contempla como atribución de la Agencia Nacional de Ciberseguridad dictar normas técnicas de carácter general y los estándares mínimos de ciberseguridad e impartir instrucciones particulares para los órganos de la Administración del Estado y para los privados cuya infraestructura de la información sea calificada como crítica y no se encuentren sometidos a la regulación o fiscalización de un regulador o fiscalizador sectorial, según corresponda.

Sobre este literal recayeron las indicaciones números 73, 74 y 75.

La indicación número 73, de Su Excelencia el Presidente de la República, lo sustituye por el siguiente:

“b) Dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación del proyecto sugiere aprobar la indicación en estudio, pero incorporando una oración inicial al literal b), con el objeto de dejar claramente establecido que la Agencia Nacional de Ciberseguridad podrá dictar las disposiciones para la aplicación y cumplimiento de las leyes y reglamentos.

Manifestó que, de apoyarse tal recomendación, la redacción de la letra b) del artículo 9 sería la que sigue:

“b) Dictar las disposiciones para la aplicación y el cumplimiento de las leyes y reglamentos y, en general, dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.”.

Para finalizar, observó que la oración cuya inclusión se sugiere es similar a la prevista en el número 1 del artículo 5° de la ley N° 21.000, que crea la Comisión para el Mercado Financiero.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación con la enmienda señalada.

La indicación número 74, del Honorable Senador señor Insulza, reemplaza la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, advirtió que la redacción del literal b), conforme a lo aprobado recientemente, no alude a la expresión cuya sustitución se propone.

- Por tal razón, esta indicación fue retirada por su autor.

La indicación número 75, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, agrega, a continuación del punto final de la letra b), que pasa a ser punto y seguido, lo siguiente: “Asimismo, podrá dictar normas de carácter general y las normas técnicas que sean necesarias para establecer los estándares particulares o mínimos de ciberseguridad que los reguladores o fiscalizadores sectoriales deban exigir respecto de sus regulados o fiscalizados, de conformidad a la regulación sectorial respectiva.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que la mesa de trabajo sugiere dejar pendiente la discusión y la votación de esta indicación en tanto no se defina la redacción del artículo 22.

- En una sesión posterior, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, rechazaron esta indicación.

Letra c)

Fija como facultad del órgano aludido proponer al Ministro del Interior y Seguridad Pública las normas legales y reglamentarias que se requieran para asegurar el acceso libre y seguro al ciberespacio, así como aquellas que estén dentro del marco de su competencia.

Respecto de este literal se presentaron las indicaciones números 76 y 77.

La indicación número 76, de Su Excelencia el Presidente de la República, es para reemplazarlo por el que se señala a continuación:

“c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad y los protocolos y estándares técnicos, las instrucciones generales y particulares que dicte la Agencia.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseveró que la indicación en estudio simplifica el proceso de aplicación e interpretación administrativa de las normas sobre ciberseguridad.

El Honorable Senador señor Huenchumilla llamó a tener en cuenta que la interpretación administrativa de las disposiciones es materia de competencia de la Contraloría General de la República.

Atendiendo la observación del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, fue tajante en asegurar que tal función corresponde también a aquellos organismos públicos que tienen facultades fiscalizadoras y sancionadoras, sin perjuicio de las atribuciones del órgano autónomo citado.

Por su lado, el Honorable Senador señor Insulza consideró necesario introducir modificaciones de orden formal en la indicación, a fin de perfeccionar la redacción de la letra c) del artículo 9.

A su vez, el Honorable Senador señor Huenchumilla apuntó que el organismo a cargo de la seguridad informática tendrá la facultad de dictar normas, así como también la de interpretarlas y la de aplicarlas.

Al respecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recordó que tal como acontece en el caso de las Superintendencias, habrá un control administrativo y judicial posterior de la cuestionada labor.

Acogiendo las observaciones de carácter formal del Honorable Senador señor Insulza, el texto de este literal quedaría como sigue:

“c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.”.

- Puesta en votación, las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación con las citadas enmiendas de orden formal.

La indicación número 77, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, busca sustituir la frase “al Ministro del Interior y Seguridad Pública”, por la siguiente: “a los Ministros del Interior y Seguridad Pública, y de Transportes y Telecomunicaciones”.

- Sometida a votación, esta indicación fue rechazada por siete votos en contra, de los Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh, Quintana, Saavedra y Van Rysselberghe, y una abstención, del Honorable Senador señor Ossandón.

Letra d)

El texto aprobado en general es el que se transcribe:

“d) Coordinar a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.”.

En relación con este literal se formularon las indicaciones números 78, 79 y 80.

La indicación número 78, de Su Excelencia el Presidente de la República, es para consultar, en su lugar, el siguiente:

“d) Coordinar y supervisar a los CSIRT Sectoriales existentes; a aquellos que pertenezcan a órganos del Estado; a instituciones privadas y al CSIRT Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, postuló que la mesa de trabajo prelegislativo sugiere aprobar esta indicación, sin perjuicio de introducirle ciertas adecuaciones. Estas últimas, puntualizó, consisten en reemplazar la expresión “órganos del Estado” por “organismos de la Administración del Estado” y en sustituir la frase “en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades”, por “en la forma que establece esta ley”. Esta última, adujo, permitirá ampliar la atribución de la Agencia Nacional de Ciberseguridad.

Concluyendo su intervención, especificó que, de respaldarse la propuesta anterior, la redacción de la letra d) del artículo 9 quedaría así:

“d) Coordinar y supervisar a los CSIRT Sectoriales existentes; a aquellos que pertenezcan a organismos de la Administración del Estado; a instituciones privadas y al CSIRT Nacional, en la forma que establece esta ley.”.

- Las Comisiones unidas, por la unanimidad de sus parlamentarios presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación con las mencionadas enmiendas.

La indicación número 79, del Honorable Senador señor Van Rysselberghe, elimina el siguiente texto: “a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos del Estado señalados en el inciso final del artículo 4º, a instituciones privadas y”.

- Esta indicación fue retirada por su autor.

La indicación número 80, del Honorable Senador señor Insulza, reemplaza la expresión “órganos del Estado” por “organismos de la Administración del Estado”.

- En votación, esta indicación fue aprobada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

°°°°°

Letra nueva

Seguidamente, se formuló la indicación número 81, de Su Excelencia el Presidente de la República, para intercalar la siguiente letra e), nueva, ajustándose el orden correlativo de las letras subsiguientes:

“e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.”.

- Sometida a votación, esta indicación contó con el respaldo de la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

°°°°°

Letra e)

Contempla como facultad de la Agencia mencionada administrar el Registro Nacional de Incidentes de Ciberseguridad.

Sobre este literal recayó la indicación número 82, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como letra f):

“f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.”.

- Esta indicación fue aprobada por la totalidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra f)

Fija como atribución de la Agencia Nacional de Ciberseguridad fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad.

Al respecto, se formuló la indicación número 83, de Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, contemplada como letra g):

“g) Elaborar y actualizar la lista de servicios esenciales y operadores de importancia vital, en la forma prevista en el artículo 4 de la presente ley.”.

- Puesta en votación, esta indicación fue respaldada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra g)

Considera como facultad de la Agencia referida requerir de los CSIRT Sectoriales y del CSIRT Nacional la información que sea necesaria para el cumplimiento de sus fines y que sea de responsabilidad de estas instituciones.

En relación con este literal se formularon las indicaciones números 84 y 85.

La indicación número 84, de Su Excelencia el Presidente de la República, es para sustituirlo por el que sigue, consultado como letra h):

“h) Requerir de los CSIRT Sectoriales la información que sea necesaria para el cumplimiento de sus fines y que se encuentre en posesión de estas instituciones.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 85, del Honorable Senador señor Van Rysselberghe, busca reemplazar la frase “de los CSIRT Sectoriales y del”, por la voz “al”.

- Esta indicación fue retirada por su autor.

Letra h)

Contempla como atribución de la Agencia Nacional de Ciberseguridad diseñar e implementar planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

Sobre este literal recayó la indicación número 86, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como letra i):

“i) Diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.”.

- Las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

Letra i)

Fija como facultad la Agencia suscribir convenios con órganos del Estado e instituciones privadas destinados a facilitar la colaboración y la transferencia de información que permita el cumplimiento de sus fines.

Respecto de este literal se presentaron las indicaciones números 87 y 88.

La indicación número 87, de Su Excelencia el Presidente de la República, lo reemplaza por el que sigue, consultado como letra j):

“j) Requerir a los órganos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sean necesarios para el cumplimiento de sus fines, incluyendo el acceso a redes y sistemas informáticos, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N° 19.628.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó que la mesa de trabajo prelegislativo sugiere aprobar esta indicación, sustituyendo, al igual que en oportunidades anteriores, la voz “órganos” por “organismos”; tal como lo recomienda, por lo demás, la propuesta de modificación siguiente.

Detalló que de acogerse lo anterior, el tenor literal de la letra j) sería el que se indica:

“j) Requerir a los organismos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sean necesarios para el cumplimiento de sus fines, incluyendo el acceso a redes y sistemas informáticos, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N° 19.628.”.

- Todos los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación con la enmienda consignada.

La indicación número 88, del Honorable Senador señor Insulza, sustituye la expresión “órganos del Estado” por “organismos del Estado”.

- Las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

Letra j)

Considera como atribución de la Agencia Nacional de Ciberseguridad cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, en coordinación con el Ministerio de Relaciones Exteriores, cuando corresponda.

En relación con este literal se formuló la indicación número 89, de Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue, consultado como letra k):

“k) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. La Agencia servirá de punto de contacto con las Agencias Nacionales de Ciberseguridad extranjeras o sus equivalentes y con los organismos internacionales con competencia en materia de ciberseguridad.”.

- En votación, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación.

Letra k)

Contempla como facultad de la Agencia mencionada prestar asesoría técnica a los órganos del Estado e instituciones privadas cuya infraestructura de la información haya sido calificada como crítica, que estén o se hayan visto afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o haya afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

Sobre este literal recayeron las indicaciones números 90 y 91.

La indicación número 90, de Su Excelencia el Presidente de la República, es para sustituirlo por el siguiente, contemplado como letra l):

“l) Prestar asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.”.

- Puesta en votación, las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

La indicación número 91, del Honorable Senador señor Insulza, busca reemplazar la expresión “órganos del Estado” por “organismos del Estado”.

- Esta indicación fue retirada por su autor.

Letra l)

Fija como atribución de la Agencia Nacional de Ciberseguridad colaborar y coordinar con organismos de inteligencia, para enfrentar amenazas que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.

Al respecto, se presentaron las indicaciones números 92 y 93.

La indicación número 92, de Su Excelencia el Presidente de la República, la sustituye por la siguiente, contemplada como letra m):

“m) Coordinar y colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el grupo de trabajo conformado para facilitar la tramitación de esta iniciativa de ley sugiere aprobar esta indicación. Con todo, pormenorizó, se propone incorporar, luego de la voz “colaborar” la palabra “interagencialmente”. Recordó que el artículo 2 de la propuesta legal define tal expresión.

Sostuvo que, de respaldarse la recomendación señalada, la redacción de la letra m) del artículo 9 quedaría de la siguiente manera:

“m) Coordinar y colaborar interagencialmente con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.”.

- En votación, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación con la enmienda transcrita.

La indicación número 93, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, busca reemplazar la letra l) por la siguiente:

“l) Colaborar e interoperar con organismos de inteligencia y de persecución del delito, para enfrentar amenazas en forma interagencial, que puedan afectar a la infraestructura crítica de información e implementar acciones preventivas.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sugirió dejar pendiente el análisis de esta indicación.

- En una sesión posterior, las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe, rechazaron esta indicación.

Letra m)

Considera como facultad de la Agencia referida fiscalizar y sancionar el cumplimiento de esta ley, sus reglamentos y la normativa técnica que se dicte en conformidad con la presente ley, cuando ello no corresponda a un regulador o fiscalizador sectorial, según sea el caso.

En relación con este literal se formuló la indicación número 94, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como letra n):

“n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos, y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.”.

Al igual que en el caso anterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sugirió dejar pendiente esta indicación.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa técnica constituida para facilitar la tramitación de esta propuesta legal recomienda aprobar la indicación en estudio, con modificaciones, de manera de incorporar un párrafo segundo al literal, del tenor siguiente:

“La Agencia contará con todas las facultades que fueren necesarias para el cumplimiento de su función fiscalizadora; entre otras, las de realizar inspecciones, auditorías, análisis de seguridad, o evaluar un sistema de gestión de seguridad de la información; requerir el acceso a sistemas, datos, documentos e información para el desempeño de sus funciones de supervisión, y citar a declarar a los socios, directores, administradores, representantes, empleados y personas que, a cualquier título, presten o hayan prestado servicios para las personas o entidades fiscalizadas y a toda otra persona que hubiere ejecutado y celebrado con ellas actos y convenciones de cualquier naturaleza, respecto de algún hecho cuyo conocimiento estime necesario para el cumplimiento de sus funciones.”.

Explicó que la indicación en análisis entrega a la Agencia Nacional de Ciberseguridad la facultad de fiscalizar. Sin embargo, prosiguió, atendida la evolución que ha experimentado en el derecho administrativo tal atribución, se advierte la conveniencia de que la ley señale con exactitud en qué consistirá.

Las Comisiones unidas alertaron que el párrafo segundo cuya introducción se plantea aborda una materia de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo prescrito en el artículo 65, inciso cuarto, N° 2°, de la Constitución Política de la República.

Al respecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que el Ejecutivo haría llegar oportunamente la indicación, en los términos sugeridos por el grupo de asesores.

A continuación, el Honorable Senador señor Huenchumilla manifestó su preocupación ante el empleo de la expresión “entre otras”. Al efecto, estimó que de acuerdo al artículo 7° del Texto Supremo, tal locución se aleja del derecho público.

Deteniéndose en la inquietud del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que, por regla general, en el caso de los órganos fiscalizadores, basta con declarar que tienen dicha atribución; así, puntualizó, ocurre en los textos normativos de varias Superintendencias. No obstante, en esta ocasión, y por las razones esgrimidas precedentemente, se ha decidido detallar su contenido. Para ello, connotó, se ha tenido a la vista la directiva europea NIS2.

En línea con lo expuesto, enfatizó que la expresión cuestionada determina el deber referido, además de cubrir otras acciones que sean imprescindibles a futuro.

Seguidamente, destacó que el ejercicio de la facultad mencionada estará sujeto a control administrativo y judicial. Asimismo, anunció que el artículo 34 de la iniciativa de ley establece reglas de procedimiento que evitarán que tal función pueda ser utilizada de forma abusiva o discrecional.

Por su parte, el Honorable Senador señor Macaya consultó cómo se cautelarán las garantías de las personas fiscalizadas.

Adicionalmente, puso de relieve que en ciertos casos esta atribución de la Agencia Nacional de Ciberseguridad podría colisionar con la del Ministerio Público.

El Honorable Senador señor Pugh, en tanto, respaldando los dichos del personero de Gobierno, postuló que la indicación analizada, en los términos sugeridos, adhiere a estándares internacionales en el ámbito de la ciberseguridad. Concretamente, acotó, a la directiva europea NIS2, publicada el 27 de diciembre de 2022.

En atención a lo señalado, juzgó que este futuro cuerpo normativo será una ley modelo en seguridad informática.

Insistiendo en su observación, el Honorable Senador señor Huenchumilla reiteró que, en virtud de lo dispuesto en el artículo 7° de la Carta Fundamental, los órganos públicos solo pueden actuar dentro de su competencia y en la forma que prescriba la ley.

Su Señoría consultó si el uso de la locución “entre otras” podría significar que la Agencia Nacional de Ciberseguridad tendrá, por ejemplo, la potestad de allanar un inmueble.

Para concluir, discutió la idea de encomendar a la entidad referida la atribución de “citar a declarar”, medida conferida a los tribunales de justicia y al Ministerio Público.

El Honorable Senador señor Insulza se sumó a la última aprensión del Presidente de las Comisiones unidas.

Abocándose a las dudas de los miembros de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó, en primer lugar, que el artículo 34 del proyecto de ley prescribe ciertas exigencias a las que se someterá el procedimiento sancionatorio. En ellas, pormenorizó, se distinguen diversas etapas y se señala quién investiga, quién formula cargos y quién sanciona. En consecuencia, vislumbró, está adecuadamente regulado, pese a lo cual podrían agregarse otras normas de control.

En lo que atañe a las garantías, remarcó que las medidas que adopte la Agencia Nacional de Ciberseguridad en el ejercicio de la atribución fiscalizadora quedarán sujetas a los recursos administrativos y judiciales respectivos. Dentro de los primeros, puntualizó, se encuentra el de reposición y el jerárquico, mientras que, dentro de los segundos, el de legalidad.

Aclaró que cualquier decisión que pueda afectar derechos fundamentales requiere expresa formulación legal. Agregó que la facultad de allanamiento obliga a identificar los casos y la forma en que procede. En esta oportunidad, subrayó, no tendrá cabida.

Para concluir, connotó que el artículo 34 junto con los recursos aludidos previamente permitirán resguardar el debido proceso.

A su vez, el Honorable Senador señor Quintana reveló que en la legislación chilena son diversos los órganos con atribuciones de control. Ejemplo de ellos, acotó, son las Superintendencias y la Inspección del Trabajo. De este modo, resaltó, la labor citada no es ajena al derecho administrativo nacional.

En sintonía con la explicación dada por el legislador que le antecedió en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recalcó que los organismos fiscalizadores de derecho público, en general, tienen facultades de dicha índole. Así, ahondó, se aprecia en materia laboral, bancaria, de telecomunicaciones y de consumidores, entre otras.

Con todo, previno que, si algún hecho reviste caracteres de delito, la Agencia deberá inhibirse y realizar la denuncia respectiva, derivando los antecedentes al Ministerio Público.

El Honorable Senador señor Macaya hizo hincapié en la necesidad de dejar claramente establecido que, en la última situación relatada por el representante del Ejecutivo, el órgano encargado de la ciberseguridad debe dar un paso al costado, inhibiéndose de intervenir.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, estimó redundante tal precisión, toda vez que el artículo 175 del Código Procesal Penal ya consagra la obligación de denunciar.

- En atención al compromiso asumido por el Ejecutivo, las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de las dos Comisiones-, Saavedra y Van Rysselberghe, aprobaron ad referéndum, con la enmienda consignada, la indicación número 94.

Posteriormente, dando cumplimiento al compromiso asumido, Su Excelencia el Presidente de la República presentó una indicación, que fue individualizada como indicación número 94 bis, para reemplazar la letra m) del artículo 9 por la siguiente, consultada como letra n):

“n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

La Agencia contará con todas las facultades que fueren necesarias para el cumplimiento de su función fiscalizadora; entre otras, las de realizar inspecciones, auditorías, análisis de seguridad o evaluar un sistema de gestión de seguridad de la información; requerir el acceso a sistemas informáticos, datos, documentos e información para el desempeño de sus funciones de supervisión, y citar a declarar a los socios, directores, administradores, representantes, empleados y personas que, a cualquier título, presten o hayan prestado servicios para las personas o entidades fiscalizadas y a toda otra persona que hubiere ejecutado y celebrado con ellas actos y convenciones de cualquier naturaleza, respecto de algún hecho cuyo conocimiento estime necesario para el cumplimiento de sus funciones.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, aprobaron esta indicación.

Letra n)

Contempla como atribución de la Agencia Nacional de Ciberseguridad informar a la Agencia Nacional de Inteligencia sobre riesgos e incidentes de ciberseguridad.

Sobre este literal recayeron las indicaciones números 95 y 96.

La indicación número 95, de Su Excelencia el Presidente de la República, es para reemplazarlo por el siguiente, considerado como letra ñ):

“ñ) Determinar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de los principios y obligaciones establecidos en esta ley, sus reglamentos y las instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expresó que la mesa de trabajo prelegislativo recomienda aprobar con enmiendas esta indicación, a fin de sustituir la oración inicial de esta letra por la siguiente:

“Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran los instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia.”.

Especificó que tal innovación busca clarificar el procedimiento para la aplicación de sanciones. Adicionalmente, advirtió, se emplea el lenguaje utilizado en otros textos normativos, a fin de que haya coherencia.

Agregó que, de respaldarse la propuesta del grupo de asesores, la redacción del literal ñ) quedaría así:

“ñ) Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.”.

Las Comisiones unidas tuvieron en consideración que la modificación aborda materias de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo prescrito en el artículo 65, inciso cuarto, número 2°, de la Carta Fundamental.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseveró que el Ejecutivo presentaría posteriormente la indicación correspondiente.

El Honorable Senador señor Huenchumilla consultó si la enmienda aludida supondría la creación de nuevos procedimientos.

Abocándose a la consulta del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aclaró que las reglas procedimentales se regulan en el artículo 34 de la iniciativa de ley. Añadió que el lenguaje empleado simplemente busca evitar inconvenientes con el Tribunal Constitucional, suscitados en otras leyes que establecen facultades sancionatorias. Por consiguiente, remarcó, se diferencia entre quien ordena la investigación y quien la lleva a cabo.

- En atención al compromiso asumido, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe, aprobaron la indicación número 95, ad referéndum, con la enmienda consignada.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló una indicación, que fue individualizada como indicación número 95 bis, para reemplazarla la letra n) del artículo 9, considerada como letra ñ):

“ñ) Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

La indicación número 96, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, busca sustituirlo por el siguiente:

“n) Interoperar con la Agencia Nacional de Inteligencia para el intercambio de información sobre riesgos e incidentes de ciberseguridad, incluidas las campañas de desinformación en línea.”.

- Esta indicación fue rechazada por la unanimidad de los parlamentarios presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

Letra o)

Fija como facultad de la Agencia de la referencia diseñar, conjuntamente con el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación, planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de ciberseguridad local.

Al respecto, se presentaron las indicaciones números 97 y 98.

La indicación número 97, de Su Excelencia el Presidente de la República, es para reemplazarla por la siguiente:

“o) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.”.

- Puesta en votación, esta indicación fue aprobada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Ossandón, Pugh, Saavedra y Van Rysselberghe.

La indicación número 98, del Honorable Senador señor Van Rysselberghe, busca sustituirla por la que sigue:

“o) Diseñar, planes y acciones que fomenten la investigación, innovación y desarrollo de la industria de la ciberseguridad nacional con los ministerios competentes.”.

- Esta indicación fue retirada por su autor.

°°°°°

Letras nuevas

Enseguida, la indicación número 99, de Su Excelencia el Presidente de la República, es para incorporar las siguientes letra p), q), r), s), t), u), v) y w), nuevas, pasando la actual letra p) a ser x):

La letra p) es del siguiente tenor:

“p) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.”.

- Puesta en votación, la letra p) de esta indicación contó con el respaldo de la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

La letra q) reza:

“q) Informar al CSIRT de la Defensa Nacional y a los CSIRT Sectoriales los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector, que considere relevantes, pudiendo sugerir determinados planes de acción.”.

- Sometida a votación, la letra q) de esta indicación fue aprobada por la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

El literal r) prescribe:

“r) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.”.

- Las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe, respaldaron la letra r) de esta indicación.

La letra s) establece:

“s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los órganos de la Administración del Estado.”.

Al respecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa técnica conformada para facilitar la tramitación de este proyecto de ley recomienda aprobar la letra s) con modificaciones, a fin de reemplazar la voz “órganos” por “organismos”.

Detalló que, de acogerse tal sugerencia, el referido literal quedaría de la manera que se indica:

“s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.”.

- Puesta en votación, la letra s) de esta indicación fue aprobada con la enmienda reproducida por la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

El literal t) establece:

“t) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.”.

- Sometida a votación, la letra t) de esta indicación contó con el respaldo de la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

El texto de la letra u) es que se transcribe a continuación:

“u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los órganos del Estado.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expuso que el grupo de asesores conformado para facilitar la tramitación de este proyecto de ley recomienda aprobar la letra u) con modificaciones, a fin de reemplazar la voz “órganos” por “organismos”.

Previno que, de acogerse tal sugerencia, el tenor literal de tal atribución sería el siguiente:

“u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.”.

- La letra u) de esta indicación fue aprobada con la enmienda referida por la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

La letra v) dispone:

“v) Regular, en coordinación con el Servicio Nacional del Consumidor, estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales, cubriendo tanto la publicidad del producto como la obligación de incluir etiquetas en estos, pudiendo consistir en fechas de expiración, indicadores de riesgo, u otros indicadores similares.”.

- Puesta en votación, la letra v) de esta indicación fue aprobada por la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

Finalmente, el literal w) prescribe:

“w) Administrar la Red de Conectividad Segura del Estado (RCSE).”.

- Sometida a votación, la letra w) de esta indicación fue aprobada por la totalidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

°°°°°

°°°°°

Letra nueva

Asimismo, se presentó la indicación número 100, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para intercalar la siguiente letra p), nueva, pasando la actual letra p) a ser letra q):

“p) Proponer al Ministro del Interior y Seguridad Pública, participar en un programa de divulgación de vulnerabilidades que incluya un proceso de informe y divulgación. Se entiende por programa de divulgación de vulnerabilidades, aquel plan o proyecto que puede configurarse para permitir que investigadores de seguridad externos (o hackers éticos) aporten a identificar las vulnerabilidades de seguridad, también conocidas como errores de seguridad, usando una plataforma de intercambio segura y de ser necesaria anonimizada, junto a su reporte a los organismos internacionales encargados de numerarlas.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sugirió dejar pendiente el análisis y la votación de esta indicación en tanto no se examine la indicación número 178.

- En una sesión posterior, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, rechazaron esta indicación.

°°°°°

°°°°°

Letras nuevas

Adicionalmente, se formuló la indicación número 101, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para agregar las siguientes letras, nuevas:

“…) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113.”.

Las Comisiones unidas estuvieron contestes en que la función que se propone incorporar a la Agencia Nacional de Ciberseguridad recae en una materia de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo prescrito en el artículo 65, inciso cuarto, N° 2°, de la Constitución Política de la República.

En relación con tal prevención, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseveró que el Ejecutivo haría llegar esta parte de la indicación examinada.

- Habida cuenta del compromiso asumido, las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe, aprobaron ad referéndum la primera atribución de la indicación en análisis.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 101 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Asimismo, los miembros de las Comisiones unidas estimaron que la idea comprendida en la indicación número 101, se entiende recogida en la indicación número 101 bis.

La siguiente letra señala:

“…. Establecer el catálogo de clasificación y taxonomía de los incidentes de ciberseguridad, en base a estándares internacionales, para priorización de respuesta y luego análisis e intercambio de información.”.

Sobre el particular, el Honorable Senador señor Pugh explicó que la atribución en debate tiene por objeto asegurar la existencia de un inventario de eventos que comprometan o perjudiquen la confidencialidad o la integridad de la información; la disponibilidad o resiliencia de las redes o sistemas informáticos, o la autenticación o no repudio de los procesos ejecutados o implementados en ellos, en base a modelos internacionales. Esto, subrayó, posibilitará contar con estadísticas respecto a tales episodios.

Con todo, se allanó a que esta medida sea recogida en el reglamento de la futura ley.

- Puesta en votación, esta parte de la indicación número 101 fue rechazada por la unanimidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, -Saavedra y Van Rysselberghe.

El último literal dispone:

“…. Definir el protocolo para manejo de información clasificada con organismos privados que operen infraestructura crítica de la información o realicen investigación avanzada de ciberseguridad.”.

Al efecto, el Honorable Senador señor Pugh sentenció que la facultad examinada fija reglas para la gestión de información sensible, tal como lo contempla el protocolo de semáforo TLP -por sus siglas en inglés-, esquema creado para fomentar un mejor intercambio de aquella. A través de este instrumento, dijo, el autor de los datos puede decidir hasta dónde circulará.

No obstante, al igual que en el caso precedente, adelantó que esta medida podría considerarse a nivel reglamentario.

- Sometida a votación esta parte de la indicación número 101, fue rechazada por la unanimidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

°°°°°

ARTÍCULO 11

Precisa, en siete literales, las atribuciones del Director Nacional de la Agencia Nacional de Ciberseguridad.

Letra f)

Permite al director delegar atribuciones o facultades específicas en funcionarios de las plantas directiva, profesional o técnica de la Agencia.

Sobre este literal recayó la indicación número 102, de Su Excelencia el Presidente de la República, para reemplazar la expresión “funcionarios de las plantas directiva, profesional o técnica de la Agencia, y” por “los funcionarios que indique, e”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, puso de manifiesto que el cambio busca ajustar la redacción de la letra f) del artículo 11 al tenor del artículo 14 del proyecto de ley. En efecto, sostuvo, tal como se analizará prontamente, el personal de la Agencia Nacional de Ciberseguridad se regirá por las normas del Código del Trabajo y no por las del Estatuto Administrativo, como lo contempla el texto aprobado en general por el Senado. Por consiguiente, enfatizó, no habrá planta directiva, profesional ni técnica.

Adujo que, de aprobarse esta indicación, el literal f) quedaría de la manera se sigue:

“f) Delegar atribuciones o facultades específicas en los funcionarios que indique;”.

- Las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -actuando como integrante de ambas Comisiones-, Saavedra y Van Rysselberghe, respaldaron esta indicación.

Letra g)

Contempla como atribución del director instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo y determinar las sanciones e imponerlas, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32, y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico.

Al respecto, se presentaron las indicaciones números 103 y 104.

La indicación número 103, de Su Excelencia el Presidente de la República, suprime el texto: “, respecto de los órganos de la Administración del Estado, en los términos señalados en el artículo 32 y respecto de aquellos privados que posean infraestructura de la información calificada como crítica, que no estén sujetos a un regulador o fiscalizador sectorial específico”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, expuso que, habida cuenta de la sustitución del modelo de infraestructura crítica de la información por el de servicios esenciales y operadores de importancia vital, la locución transcrita pierde sentido, razón por la cual se propone su eliminación.

Acotó que, de respaldarse esta indicación, la redacción de la letra g) quedaría de la manera siguiente, con las adecuaciones formales correspondientes:

“g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo y determinar las sanciones e imponerlas, y”.

- Las Comisiones unidas, por la unanimidad de sus miembros, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe, aprobaron esta indicación.

La indicación número 104, del Honorable Senador señor Insulza, busca reemplazar la expresión “órganos de la Administración del Estado” por “organismos de la Administración del Estado”.

- Esta indicación fue retirada por su autor.

°°°°°

Letra nueva

A continuación, se formuló la indicación número 105, de Su Excelencia el Presidente de la República, para incorporar la siguiente letra h), nueva:

“h) Ejercer la representación judicial y extrajudicial de la Agencia.”.

Refiriéndose a esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que, en atención al diseño previsto para la Agencia Nacional de Acreditación y dada su especialidad, se juzgó conveniente encomendar al Director Nacional de esta entidad su representación judicial y extrajudicial. Recordó que, tratándose de órganos públicos, por regla general, corresponden al Consejo de Defensa del Estado.

Afirmó que algo similar ocurre en el caso del Consejo para la Transparencia.

El Honorable Senador señor Macaya solicitó fundamentar la decisión, y señalar qué otros ejemplos existen en la legislación chilena en donde la representación de una entidad pública no recaiga en el Consejo de Defensa del Estado.

Atendiendo las consultas del legislador, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reiteró que la idea de entregar al Director de la Agencia Nacional de Ciberseguridad la atribución obedece a que la especificidad de la materia involucrada hace razonable que su defensa quede radicada en esta organización. A mayor abundamiento, remarcó que los asuntos de su conocimiento y competencia son extremadamente técnicos.

En cuanto a los ejemplos requeridos, reiteró que el principal es el del Consejo para la Transparencia. Al efecto, sentenció que este ha motivado un tipo de litigación muy particular, que hace recomendable que el nuevo servicio, con sus capacidades, sea quien las aborde.

Por su lado, el Honorable Senador señor Quintana observó que el Director Nacional de la Agencia será quien determinará si se ejercen las acciones correspondientes. Su Señoría estimó prudente que la función encomendada no obste a la intervención del Consejo de Defensa del Estado.

A su turno, el Honorable Senador señor Huenchumilla evidenció que el artículo 10 aprobado en general por la Sala, que no fue objeto de indicaciones, ya confiere al Director Nacional la representación judicial y extrajudicial del órgano a su cargo.

En consideración a las dudas surgidas en el seno de las Comisiones unidas respecto de esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, propuso dejar pendiente su examen y votación.

El Honorable Senador señor Huenchumilla valoró la disposición del personero de Gobierno, y recomendó tener a la vista la sugerencia del Honorable Senador señor Quintana, así como también recabar otros ejemplos de instituciones públicas en que se haya adoptado el mismo criterio.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo, acogiendo la petición de los legisladores, sugiere aprobar esta indicación con modificaciones, de manera de incorporar, luego de la voz “Agencia”, la frase “, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado”.

Detalló que de acogerse la propuesta, la redacción del literal h) del artículo 11 quedaría de la forma que sigue:

“h) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.”.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron esta indicación con la enmienda consignada.

°°°°°

ARTÍCULO 13

Aborda el nombramiento de las autoridades de la Agencia Nacional de Ciberseguridad. Prescribe que estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

En relación con esta norma, la indicación número 106, de Su Excelencia el Presidente de la República, es para intercalar, a continuación de la voz “indica”, la expresión “, hasta el segundo nivel jerárquico”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que, de respaldarse la propuesta del Ejecutivo, la redacción del artículo 13 sería la siguiente:

“Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.”.

- Esta indicación fue apoyada por la unanimidad de los miembros de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana -en su condición de integrante de ambas Comisiones-, Saavedra y Van Rysselberghe.

ARTÍCULO 14

Prescribe las reglas legales a las que se someterá el personal de la Agencia Nacional de Ciberseguridad, señalando que se regirá por las normas del Estatuto Administrativo.

Sobre esta disposición recayeron las indicaciones números 107 y 108.

La indicación número 107, de Su Excelencia el Presidente de la República, es para sustituirlo por el que sigue:

“Artículo 14. Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, de 2000, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del Título VI de la ley N° 19.882, solo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, del Ministerio de Hacienda, promulgado el año 2004 y publicado el año 2005, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, del Ministerio de Hacienda, de 1977, y al decreto supremo N° 1, del Ministerio de Hacienda, de 1991, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores del Servicio, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, sobre administración financiera del Estado.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, relató que las observaciones realizadas durante la discusión en general respecto del régimen laboral del personal de la Agencia Nacional de Ciberseguridad; las particularidades de este organismo; las materias abordadas y la necesidad de contratar en ciertos casos a expertos sin título profesional, obligan a tener flexibilidad, capacidad que escapa al Estatuto Administrativo. En este contexto, subrayó, se concluyó que la mejor opción es el sistema propuesto. Conforme a él, acotó, quienes se desempeñen en la entidad encargada de la seguridad informática quedarán sujetos a las disposiciones del Código del Trabajo, con ciertas modificaciones.

Ahondando en las variaciones enunciadas, comunicó que la primera de ellas radica en la aplicación de las normas de probidad administrativa y las que regulan los conflictos de interés. Agregó que, dado que se trata de una institución fiscalizadora, se restringirá a los trabajadores la facultad de realizar actividades económicas en las áreas objeto de control.

Otro cambio, añadió, consiste en que se establece expresamente que el personal quedará sujeto a responsabilidad administrativa y civil.

Por otro lado, informó, se dispone que quienes ingresen a este servicio por el Sistema de Alta Dirección Pública solo tendrán derecho a la indemnización contemplada en la ley N° 19.882. En este punto, aclaró que quedarán en esa condición los que se desempeñen en el primer o segundo nivel jerárquico.

Los demás funcionarios, prosiguió, podrán acceder a las indemnizaciones reguladas en los artículos 161, 162 y 163 del Código del Trabajo.

Adicionalmente, consignó, se señala que las causales de término de contrato serán aquellas contempladas en el citado cuerpo normativo, y que no se podrán alterar las bases para el cálculo de las indemnizaciones.

Asimismo, notó, se consagra expresamente la posibilidad de que el Director Nacional aplique las normas relativas a las destinaciones, comisiones de servicio y cometido funcionario del Estatuto Administrativo. Patentizando su importancia, adujo que existen países que tienen un nivel de madurez mayor en ciberseguridad, lo que motivará la recepción de expertos extranjeros o el envío del personal a cursos de capacitación.

En lo que concierne a la estructura interna, expuso que se organizará mediante una resolución que dictará la máxima autoridad de la Agencia Nacional de Ciberseguridad, la que será visada por la Dirección de Presupuestos. Llamó a tener presente que, conforme al informe financiero que acompaña a esta iniciativa de ley, la dotación máxima de este órgano será de sesenta personas.

Tras dar a conocer el régimen aplicable al personal del organismo a cargo de la ciberseguridad, connotó que los modelamientos efectuados advierten la necesidad de realizar turnos, de manera de asegurar su funcionamiento ininterrumpido las veinticuatro horas del día, de lunes a domingo. Además, dijo, hay labores que tendrán una continuidad operacional de dieciocho horas. Tales particularidades, insistió, aconsejan respaldar la indicación.

Para concluir, apuntó que las disposiciones transitorias abordan el traspaso de trabajadores del Estado a la nueva institucionalidad. Con todo, afirmó, actualmente todos ellos se desempeñan a honorarios.

El Honorable Senador señor Pugh valoró la propuesta desarrollada por el Ejecutivo. Sin embargo, expresó dudas acerca del correcto tratamiento del acuerdo de no divulgación o NDA, por sus siglas en inglés (non disclosure agreement).

El Honorable Senador señor Quintana celebró también el régimen diseñado en la indicación, pues juzgó que los preceptos del Código del Trabajo aportan mayor flexibilidad.

No obstante, hizo ver la conveniencia de regular adecuadamente las incompatibilidades de los trabajadores, a fin de evitar el traspaso de información desde la Agencia a otros sectores.

El Honorable Senador señor Saavedra, a su turno, mostró interés por saber cómo se recoge el derecho a la libertad sindical y a la negociación colectiva. Previno que los conflictos de índole laboral podrían terminar en la paralización de las operaciones de la entidad encargada de la ciberseguridad.

Abordando la inquietud del Honorable Senador señor Pugh, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recordó que el proyecto de ley contempla normas de secreto de la información para los funcionarios.

En cuanto a la pregunta del Honorable Senador señor Quintana, sentenció que la indicación número 109, recaída en el artículo 15, consagra prohibiciones e inhabilidades, las que excluyen cualquier tipo de servicios, con excepción de las labores docentes. Recordó que hoy se distingue entre estas y las de investigación, y que la redacción del precepto referido solo posibilita las primeras.

Deteniéndose en la interrogante del Honorable Senador señor Saavedra, en tanto, puso de relieve que, conforme lo ha resuelto la Contraloría General de la República, las instituciones públicas no tienen derecho a sindicalizarse sino a asociarse. Agregó que, por aplicarse las reglas de los servicios esenciales de otros cuerpos normativos, la Agencia será de aquellas entidades que no pueden paralizar sus actividades.

Sobre el particular, el Honorable Senador señor Saavedra solicitó establecer expresamente el impedimento en la ley, a fin de evitar dificultades.

El Honorable Senador señor Huenchumilla, a su vez, quiso saber si el régimen laboral propuesto constituye una innovación en la legislación nacional o, por el contrario, si existen otros organismos en donde se conjuguen las normas del Código del Trabajo con las del Estatuto Administrativo.

Fijando su atención en la pregunta formulada por el Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aclaró que el sistema previsto en la indicación en examen no es una novedad en el ordenamiento jurídico. En efecto, profundizó, rige en más de diez organismos públicos. El Ejecutivo, prosiguió, se limitó a recoger la experiencia de estos. Notó que el mayor exponente es el Consejo para la Transparencia.

A reglón seguido, comunicó que la única originalidad radica en que en esta oportunidad será un ente fiscalizador al que se le aplicarán las normas del Código del Trabajo. Por ello, declaró, se suman todas las disposiciones sobre inhabilidades e incompatibilidades del Estatuto Administrativo. Así, concluyó, quien se desempeñe en la Agencia Nacional de Ciberseguridad y sus parientes quedarán fuera del mercado de la seguridad informática.

El Honorable Senador señor Insulza pidió dedicar más tiempo al análisis de esta indicación.

El Honorable Senador señor Huenchumilla, por su parte, solicitó al señor Álvarez volver a examinar el régimen laboral expuesto, de ser indispensable. Enfatizó que, incluso, podría reabrirse el debate.

- En votación, la indicación número 107 contó con el respaldo de la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh, Quintana -actuando como miembro de ambas Comisiones- y Van Rysselberghe.

Advirtiendo la necesidad de perfeccionar la redacción del artículo 14 de la proposición legal, y al amparo del artículo 125 del Reglamento del Senado, en una sesión posterior, la totalidad de los parlamentarios presentes de las Comisiones unidas estuvieron contestes en reabrir el debate.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo recomienda introducir los siguientes cambios a la disposición mencionada:

- Intercalar un inciso tercero, nuevo, pasando el actual inciso tercero a ser el cuarto, y así sucesivamente:

“Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, del Ministerio de Hacienda, del año 2004, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.”.

- Agregar una oración final al inciso tercero, que pasa a ser cuarto, del tenor que sigue:

“La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el título V. “de la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, de 2004, del Ministerio de Hacienda que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.”.

- Incorporar en el inciso sexto, que pasa a ser séptimo, la siguiente oración final:

“Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.”.

- Intercalar un inciso penúltimo del tenor que se indica:

“Un reglamento expedido por el ministerio encargado de la seguridad pública determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.”.

Esclareció que las modificaciones introducidas apuntan a complementar la nueva redacción del artículo 15, que regula las prohibiciones e inhabilidades del personal de la Agencia. En efecto, prosiguió, los cambios señalan expresamente los derechos que tendrán los trabajadores del citado organismo.

Las Comisiones unidas advirtieron que las enmiendas recomendadas por la mesa de trabajo recaen en materias de iniciativa exclusiva de Su Excelencia el Presidente de la República.

Al respecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo haría llegar la indicación pertinente.

- En atención al compromiso adquirido por el representante del Gobierno, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron, ad referéndum, la indicación número 107 con las enmiendas consignadas.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló una indicación, que fue individualizada como indicación número 107 bis, para sustituir el artículo 14 por el siguiente:

“Artículo 14.- Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, de 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, de 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el ministerio encargado de la seguridad pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, de administración financiera del Estado.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

La indicación número 108, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, busca reemplazar la expresión “Estatuto Administrativo” por “Código del Trabajo”.

- Habida cuenta de la aprobación de la indicación anterior, esta fue rechazada por ocho votos en contra, de los Honorables Senadores señores Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Quintana, Saavedra y Van Rysselberghe, y una abstención, del Honorable Senador señor Pugh.

ARTÍCULO 15

Define la estructura interna de la Agencia Nacional de Ciberseguridad. Sobre el particular, señala que un reglamento, expedido por el Ministerio del Interior y Seguridad Pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

Respecto de este precepto se formuló la indicación número 109, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“Artículo 15. Prohibiciones e inhabilidades. Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean estas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primer al cuarto grado inclusive, o por afinidad de primer y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedan exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañen personalmente al funcionario o que se refieran a la administración de su patrimonio. Además, será compatible con los cargos docentes hasta un máximo de doce horas semanales.

Igualmente, queda exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro.

Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del servicio.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, solicitó dejar pendiente el debate y la votación de esta indicación. Justificando su petición, recordó que con ocasión de la aprobación de la indicación número 107, se advirtieron diversos aspectos vinculados al estatuto laboral que se aplicará a los trabajadores de la Agencia Nacional de Ciberseguridad, que obligan a adecuar las prohibiciones e inhabilidades a las que quedarán sujetos.

En una sesión posterior, el personero de Gobierno informó que, tras un nuevo estudio, el grupo de asesores legislativo recomienda aprobar esta indicación con enmiendas, de manera que la redacción del artículo 15 del proyecto quede como se señala:

“Artículo 15.- Prohibiciones e inhabilidades. Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean estas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales, y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada para compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.”.

Analizando el artículo 15 propuesto, recordó que el personal de la Agencia Nacional de Ciberseguridad se regirá por las normas del Código del Trabajo. Con todo, acotó, se le aplicarán ciertas disposiciones del Estatuto Administrativo. Adujo que la razón de quedar sujeto a estas últimas descansa en el carácter de fiscalizador que tendrá.

Las Comisiones unidas estuvieron contestes en que el precepto sugerido por el grupo de asesores conformado para facilitar la tramitación de esta iniciativa de ley recae en materias de iniciativa exclusiva de Su Excelencia el Presidente de la República.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que el Ejecutivo haría llegar la indicación pertinente.

- Habida cuenta del compromiso antedicho, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron, ad referéndum, la indicación número 109 con las enmiendas consignadas.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló la correspondiente indicación, que fue individualizada con el número 109 bis.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

PÁRRAFO 3°

Esta parte de la iniciativa de ley lleva por epígrafe “Registro Nacional de Incidentes de Ciberseguridad”.

En relación con ella, se formuló la indicación número 110, de Su Excelencia el Presidente de la República, para reemplazar su denominación por la siguiente:

“Párrafo 3°

Consejo Multisectorial sobre Ciberseguridad”.

- Puesta en votación, esta indicación contó con el respaldo de la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

ARTÍCULO 16

Refiere, por medio de dos incisos, al Registro Nacional de Incidentes de Ciberseguridad. Su tenor literal es el que sigue:

“Artículo 16. Del Registro Nacional de Incidentes de Ciberseguridad. Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter de reservado, por exigirlo el debido cumplimiento de las funciones de la Agencia, el debido resguardo de los derechos de las personas y la seguridad de la nación. En este registro se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio. Sobre la base de este registro se podrán realizar las respetivas investigaciones por parte de la Agencia, así como comunicar las alertas a los CSIRT Sectoriales, a los órganos del Estado señalados en el inciso final del artículo 4º y a las instituciones privadas que posean infraestructura de la información calificada como crítica, que corresponda al caso.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública contendrá las disposiciones necesarias para regular la forma en que se confeccionará el referido registro, la operación del mismo y toda otra norma necesaria para su adecuado funcionamiento.”.

Sobre este artículo recayeron las indicaciones números 111, 112 y 113.

La indicación número 111, de Su Excelencia el Presidente de la República, es para suprimirlo.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 112, del Honorable Senador señor Van Rysselberghe, busca eliminar la frase “a los CSIRT Sectoriales,”.

- Esta indicación fue retirada por su autor.

La indicación número 113, del Honorable Senador señor Insulza, reemplaza la locución “órganos del Estado señalados en el inciso final del artículo 4º y a las” por “organismos del Estado e”.

- Al igual que la indicación anterior, esta fue retirada por su autor.

PÁRRAFO 4°

Esta parte del proyecto lleva por epígrafe “Consejo Técnico de la Agencia Nacional de Ciberseguridad”.

Al respecto, se formularon las indicaciones números 114 y 115.

La indicación número 114, del Honorable Senador señor Van Rysselberghe, lo elimina, junto con los artículos 17, 18, 19, 20 y 21, que lo integran.

- Esta indicación fue retirada por su autor.

La indicación número 115, de Su Excelencia el Presidente de la República, en tanto, suprime su epígrafe, pasando el actual Párrafo 5° a ser Párrafo 4°, y así sucesivamente.

- En votación, esta indicación contó con el respaldo de la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

ARTÍCULO 17

Regula, por medio de tres incisos, el Consejo Técnico de la Agencia Nacional de Ciberseguridad, rezando lo siguiente:

“Artículo 17. Consejo Técnico de la Agencia Nacional de Ciberseguridad. Créase el Consejo Técnico de la Agencia Nacional de Ciberseguridad, en adelante el “Consejo”, que tendrá como objeto asesorar y apoyar técnicamente a la Agencia en el análisis y revisión periódica de las políticas públicas propias de su ámbito de competencia, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y cuatro consejeros designados por el Presidente de la República, mediante decreto supremo expedido a través del Ministerio del Interior y Seguridad Pública, entre personas de destacada labor en el ámbito de la ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes permanecerán en su cargo durante seis años, renovándose en pares cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses y estarán afectos al principio de abstención contenido en el artículo 12 de la ley Nº 19.880.”.

En relación con este precepto se presentó la indicación número 116, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como artículo 16:

“Artículo 16. Consejo Multisectorial sobre Ciberseguridad. Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada dos años, pudiendo ser reelegidos en sus cargos por una sola vez. La integración del Consejo deberá ser paritaria.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.”.

Explicando esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que la propuesta del Presidente de la República sustituye el Consejo Técnico de la Agencia Nacional de Ciberseguridad, cuyos miembros son remunerados, por el Consejo Multisectorial de Ciberseguridad, cuyos integrantes se desempeñarán ad honorem y tendrán la misión de asesorar a la Agencia en diversas materias relacionadas con la seguridad informática.

A reglón seguido, manifestó que la razón de no incluir una disposición que precise las funciones del nuevo órgano -tal como lo hace el artículo 18 del texto aprobado en general- obedece a la conveniencia de contar con un espacio de diálogo público privado que, de manera permanente y amplia, apoye al Jefe de Estado en asuntos de ciberseguridad.

Dando a conocer la opinión de la mesa de trabajo prelegislativo, sentenció que esta sugiere aprobar con modificaciones esta indicación, a fin de reemplazar en el inciso segundo, la locución “dos años” por “tres años”.

El Honorable Senador señor Pugh valoró la propuesta del Ejecutivo, pues juzgó que perfeccionará la composición de la entidad asesora, al incorporar la visión del mundo privado y vincular diferentes sectores, como son el industrial, el académico y el de las organizaciones de la sociedad civil. Además, destacó que sus miembros se desempeñarán ad honorem.

Otra diferencia respecto del proyecto aprobado en general, prosiguió, radica en el tiempo durante el cual los consejeros permanecerán en sus cargos. Al tenor de lo previsto en la indicación en análisis, puntualizó, ejercerán sus funciones durante seis años, pudiendo ser reelegidos por una vez. Añadió que su renovación se hará en tríos cada tres años.

A la luz de lo expuesto precedentemente, celebró que los integrantes trasciendan a los gobiernos de turno.

Con todo, calificó como esencial poseer reglas claras respecto a la conformación del primer Consejo Multisectorial sobre Ciberseguridad para garantizar que, a futuro, la alternancia se lleve a cabo adecuadamente.

Por su lado, el Honorable Senador señor Ossandón puso de relieve que, conforme a lo dispuesto en la oración final del inciso segundo del artículo en debate, la integración del consejo deberá ser paritaria. Al respecto, estimó que tal exigencia terminará por perjudicar a las mujeres. Profundizando en sus dichos, señaló que diversos estudios concluyen que cada vez son más las que trabajan en el área de la ciberseguridad.

Finalmente, reiteró que consejo citado debe estar compuesto por los mejores representantes de cada área, sin importar su género.

Discrepando de los planteamientos efectuados por el legislador que le antecedió en el uso de la palabra, el Honorable Senador señor Insulza hizo ver que la realidad del país obliga a contemplar normas que velen por la integración paritaria de ciertos órganos. Alcanzado un mejor nivel de igualdad entre hombres y mujeres, enunció, este modo de protección no será indispensable.

Fijando su atención en el carácter ad honorem de los integrantes del Consejo Multisectorial de Ciberseguridad, disintió de la idea de que quienes dedican su tiempo y conocimientos no reciban remuneración alguna a cambio. Pese a ello, declaró entender la razón por la cual se optó por este modelo.

Por último, recomendó que los miembros de la entidad cuya creación se propone sean aprobados por el Senado, tal como ocurre en otros casos.

Atendiendo la observación del Honorable Senador señor Ossandón, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, defendió la composición paritaria del consejo referido, afirmando que estará representada la mirada de hombres y mujeres.

También llamó a tener en consideración que en el área de la seguridad informática existe una fuerte concentración masculina. De hecho, acotó, los hombres representan cerca del 80%, lo que genera diversos efectos, entre ellos, sesgos en la visualización de este tipo de conflictos.

En sintonía con lo relatado recientemente, subrayó que las mujeres son las principales víctimas de acoso cibernético, no obstante lo cual las soluciones tecnológicas son diseñadas por personas del género opuesto, lo que impide dimensionar la amplitud del problema.

Luego, coincidió con el Honorable Senador señor Insulza en cuanto a que una norma que asegure paridad en la integración del Consejo Multisectorial sobre Ciberseguridad equilibrará las oportunidades para las mujeres, atendida la actual situación del mercado del sector.

Acerca de la intervención del Honorable Senador señor Pugh, en tanto, informó que el artículo sexto transitorio contempla reglas relativas a la integración del primer consejo para garantizar que, a futuro, la alternancia se realice de la forma prescrita.

En lo que atañe a la eventual aprobación de los miembros de la entidad por el Senado, anunció que dicha recomendación requeriría mayor análisis por parte del Ejecutivo.

A su turno, el Honorable Senador señor Araya compartió la importancia de que el país avance en paridad y en mayores espacios para las mujeres.

Sin embargo, opinó que en el caso del consejo no se observa con claridad por qué debe primar tal criterio. Por el contrario, reflexionó, simplemente es preciso velar porque quienes posean los mejores currículums en ciberseguridad lo conformen, sin atender al género.

El objetivo, declaró, es garantizar que el órgano asesor quede integrado apropiadamente. Relevó que la regla impuesta en la indicación podría conducir a que candidatos con más conocimientos y experiencia que otros queden fuera por su género, lo que incidirá en las políticas públicas sobre este fundamental tema. En conclusión, insistió, no es la paridad lo que hay que resguardar en esta ocasión, sino la capacidad técnica de los miembros del consejo.

El Honorable Senador señor Macaya, a su vez, juzgó fundamental incentivar la participación de las mujeres en todos los espacios de la sociedad. Sin perjuicio de ello, especificó que hay ciertas áreas en las cuales, debido a su dificultad, se requiere la participación de personas que estén dotadas con las habilidades adecuadas. Así, profundizó, si se impusiera la exigencia de paridad en el Grupo de Operaciones Policiales Especiales, en las Fuerzas Armadas o en trabajos pesados mineros, se complejizaría el desarrollo de tales labores.

Su Señoría sentenció que en una materia tan compleja como es la ciberseguridad, lo que debe perseguirse es la participación de los mejores, independientemente del género. En consecuencia, concluyó, bien podrían ser solo mujeres.

Finalmente, expuso que imponer una limitación como la que es objeto de cuestionamientos, podría repercutir en la seguridad nacional.

El Honorable Senador señor Pugh alertó que los consejeros de la entidad cuya creación se propone en esta indicación serán designados por el Presidente de la República. Pormenorizó que el Primer Mandatario debe ser libre de nominar a quien quiera, pudiendo, por consiguiente, nombrar solo mujeres. En tal sentido, previno, la última oración del inciso segundo del artículo 16 limitaría la facultad de la máxima autoridad del país.

Recordó que hay lugares en los cuales la participación de las personas de género femenino es mayor a la de los hombres. Así, dijo, ocurre en el ámbito de la ciberinteligencia. En consecuencia, alertó, una regla como la cuestionada podría jugar en contra de aquellas. Con todo, reconoció que la fuerza laboral en ciberseguridad solo está compuesta en un 12% por mujeres.

El Honorable Senador señor Insulza reiteró que la exigencia discutida no es una arbitrariedad, sino simplemente el reconocimiento de una realidad y la defensa de la igualdad de oportunidades. De hecho, prosiguió, en la sociedad chilena actual impera aún la creencia de que los hombres están más preparados que las mujeres para asumir ciertas funciones.

Cuando el principio de paridad se haya asentado en la sociedad, connotó, no será imprescindible una imposición como la analizada.

Por último, resaltó que obligaciones como esta se han incorporado en diversos cuerpos del ordenamiento jurídico, incluso en la reforma constitucional.

El Honorable Senador señor Quintana, en tanto, puso de relieve que en seguridad preventiva está demostrado que la presencia de mujeres reporta beneficios significativos al trabajo de las policías. En efecto, ahondó, se ha verificado que patrullas mixtas facilitan las denuncias.

A reglón seguido, manifestó que el enfoque de género es aplicado en diversas áreas, y que no hay razones para no incorporarlo en esta, más aún cuando para las personas de género femenino existen barreras de entrada para acceder a ciertos cargos. Añadió que su participación en el consejo mencionado allanará una visión distinta en ciberseguridad.

El Honorable Senador señor Ossandón postuló que la oración objeto de debate restringe la facultad del Presidente de la República para elegir a quienes están mejor preparados para integrar el órgano asesor aludido. La regla impuesta, observó, hará que la mitad de los cargos sean ocupados por mujeres, pero eso no implica, necesariamente, que sean las mejores candidatas para asumir tan significativa labor.

Para concluir, hizo ver la contradicción entre la propuesta en disputa y el actuar del Ejecutivo en los cambios realizados recientemente en la designación de quienes estarán a la cabeza del Ministerio de Desarrollo Social y Familia, y de la Secretaría de Estado de Justicia y Derechos Humanos.

Discrepando del legislador que le precedió en el uso de la palabra, el Honorable Senador señor Saavedra afirmó que la ausencia de reglas de paridad ha conducido a que sean hombres los que ejerzan gran parte de los cargos.

Al tenor de lo señalado, llamó a avanzar en la integración de hombres y de mujeres en la construcción de la sociedad. Añadió que mientras el país no madure en este sentido, exigencias como la cuestionada deberán permanecer.

En razón del debate suscitado, el Honorable Senador señor Macaya sugirió una redacción distinta para la última oración del inciso segundo, de manera de expresar que, en la elección, el Primer Mandatario procurará que se respeten los criterios de paridad de género, estableciéndolo como un principio. Consignó que tales términos evitarán rigidizar la decisión del Presidente de la República para nombrar a los más capacitados.

El Honorable Senador señor Van Rysselberghe respaldó los planteamientos de Su señoría.

Asimismo, resaltó que, debido a los talentos de las mujeres, la regla de paridad terminará por perjudicarlas.

El Honorable Senador señor Huenchumilla subrayó que la exigencia de representación balanceada en el Consejo Multisectorial sobre Ciberseguridad, al igual como ocurre en otras instituciones, encuentra su origen en el trato diferente y perjudicial que históricamente se ha dado a las personas de género femenino.

Hoy, prosiguió, los cambios en la sociedad obligan a dejar atrás dicha realidad. Una norma de discriminación positiva en favor de ellas les posibilitará acceder a cargos importantes y contribuir con sus talentos.

A pesar de sus dichos, reconoció que la imposición debatida resta flexibilidad al Primer Mandatario para nominar a quienes en un momento determinado estén mejor preparados.

En otro orden de ideas, cuestionó que los consejeros de la entidad creada se desempeñen ad honorem, y llamó a buscar algún mecanismo de remuneración que les permita palear el tiempo que dedicarán a un asunto tan significativo para el Estado, como es la seguridad informática.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reiteró que la ciberseguridad es un espacio ocupado principalmente por hombres. Relató que el 78% de la fuerza laboral del área les corresponde. Estimó que, según el ritmo de crecimiento alcanzado, sin el requisito planteado, será imposible lograr la paridad, pese a que las mujeres constituyen más del 50% de la población chilena.

Connotó que la regla hará posible que el órgano asesor mencionado tenga la mejor representación de la sociedad. Su ausencia, añadió, reprimirá dicho objetivo, toda vez que, tradicionalmente, la balanza se ha inclinado en favor de las personas de género masculino.

Sostuvo que, si bien el número de mujeres abocadas a la ciberseguridad es aún bajo, puede afirmarse que las que asuman el cargo de consejera estarán muy bien calificadas.

Adicionalmente, recordó que las funciones de la entidad aludida apuntan a asesorar, analizar y formular recomendaciones respecto de las amenazas potenciales y existentes en seguridad informática. En este punto, destacó que el 99% de las víctimas de violencia digital de género son mujeres. De este modo, subrayó, se requiere una acción del Estado para equilibrar ese escenario.

Juzgó que el artículo examinado va en tal dirección. En consecuencia, invitó a aprobar la medida de paridad, para que el Presidente de la República pueda elegir como miembros del Consejo Multisectorial sobre Ciberseguridad a los mejores hombres y mujeres disponibles para asumir tal labor.

Enunció que, si en algunos años más la distribución de la fuerza laboral en ciberseguridad es similar, la exigencia podría suprimirse.

En lo que concierne a la inquietud de reconsiderar el carácter ad honorem de los consejeros, explicó que, si bien en el proyecto original se contempla un estipendio, se reparó que podría inhibir la participación de personas que suelen ser proveedoras del Estado. Verbigracia, comentó, representantes de la industria, como es el caso de los de empresas de hacking contratadas por el Estado, no podrían ser miembros del citado órgano.

En sintonía con lo expuesto, opinó que el ejercicio a título gratuito otorgará más libertad. A mayor abundamiento, comentó que los académicos, en general, están impedidos de recibir remuneraciones de otros estamentos, salvo en casos excepcionales.

Por las razones detalladas, remarcó, el desempeño ad honorem consolidará un organismo asesor del más alto nivel.

Para concluir, aclaró que, a las razones precedentemente esgrimidas, se suman las restricciones presupuestarias para el financiamiento de la iniciativa de ley.

El Honorable Senador señor Ossandón instó al personero de Gobierno a buscar una redacción más flexible, como la sugerida por el Honorable Senador señor Macaya.

El Honorable Senador señor Huenchumilla concordó con los planteamientos del legislador que le precedió en el uso de la palabra. Al respecto, llamó a no olvidar que la mayoría de las enmiendas realizadas al texto aprobado en general han sido aprobadas por unanimidad.

Finalmente, las Comisiones unidas resolvieron votar separadamente la última oración del inciso segundo del artículo 16.

- Sometida a votación la indicación número 116, con excepción de la oración final del inciso segundo del artículo propuesto en ella, fue aprobada con la enmienda explicada al inicio del análisis -consistente en reemplazar la expresión “dos años” por “tres años”-, por la unanimidad de los miembros de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -actuando como integrante de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

- Puesta en votación la última oración del inciso segundo del artículo 16 propuesto, se registraron tres votos a favor, de los Honorables Senadores señores Insulza, Quintana y Saavedra; cuatro votos en contra, de los Honorables Senadores señores Araya, Ossandón, Pugh y Van Rysselberghe, y tres abstenciones, de los Honorables Senadores señores Huenchumilla -en su condición de miembros de ambas instancias legislativas- y Macaya.

- Repetida la votación de la última oración del inciso segundo del artículo 16 propuesto en la indicación, de conformidad a lo establecido en el artículo 178 del Reglamento del Senado, el resultado fue el mismo. Por consiguiente, al tenor de lo prescrito en el inciso segundo del citado precepto, las abstenciones se consideraron como favorables a la posición que obtuvo mayor número de votos, quedando rechazada la mencionada oración por siete votos en contra, de los Honorables Senadores Araya, Huenchumilla -en su calidad de miembro de ambas Comisiones-, Macaya, Ossandón, Pugh y Van Rysselberghe, y tres votos a favor, de los Honorables Senadores señores Insulza, Quintana y Saavedra.

Como consecuencia de esta última votación, el artículo 16 quedaría de la manera que se transcribe:

“Artículo 16. Consejo Multisectorial sobre Ciberseguridad. Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.”.

ARTÍCULO 18

Establece las funciones del Consejo Técnico de la Agencia Nacional de Ciberseguridad. Su tenor literal es el que sigue:

“Artículo 18. Funciones del Consejo. Corresponderá al Consejo:

a) Asesorar a la Agencia en materias relacionadas con la ciberseguridad y la protección y aseguramiento de la Infraestructura Crítica de la Información;

b) Elaborar el informe que señala el artículo 4º de esta ley, relativo a la determinación de los sectores o instituciones que posean infraestructura de la información que deba ser calificada como crítica;

c) Asesorar en la redacción de propuestas de normas técnicas que la Agencia genere, y;

d) Asesorar a la Agencia en todas aquellas materias que ésta solicite.”.

Sobre este precepto recayó la indicación número 117, de Su Excelencia el Presidente de la República, para suprimirlo.

- En votación, las Comisiones unidas, por la unanimidad de sus integrantes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

ARTÍCULO 19

Norma, por medio de cinco incisos, el funcionamiento del Consejo Técnico de la Agencia Nacional de Ciberseguridad. Al efecto, dispone que solo podrá sesionar con la asistencia de, al menos, tres de sus miembros, previa convocatoria del Director de la Agencia. Sin perjuicio de lo anterior, agrega, el Presidente del consejo estará obligado a convocar a una sesión extraordinaria cuando así lo requieran, por escrito, a lo menos tres de sus miembros. En todo caso, previene, el consejo podrá autoconvocarse en situaciones urgentes o necesarias conforme a la decisión de la mayoría de sus integrantes.

Añade que el consejo sesionará todas las veces que sea necesario para el cumplimiento oportuno y eficiente de sus funciones, debiendo celebrar sesiones ordinarias a lo menos una vez cada dos meses, con un máximo de doce sesiones pagadas por cada año calendario, y sesiones extraordinarias, cuando las cite especialmente el Presidente del consejo, o cuando aquellas se citen por medio de una autoconvocatoria del consejo. Acota que podrán celebrarse un máximo de cuatro sesiones extraordinarias pagadas por cada año calendario.

Prescribe, asimismo, que los acuerdos del consejo se adoptarán por la mayoría absoluta de los consejeros presentes. El Presidente del consejo tendrá voto dirimente en caso de empate. De los acuerdos que adopte el consejo deberá dejarse constancia en el acta de la sesión respectiva. Podrán declararse secretas las actas en que, de conformidad a la ley, se traten materias que afectaren el debido cumplimiento de las funciones de la Agencia, la seguridad de la Nación o el interés nacional.

Señala, además, que cada uno de los integrantes del Consejo, con excepción de su Presidente, percibirá una dieta de quince unidades de fomento por cada sesión a la que asista, con un tope máximo de doce sesiones por año calendario. Esta dieta será compatible con otros ingresos que perciba el consejero.

Finalmente, consigna que un reglamento expedido por el Ministerio del Interior y Seguridad Pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

En relación con esta disposición, se formuló la indicación número 118, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, consultado como artículo 17:

“Artículo 17. Funcionamiento del Consejo. El Consejo sesionará a lo menos cuatro veces al año; sus recomendaciones serán de carácter público, y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.”.

El Honorable Senador señor Araya recomendó consignar en la redacción del nuevo artículo 17 que, en forma excepcional, el Consejo Multisectorial sobre Ciberseguridad podrá realizar recomendaciones de carácter reservado, en atención a que los temas involucrados versan sobre seguridad.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, observó que el artículo 29 de la iniciativa de ley consagra reglas referidas a la reserva de la información. Con todo, sugirió facultar al director de la Agencia Nacional de Ciberseguridad para declarar secretas algunas de las sesiones del consejo mencionado cuando los antecedentes así lo ameriten.

El Honorable Senador señor Huenchumilla propuso dejar pendiente la votación de esta indicación, a la espera de una redacción que recoja el planteamiento del Honorable Senador señor Araya.

En la sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo, recogiendo las aprensiones suscitadas, acordó incorporar al inciso primero del artículo 17 contenido en la indicación analizada, la siguiente oración final:

“Excepcionalmente y mediante decisión fundada, el Director podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 42.”.

Acotó que, de acogerse tal sugerencia, la redacción del artículo 17 quedaría de la forma que se señala a continuación:

“Artículo 17. Funcionamiento del Consejo. El Consejo sesionará a lo menos cuatro veces al año; sus recomendaciones serán de carácter público, y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 42.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.”.

- En votación, esta indicación fue aprobada, con la enmienda transcrita precedentemente y otras adecuaciones, por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Macaya, Pugh -actuando como miembro de ambas Comisiones- y Van Rysselberghe.

ARTÍCULO 20

Consagra las incompatibilidades de los miembros del Consejo Técnico de la Agencia Nacional de Ciberseguridad. Sobre el particular, indica que no podrán ser designados consejeros las personas que desempeñen empleos o comisiones retribuidos con fondos del Fisco, de las municipalidades, de las entidades fiscales autónomas, semifiscales, de las empresas del Estado o en las que el Fisco tenga aportes de capital, y con toda otra función o comisión de la misma naturaleza. Exceptúa a los empleos docentes y las funciones o comisiones de igual carácter de la enseñanza superior, media o especial.

Sobre este precepto recayó la indicación número 119, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 18:

“Artículo 18. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo solo por el tiempo que falte para completar el período del consejero reemplazado.”.

Al respecto, las Comisiones unidas estuvieron contestes en la conveniencia de perfeccionar la redacción de la primera oración del inciso segundo del artículo 18 propuesto en la indicación, de modo que el deber de comunicación solo opere en las causales que posibilitan su cumplimiento. Para ello, acordaron incorporar, luego de la voz “Consejo”, la locución “cuando correspondiere”. En consecuencia, el tenor literal del artículo citado quedaría como sigue:

“Artículo 18. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo solo por el tiempo que falte para completar el período del consejero reemplazado.”.

El Honorable Senador señor Huenchumilla opinó que las causales individualizadas entre los literales a) y e) corresponden a situaciones que obviamente impedirán que el consejero afectado por ellas continúe en su cargo. Juzgó que no sería imprescindible contemplarlas.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que los motivos considerados en la indicación objeto de análisis son las que habitualmente se señalan en la legislación para la cesación en el cargo de los miembros de órganos colegiados. Ellas, clarificó, no siempre operan de manera automática. Así, pormenorizó, la incapacidad física o síquica podría discutirse.

- Las Comisiones unidas, por la unanimidad de sus integrantes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron la indicación número 119 con la enmienda aludida.

°°°°°

Párrafo nuevo

Posteriormente, dando cumplimiento al compromiso adquirido, del cual se da cuenta en el debate de la indicación siguiente, Su Excelencia el Presidente de la República formuló una indicación, que fue individualizada como indicación número 119 bis, para intercalar en el Título III el siguiente párrafo 4°, nuevo, antes del artículo 21, que pasa a ser 19:

“Párrafo 4°

Red de Conectividad Segura del Estado.”

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

°°°°°

ARTÍCULO 21

Indica las causales de cesación en el cargo de consejero técnico de la Agencia Nacional de Ciberseguridad. Su tenor literal es el que sigue:

“Artículo 21. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria aceptada por la autoridad que realizó la designación.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Sobreviniencia de alguna causal de incompatibilidad de las contempladas en el artículo 19.

f) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

g) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a dos sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción. Con todo, tratándose del ordinal ii) de dicho literal, será necesario, para cursar la remoción, la presentación de la respectiva querella por el delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo solo por el tiempo que falte para completar el período del consejero reemplazado.”.

Con relación a esta norma se formuló la indicación número 120, de Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, consultada como artículo 19:

“Artículo 19. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado (RCSE), que proveerá servicios de interconexión y conectividad a Internet a los órganos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los órganos de la Administración del Estado.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó que la mesa de trabajo prelegislativo recomienda aprobar la indicación en análisis, con modificaciones, a fin de sustituir en los incisos primero y final la voz “órganos” por “organismos”, además enmiendas meramente formales.

Acotó que, de respaldarse tal propuesta, la redacción del artículo 19 quedaría como sigue:

“Artículo 19. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a Internet a los organismos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.”.

El Honorable Senador señor Huenchumilla puso de manifiesto que, conforme a la indicación en estudio, el reglamento será expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que mientras se discute en el Congreso Nacional la creación del Ministerio de Seguridad Pública, se ha optado por emplear la fórmula mencionada. Sin embargo, en estricto rigor, acotó, debiera aludirse al Ministro de Seguridad Pública.

En otro orden de ideas, comunicó que la indicación formaliza la Red de Conectividad Segura del Estado, disponible en el país desde el Gobierno del ex Presidente, señor Ricardo Lagos, que permite que los servicios públicos contraten de manera centralizada acceso a Internet, lo que se ha traducido en ahorro de recursos para el país y un funcionamiento seguro.

A su vez, el Honorable Senador señor Pugh respaldó los dichos del personero de Gobierno. Adicionalmente, apuntó, se agrega la referencia a que la red deberá ser segura. Precisó que este último atributo dice relación no solo con que es de fiar, sino también con su capacidad de resiliencia.

Las Comisiones unidas, alertaron que el artículo cuya creación se propone en esta indicación queda bajo el alero del Párrafo 4°, del Título III, denominado “Consejo Multisectorial sobre Ciberseguridad”, por lo que en el texto definitivo deberá tener la ubicación pertinente.

Dicha observación fue recogida, como se dijo, en la indicación signada con el número 119 bis.

- Las Comisiones unidas, por la unanimidad de sus integrantes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron la indicación número 120 con las enmiendas consignadas oportunamente.

ARTÍCULO 22

Crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática dentro de la Agencia Nacional de Ciberseguridad y señala sus funciones.

Letra a)

Encomienda al CSIRT Nacional la función de responder ante incidentes de ciberseguridad o ciberataque que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información relativos a instituciones privadas no sometidas a la supervigilancia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica, de conformidad a lo prescrito en esta ley.

Con respecto a este literal se presentó la indicación número 121, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“a) Responder ante ciberataques o incidentes de ciberseguridad, cuando estos sean de impacto significativo.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, afirmó que la indicación examinada persigue precisar las atribuciones del CSIRT Nacional.

El Honorable Senador señor Insulza observó que la iniciativa de ley utiliza en diversos artículos la sigla “CSIRT” para referirse al Equipo de Respuesta a Incidentes de Seguridad Informática.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que el empleo del acrónimo “CSIRT” responde a que se ha estandarizado técnicamente a nivel internacional, y encuentra su origen en la denominación original del grupo referido, llamado en inglés “computer security incident response team”. Sin perjuicio de su uso en la iniciativa de ley, alertó, el título recurre a la expresión en español.

Luego, solicitó aprobar esta indicación con una modificación, a fin de reemplazar la expresión “impacto significativo” por “efecto significativo” para que haya coherencia entre este literal y el artículo 7 aprobado por las Comisiones unidas.

Detalló que, de acogerse tal requerimiento, la redacción del citado literal a) quedaría como sigue:

“a) Responder ante ciberataques o incidentes de ciberseguridad, cuando estos sean de efecto significativo.”.

A su turno, el Honorable Senador señor Pugh dio a conocer que a nivel mundial existen dos formas para nombrar los equipos de respuesta citados; en primer lugar, la sigla “CSIRT”, y por otro la abreviatura “CERT”. No obstante, alertó, esta última corresponde a un término de marca registrada de la Universidad Carnegie Mellon.

Sostuvo que en Europa se utiliza la primera fórmula. Además, connotó, la OEA decidió emplear en todo el continente la misma opción. Así, relevó, la sigla citada no es extraña, y permite homologación con los estándares internacionales.

Asimismo, Su Señoría constató que el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática solo intervendrá ante ciberataques o incidentes que sean de consecuencias importantes. Por lo tanto, destacó, no estará permanentemente activo. Serán las CSIRT sectoriales los que tomarán el control, ejecuten las acciones correspondientes y reporten. Reiteró que solo en el evento de hechos mayores -y que tengan efectos significativos- operará el órgano nacional.

- Puesta en votación, esta indicación fue aprobada con la enmienda referida, por la unanimidad de los miembros de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra b)

Establece como función del CSIRT Nacional coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

Sobre este literal recayeron las indicaciones números 122 y 123.

La indicación número 122, del Honorable Senador señor Van Rysselberghe, es para eliminarlo.

- Esta indicación fue retirada por su autor.

La indicación número 123, de Su Excelencia el Presidente de la República, es para sustituirlo por el siguiente:

“b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de impacto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por estos.”.

Al igual que con ocasión de la indicación número 121, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, solicitó aprobar con modificaciones la enmienda en análisis para reemplazar la locución “impacto significativo” por “efecto significativo”, a fin de que exista coherencia entre la redacción del literal b) del artículo 22; el literal a) del mismo precepto y el artículo 7 de la iniciativa de ley.

Pormenorizó que, de acogerse tal sugerencia, el tenor literal del literal b) quedaría de la forma que se señala a continuación:

“b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por estos.”.

Seguidamente, informó que la indicación propone alcanzar un sistema coordinado de respuesta ante incidentes, a nivel sectorial, nacional y de defensa.

- Puesta en votación, esta indicación fue aprobada con la enmienda referida, por la unanimidad de los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra d)

Considera como función del CSIRT Nacional prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad.

Al respecto, se formuló la indicación número 124, del Honorable Senador señor Van Rysselberghe, para suprimirla.

- Esta indicación fue retirada por su autor.

Letra e)

Entrega al CSIRT Nacional la función de ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

En relación con este literal se presentaron las indicaciones números 125 y 126.

La indicación número 125, del Honorable Senador señor Van Rysselberghe, es para eliminarlo.

- Esta indicación fue retirada por su autor.

La indicación número 126, de Su Excelencia el Presidente de la República, lo reemplaza por el siguiente:

“e) Supervisar incidentes a escala nacional.”.

- Sometida a votación, esta indicación fue respaldada por la unanimidad de los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra f)

Encomienda al CSIRT Nacional la función de consolidar y tratar los datos técnicos y antecedentes que describen la ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y demás información para efectos de la alimentación del registro previsto en los términos del artículo 16.

Sobre este literal recayó la indicación número 127, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.”.

- En votación, esta indicación fue aprobada por la unanimidad de los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra g)

Establece como función del CSIRT Nacional realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

Respecto de este literal se formularon las indicaciones números 128 y 129.

La indicación número 128, de Su Excelencia el Presidente de la República, elimina el siguiente texto: “, con la finalidad de procurar que los órganos del Estado e instituciones privadas que posean infraestructura de la información calificada como crítica cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques”.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que la supresión consignada busca alcanzar coherencia entre la letra g) del artículo 22 y el modelo previsto en el artículo 4 del proyecto de ley.

El Honorable Senador señor Quintana aseveró no compartir la idea de reemplazar el sistema de infraestructura crítica de la información por el de servicios esenciales y operadores de importancia vital. Por tal motivo, anunció que votaría en contra de esta indicación.

- La mayoría de los miembros de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Saavedra y Van Rysselberghe, respaldó esta indicación. El Honorable Senador señor Quintana, en tanto, votó en contra.

La indicación número 129, del Honorable Senador señor Insulza, reemplaza la expresión “órganos del Estado” por “organismos del Estado”.

- Esta indicación fue retirada por su autor.

Letra h)

Considera como función del CSIRT Nacional requerir a los CSIRT Sectoriales, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

Al efecto, se presentaron las indicaciones números 130 y 131.

La indicación número 130, del Honorable Senador señor Van Rysselberghe, es para suprimirla.

- Esta indicación fue retirada por su autor.

La indicación número 131, de Su Excelencia el Presidente de la República, busca reemplazar la expresión “a los CSIRT Sectoriales, dentro del ámbito de su competencia”, por la siguiente: “a las instituciones afectadas o a los CSIRT correspondientes”.

De aprobarse esta indicación, el literal quedaría como sigue:

“h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.”.

- Las Comisiones unidas, por la unanimidad de sus integrantes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, respaldaron esta indicación.

Letra i)

Entrega al CSIRT Nacional la función de responder, conjuntamente con uno o más CSIRT Sectoriales, en la gestión de un incidente de ciberseguridad o de un ciberataque, dependiendo de las capacidades y competencias de los órganos del Estado que concurren a su gestión, cuando estos puedan ocasionar un impacto significativo en el sector, institución u órgano del Estado, según corresponda. En estos casos, agrega, el CSIRT Nacional podrá recomendar, colaborar, compartir información, coordinar y realizar todas las acciones conjuntas necesarias para asegurar una respuesta rápida frente al incidente. Además, podrá supervisar la implementación de medidas de mitigación de corto plazo, e informarse de las medidas de largo plazo adoptadas.

Sobre este literal recayeron las indicaciones números 132, 133 y 134.

La indicación número 132, de Su Excelencia el Presidente de la República, es para para sustituirlo por el siguiente:

“i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, puso de relieve que esta función es ejercida actualmente por el CSIRT de Gobierno.

- En votación, esta indicación contó con el apoyo de la totalidad de los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 133, del Honorable Senador señor Van Rysselberghe, suprime la frase “, conjuntamente con uno o más CSIRT Sectoriales,”.

- Esta indicación fue retirada por su autor.

La indicación número 134, del Honorable Senador señor Insulza, busca reemplazar, las dos veces en que aparece, la expresión “órganos del Estado”, por “organismos del Estado”.

- Al igual que la indicación anterior, esta fue retirada por su autor.

Letra j)

Establece como función del CSIRT Nacional generar y difundir información mediante campañas públicas y prestar asesoría técnica general a personas naturales o jurídicas, que no se encuentran reguladas por esta ley, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

En relación a este literal se formuló la indicación número 135, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente:

“j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.”.

- Puesta en votación, esta indicación contó con el respaldo de la unanimidad de los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

Letra k)

Encomienda al CSIRT Nacional la función de crear y administrar para el cumplimiento de sus funciones una red electrónica de comunicaciones segura destinada a comunicar y compartir información con los otros CSIRT Sectoriales, de Gobierno y Defensa. El funcionamiento de la red de comunicaciones se establecerá en el reglamento de la presente ley.

Respecto de este literal se presentaron las indicaciones números 136 y 137.

La indicación número 136, de Su Excelencia el Presidente de la República, es para eliminarlo.

- Sometida a votación, esta indicación contó con la aprobación de todos los integrantes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe.

La indicación número 137, del Honorable Senador señor Van Rysselberghe, busca reemplazar la expresión “los otros CSIRT Sectoriales, de Gobierno y Defensa” por “los reguladores o fiscalizadores sectoriales”.

- Esta indicación fue retirada por su autor.

TÍTULO IV

Lleva por epígrafe “De los equipos de respuesta a incidentes de seguridad informática sectoriales”.

Sobre esta parte del proyecto de ley recayeron las indicaciones 138 y 139.

La indicación número 138, del Honorable Senador señor Van Rysselberghe, es para suprimirlo, junto con los artículos 23, 24, 25 y 26, que lo integran.

- Esta indicación fue retirada por su autor.

La indicación número 139, de Su Excelencia el Presidente de la República, reemplaza su denominación por la siguiente:

“TÍTULO IV

Otras instituciones intervinientes”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de miembro de ambas instancias legislativas-, Insulza, Macaya, Ossandón, Pugh, Quintana, Saavedra y Van Rysselberghe, aprobaron esta indicación.

ARTÍCULO 23

Esta disposición refiere a los CSIRT Sectoriales. Su tenor literal es el que sigue:

“Artículo 23. CSIRT Sectoriales. Los reguladores o fiscalizadores sectoriales podrán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de sus respectivos sectores regulados.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública establecerá las instancias de coordinación entre la Agencia Nacional de Ciberseguridad, los reguladores y fiscalizadores sectoriales, así como de sus respectivos CSIRT, dentro del marco que fija esta ley.”.

Respecto de este precepto se formuló la indicación número 140, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 21:

“Artículo 21. CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las instituciones privadas.

Las funciones de los CSIRT Sectoriales serán determinadas por la Agencia, y en su actuación quedarán sujetos a su coordinación e instrucción.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo recomienda aprobar con modificaciones esta indicación, de modo que la redacción del artículo 21 quede de la manera siguiente:

“Artículo 21. CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad contribuir al desarrollo de capacidades, confianza y seguridad de las redes y sistemas informáticos y proporcionar asistencia para la gestión de incidentes de ciberseguridad en sus respectivos sectores.

Los CSIRT Sectoriales tendrán las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, dando prioridad a aquellos que puedan tener efecto significativo.

b) Colaborar e interoperar con los otros CSIRT Sectoriales, frente a ciberataques o incidentes de ciberseguridad de efecto significativo, bajo la coordinación y supervisión de la Agencia.

c) Establecer relaciones de cooperación e interoperabilidad con los otros CSIRT Sectoriales.

d) Supervisar la gestión de incidentes de ciberseguridad que afecten a su sector.

e) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación que afecten a su sector.

f) Realizar capacitación en materia de ciberseguridad, debiendo para ello seguir las instrucciones que al efecto pudiera dictar la Agencia.

g) Requerir a las instituciones de su sector información sobre los incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos, la que deberá ser remitida al CSIRT Nacional. La información que se remita deberá excluir datos personales.

h) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de ciberseguridad, conforme a las instrucciones que dicte al efecto la Agencia.

i) Poner en conocimiento de la Agencia toda información relevante, en especial aquella referida a incidentes de ciberseguridad de efecto significativo, y

j) Colaborar con la Agencia en los casos y en la forma que esta lo solicite.

En el ejercicio de sus funciones, los CSIRT Sectoriales deberán dar cumplimiento a todos aquellos protocolos y estándares técnicos, instrucciones generales y particulares, que la Agencia pudiera dictar con el objeto de lograr un nivel común de ciberseguridad y respuestas coordinadas ante la ocurrencia de incidentes de ciberseguridad. En el caso del CSIRT del sector financiero sujeto a la fiscalización de la Comisión para el Mercado Financiero, bastará con dar cumplimiento a los protocolos y estándares técnicos que la Agencia comunique ante la ocurrencia de incidentes de ciberseguridad, salvo en los casos de incidentes que pudieran tener un efecto sistémico en las redes y sistemas informáticos del país.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme a lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

Antes de interiorizarse en el contenido de la indicación y en los cambios introducidos, las Comisiones unidas acordaron escuchar la opinión de la Comisión para el Mercado Financiero, servicio público que solicitó ser recibido en audiencia para manifestar sus observaciones en relación con ciertos aspectos del proyecto de ley.

La Comisionada de la Comisión para el Mercado Financiero, señora Bernardita Piedrabuena, adujo que la entidad que integra valora la iniciativa de ley en examen, toda vez que es importante para el país contar con una Agencia Nacional de Ciberseguridad con facultades establecidas en la ley. Sin embargo, anunció, la institución tiene ciertas aprensiones respecto a cómo se coordinarán ambos organismos.

Recordó que la Comisión para el Mercado Financiero es un cuerpo regulador colegiado, de carácter técnico, autónomo y con patrimonio propio. Especificó que su directorio está compuesto por cinco miembros, cuatro de los cuales son elegidos por el Presidente de la República y ratificados por el Senado por los cuatro séptimos de sus parlamentarios en ejercicio. Agregó, asimismo, que las causales de remoción de los comisionados se encuentran taxativamente señaladas en la legislación, requiriéndose, además, la ratificación de la Corte Suprema.

Sostuvo que las cuatro personas aludidas precedentemente duran seis años en el cargo, pudiendo renovarse sus nombramientos. Adicionalmente, dijo, el presidente -que se desempeñará por un periodo de cuatro años- es elegido por el Primer Mandatario, y su separación supone una decisión fundamentada.

Puso de relieve que la creación del servicio público que representa responde a la conveniencia de que el país tenga un órgano ordenador técnico e independiente del ciclo político y de los regulados.

A la luz de lo expuesto, juzgó indispensable mantener la jerarquía institucional de dicha entidad, e hizo ver la preocupación que genera el que la Agencia Nacional de Ciberseguridad -cuyo director es elegido por medio del Sistema de Alta Dirección Pública y puede ser removido sin causales-, eventualmente coarte la autonomía de la que actualmente goza la Comisión para el Mercado Financiero.

Por otro lado, connotó que la indicación objeto de examen faculta, en términos amplios, al servicio que integra a dictar instrucciones generales y particulares sin conferir recursos para estas nuevas responsabilidades.

Siguiendo con el desarrollo de su exposición, afirmó que en la legislación comparada -España, Estados Unidos, Reino Unido, Brasil, México y Colombia, entre otros países- si bien existe una institución a cargo de los asuntos de ciberseguridad, se reconoce al sector financiero como uno relevante y con supervisión especial, haciéndose deferencia a sus potestades, experiencias y capacidades. En definitiva, subrayó, se considera la competencia que tiene el organismo regulatorio para dictar normas sobre el particular y fiscalizarlas, tanto en tiempos normales como de crisis.

Asimismo, notó que la Comisión vela por la estabilidad financiera y la protección de los asegurados, depositantes e inversionistas. En este contexto, reflexionó, pese a que el órgano es nuevo, tiene una larga trayectoria en asuntos tecnológicos y de ciberseguridad. Ello, acotó, pues su origen se remonta a la unión de las Superintendencias de Bancos e Instituciones Financieras, y de Valores y Seguros.

A mayor abundamiento, pormenorizó que actualmente posee dos normas, la N° 2.010, que regula la gestión de riesgos y la ciberseguridad, particularmente en bancos, emisores de tarjetas y cooperativas, y la N° 454, que aborda la seguridad informática en las compañías de seguro.

En razón de lo indicado, manifestó su preocupación en torno a la continuidad operacional de las instituciones fiscalizadas. En efecto, profundizó, un posible contexto de ciberataque obligará a fijar reglas mínimas para que sigan funcionando y no se produzcan disrupciones en la atención a los clientes. Además, es necesario evitar el contagio de incidentes al interior de las organizaciones del sistema.

Por otra parte, expresó su inquietud frente a la posibilidad de que en eventos de crisis existan dos encargados de comunicar las instrucciones a los fiscalizados por la Comisión para el Mercado Financiero. Tal escenario, alertó, podría motivar la paralización. Estimó que, dada la experiencia y conocimiento del organismo en el funcionamiento del sistema financiero, este debiera ser el ente que lidere la labor supervisora en esos momentos. A mayor abundamiento, hizo presente que detener el sector tiene efectos nocivos sobre la economía y los ciudadanos.

Luego, aseveró que los incidentes de ciberseguridad focalizados al área financiera no se propagan a otras, como a las líneas aéreas, hospitales, colegios o entidades que puedan resultar de interés.

La Comisionada de la Comisión para el Mercado Financiero, señora Bernardita Piedrabuena, concluyó su participación sosteniendo que, si bien es importante la creación de la Agencia Nacional de Ciberseguridad, para la entidad que integra es fundamental conservar la autonomía respecto de sus supervisados en lo que atañe a la dictación de instrucciones y al ejercicio de las actividades fiscalizadoras.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, acerca de la intervención de la representante de la Comisión para el Mercado Financiero, reconoció que el proyecto de ley ingresado a tramitación no contemplaba distinciones entre los diversos sectores, por considerarse que era aconsejable tener una autoridad amplia que regulara de manera omnicomprensiva todo lo relacionado con la ciberseguridad. Ello, puntualizó, posibilitaría la respuesta coordinada desde el Estado y, por lo tanto, gestionar adecuadamente los riesgos y amenazas del ciberespacio.

Sin embargo, previno, posteriormente, la mesa técnica incorporó dos excepciones. La primera, acotó, consiste en facultar al citado servicio público para dictar las disposiciones de carácter general y técnico sobre ciberseguridad, sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las elaboradas por ella. De lo contrario, deberá informar previamente a la Agencia. En definitiva, constató, se plasma en la ley el deber de coordinación. En este punto, informó, no hay diferencias con la Comisión para el Mercado Financiero.

La segunda innovación, continuó, radica en facultar al CSIRT del sector financiero sujeto a la fiscalización de la Comisión para el Mercado Financiero, para dar cumplimiento solo a los protocolos y estándares técnicos que la Agencia Nacional de Ciberseguridad comunique ante la ocurrencia de incidentes de ciberseguridad, salvo que pudieran tener efectos en todas las redes y sistemas informáticos del país, pues en esta situación deberán observarse también las instrucciones generales y particulares emanadas de la Agencia, con el objeto de lograr un nivel común de ciberseguridad y respuestas coordinadas. Con todo, clarificó, no se afectan las facultades fiscalizadoras, las normativas ni las de supervisión del mercado financiero.

A continuación, discrepó de la afirmación efectuada por la señora Piedrabuena relativa a que los ciberataques no se propagan fuera del área financiera, toda vez que dicho organismo tiene la capacidad de contenerlo. Justificando su parecer, señaló que basta con pensar en un incidente que afecta a un proveedor que presta, al mismo tiempo, servicios a la banca y a otra industria del país. En tal hipótesis, remarcó, la posibilidad de extensión es alta.

En consecuencia, postuló, el Ejecutivo estima que deben respetarse las instrucciones generales y particulares que la Agencia Nacional de Ciberseguridad dicte frente a un incidente que pueda tener efectos sistémicos, insistiendo en que el objetivo de crear un órgano especializado en ciberseguridad es lograr respuestas coordinadas.

En la misma línea argumental, disintió de la aseveración referida a que en tal evento habrá dos voces. Aclaró que la mayor parte del tiempo, cada cual se hará cargo de su ámbito de competencia, mas cuando se esté frente a una agresión con el potencial de transformarse en sistémico, habrá una sola autoridad, pues los riesgos para la seguridad de las redes del país serán mayores. Así, puntualizó, quedó en evidencia tras el ataque de ransomware WannaCry a nivel mundial, en el año 2017, que infectó a múltiples sectores.

Por las razones esgrimidas, llamó a aprobar la indicación en los términos sugeridos por el equipo de asesores.

El Honorable Senador señor Pugh reconoció la experiencia de la Comisión para el Mercado Financiero en materia de ciberseguridad, y añadió que su normativa ha sido visionaria. Así queda de manifiesto, profundizó, con la exigencia que pesa sobre los fiscalizados de reportar, en treinta minutos, incidentes de dicha índole, en circunstancias de que el proyecto otorga tres horas a los CSIRT sectoriales ante tal tipo de circunstancias.

Su Señoría destacó que el fin perseguido por la iniciativa en estudio radica en tener un ecosistema digital que dé prosperidad al país -y que sea robusto y resiliente-, agregando que la infraestructura crítica de la información tiene dos características, la dependencia y la interdependencia.

Por otra parte, hizo ver que detrás de un ataque hay una autoría, la que debe ser determinada. Para ello, planteó, es imprescindible disponer de toda la información, lo que exige colaboración y no competición.

A fin de despejar dudas acerca del sector financiero, fue tajante en señalar que no está en el espíritu de la futura ley entrometerse en los procesos que él desarrolla, sino solo reaccionar coordinadamente para proteger a todos los ciudadanos de la mejor forma en situaciones muy particulares y difíciles.

En consecuencia, instó a respaldar la indicación en los términos propuestos por la mesa técnica.

El Honorable Senador señor Huenchumilla expresó interés por saber qué rol juega, en asuntos de ciberseguridad en la experiencia comparada, un órgano como la Comisión para el Mercado Financiero.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, respondió que en la Unión Europea -que constituye el marco de referencia para toda esta discusión- se ha avanzado en una regulación general sobre ciberseguridad; en una especial para el sector financiero, y una particular para las infraestructuras críticas. Indicó que, si bien el conjunto de normas más actualizado mantiene esa separación, propende a la coordinación entre las instituciones.

Relevó que el proyecto en debate sigue esa línea. Así, puntualizó, se observará al examinar las indicaciones que siguen. En esta oportunidad, reiteró, lo único que se prescribe es que en caso de incidentes que puedan tener efectos sistémicos, tan importante labor debe quedar, por deferencia, en la Agencia Nacional de Ciberseguridad.

El Honorable Senador señor Huenchumilla consultó si en la experiencia comparada existe algún organismo que vele por esa visión sistémica.

Atendiendo la inquietud del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que la labor suele recaer en los CSIRT Nacional, sin importar el sector de que se trate.

El Honorable Senador señor Huenchumilla declaró cerrado el debate y solicitó a los representantes de la Comisión para el Mercado Financiero que, de tener otras observaciones a la iniciativa legal, las hicieran llegar a la Secretaría de las Comisiones unidas. Si es necesario, adelantó, podría reabrirse el debate.

- Las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh -actuando como miembro de ambas Comisiones-, Saavedra y Van Rysselberghe aprobaron, ad referéndum, la indicación número 140 con las enmiendas transcritas anteriormente.

Posteriormente, dando cumplimiento al compromiso asumido, Su Excelencia el Presidente de la República presentó una indicación, que fue individualizada como indicación número 140 bis, para reemplazar el artículo 23 por el siguiente:

“Artículo 21.- CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad contribuir al desarrollo de capacidades, confianza y seguridad de las redes y sistemas informáticos y proporcionar asistencia para la gestión de incidentes de ciberseguridad en sus respectivos sectores.

Los CSIRT Sectoriales tendrán las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, dando prioridad a aquellos que puedan tener efecto significativo.

b) Colaborar e interoperar con los otros CSIRT Sectoriales, frente a ciberataques o incidentes de ciberseguridad de efecto significativo, bajo la coordinación y supervisión de la Agencia.

c) Establecer relaciones de cooperación e interoperabilidad con los otros CSIRT Sectoriales.

d) Supervisar la gestión de incidentes de ciberseguridad que afecten a su sector.

e) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación que afecten a su sector.

f) Realizar capacitación en materia de ciberseguridad, debiendo para ello seguir las instrucciones que al efecto pudiera dictar la Agencia.

g) Requerir a las instituciones de su sector información sobre los incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos, la que deberá ser remitida al CSIRT Nacional. La información que se remita deberá excluir datos personales.

h) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de ciberseguridad, conforme las instrucciones que dicte al efecto la Agencia.

i) Poner en conocimiento de la Agencia toda información relevante, en especial aquella referida a incidentes de ciberseguridad de efecto significativo.

j) Colaborar con la Agencia en los casos y en la forma que esta lo solicite.

En el ejercicio de sus funciones, los CSIRT Sectoriales deberán dar cumplimientos a todas aquellos protocolos y estándares técnicos, instrucciones generales y particulares, que la Agencia pudiera dictar con el objeto de lograr un nivel común de ciberseguridad y respuestas coordinadas ante la ocurrencia de incidentes de ciberseguridad. En el caso del CSIRT del sector financiero sujeto a la fiscalización de la Comisión para el Mercado Financiero, bastará con dar cumplimiento a los protocolos y estándares técnicos que la Agencia comunique ante la ocurrencia de incidentes de ciberseguridad, salvo en los casos de incidentes que pudieran tener un efecto sistémico en las redes y sistemas informáticos del país.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, aprobaron esta indicación.

ARTÍCULO 24

Señala, por medio de 11 literales, las funciones de los CSIRT Sectoriales. Su redacción es la que se indica:

“Artículo 24. Funciones de los CSIRT Sectoriales. Corresponderá a los CSIRT Sectoriales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración de Estado y de las instituciones privadas de su sector.

b) Coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del Estado y de las instituciones privadas de su sector frente a ataques, vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Prestar colaboración o asesoría técnica en la implementación de políticas y acciones relativas a ciberseguridad a los CSIRT de las instituciones reguladas.

d) Ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

e) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad, con la finalidad de procurar que los órganos de la Administración de Estado de su sector y de las instituciones reguladas cuenten con las competencias adecuadas para dar respuesta a incidentes de ciberseguridad o ciberataques.

f) Requerir a los CSIRT de sus instituciones reguladas, dentro del ámbito de su competencia, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas.

g) Generar y difundir información mediante campañas públicas dentro de su sector.

h) Trabajar conjuntamente con el CSIRT Nacional y con otros sectoriales, cuando corresponda, en la gestión de un incidente de ciberseguridad en los casos y forma previstas en el literal i) del artículo 20 de esta ley.

i) Informar al CSIRT Nacional, de vulnerabilidades, incidentes de ciberseguridad y ciberataques detectados o reportados en su sector, junto a sus respectivos cursos o planes de acción para subsanarlos.

j) Prestar asesoría técnica a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas, que estén o se hayan visto afectadas por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado de su sector y a sus instituciones reguladas.”.

En relación con esta norma se presentó la indicación número 141, de Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, contemplada como artículo 22:

“Artículo 22. Facultades especiales. Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación sectorial respectiva. Estas normas deberán ser sometidas a la aprobación previa de la Agencia, la que deberá pronunciarse en el plazo de treinta días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia. Con todo, si las autoridades sectoriales dictan normas generales sobre gestión de riesgos, que estén basadas en estándares internacionales e incluyan elementos relativos a ciberseguridad, podrán mantener dichos elementos.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos serán obligatorios para todos los regulados, aun cuando la autoridad sectorial omita referirse a ellos.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comentó que la disposición analizada dice relación con la facultad normativa especial de los órganos reguladores sectoriales. Ello, justificó, puesto que conocen sus capacidades y necesidades. Sin embargo, remarcó, dicha atribución debe ejercerse en coordinación con la Agencia Nacional de Ciberseguridad.

A reglón seguido, informó que el equipo de asesores conformado para facilitar la tramitación de esta iniciativa de ley recomienda aprobar la indicación en examen con las modificaciones que siguen:

- Suprimir la última oración del inciso segundo del artículo 22 propuesto, dado que resulta innecesaria, e

- Incorporar un inciso final, nuevo, a fin de reconocer la particularidad de la Comisión para el Mercado Financiero, del tenor que se transcribe:

“Tratándose de sus instituciones fiscalizadas, la Comisión para el Mercado Financiero podrá establecer las normas de carácter general y técnicas sobre ciberseguridad sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las normas dictadas por ella. En caso de que la Comisión para el Mercado Financiero emita normativa que regule elementos contenidos en normas, protocolos o instrucciones generales dictadas por la Agencia, deberá informarle previamente, remitiendo la norma, protocolo o instrucción, con una anticipación de, al menos, treinta días hábiles a su emisión por parte de la Comisión para el Mercado Financiero.”.

Las Comisiones unidas advirtieron que el inciso final cuya incorporación se aboga recae en una materia de iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo dispuesto en el artículo 65, inciso cuarto, número 2, de la Constitución Política de la República.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, anunció que el Ejecutivo respaldaría oportunamente esta indicación.

- Habida cuenta del compromiso asumido, las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Araya, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh -actuando como miembro de ambas Comisiones-, Saavedra y Van Rysselberghe, aprobaron, ad referéndum, esta indicación con las enmiendas transcritas recientemente.

Posteriormente, dando cumplimiento al compromiso adquirido, Su Excelencia el Presidente de la República formuló una indicación, que fue individualizada como indicación número 141 bis, para reemplazar el artículo 24 por el siguiente:

“Artículo 22.- Facultades especiales. Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación respectiva, las que deberán ser sometidas a aprobación previa de la Agencia, quien deberá pronunciarse en el plazo de treinta días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos serán obligatorios para todos los regulados aun cuando la autoridad sectorial omita referirse a ellos.

Tratándose de sus instituciones fiscalizadas, la Comisión para el Mercado Financiero podrá establecer las normas de carácter general y técnicas sobre ciberseguridad sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las normas dictadas por ella. En caso de que la Comisión para el Mercado Financiero emita normativa que regule elementos contenidos en normas, protocolos o instrucciones generales dictados por la Agencia, deberá informarle previamente, remitiendo la norma, protocolo o instrucción, con una anticipación de, al menos, treinta días hábiles a su emisión por parte de la Comisión para el Mercado Financiero.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, respaldaron esta indicación.

Letra b)

Entrega a los CSIRT Sectoriales el deber de ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar la resiliencia de estos en caso de fallas operacionales graves, incidentes de ciberseguridad o ciberataques.

Sobre este literal recayó la indicación número 142, del Honorable Senador señor Insulza, para sustituir la expresión “órganos del Estado” por “organismos del Estado”.

- Esta indicación fue retirada por su autor.

ARTÍCULO 25

Consagra el deber general de informar. Específicamente reza lo siguiente:

“Artículo 25. Deber general de informar. La Agencia informará a cada CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas, y los planes de acciones sugeridos para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial informará a los órganos de la Administración de Estado y a las instituciones privadas de su sector que posean infraestructura de la información calificada como crítica sobre vulnerabilidades existentes o detectadas en ella, y elaborará recomendaciones para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial deberá informar a su sector regulado de manera anonimizada de los reportes de incidentes de ciberseguridad, vulnerabilidades existentes, conocidas o detectadas y de los cursos de acción tomada en cada caso.

Toda institución que posea infraestructura de la información calificada como crítica tiene la obligación de informar a su respectivo CSIRT los reportes de incidentes de ciberseguridad e informar respecto del plan de acción que adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su ocurrencia. Lo anterior se entiende sin perjuicio de la facultad del regulador de solicitar el cumplimento de esta obligación en un plazo menor si lo considera necesario.”.

Al respecto, se formuló la indicación número 143, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, considerado como artículo 23:

“Artículo 23. Incidentes de impacto significativo. Se considerará que un incidente de ciberseguridad tiene impacto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas de información que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo prescrito en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP es un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.”.

Iniciando el estudio de esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el equipo de asesores conformado para facilitar la tramitación de este proyecto de ley sugiere aprobarla con modificaciones, reemplazando la voz “impacto” por “efecto”, las dos veces que aparece, de manera que haya coherencia con el articulado aprobado anteriormente.

Pormenorizó que se acogerse dicha recomendación, la redacción del artículo 23 quedaría de la siguiente forma:

“Artículo 23. Incidentes de efecto significativo. Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas de información que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.”.

El Honorable Senador señor Insulza solicitó conocer la razón por la cual se propone reemplazar el artículo aprobado en general por la Sala.

Refiriéndose a la preocupación del legislador que le precedió en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que los deberes de los CSIRT sectoriales están contenidos en el artículo 21. Agregó, además, que otras funciones serán desarrolladas a nivel reglamentario.

A continuación, puso de relieve que la norma sugerida en la indicación analizada, en tanto, persigue asegurar que los CSIRT sectoriales solo fijen su atención y capacidad de respuesta en los incidentes de efecto significativo. Argumentó que tal decisión descansa en que la notificación de todo ciberataque dificultará la gestión de aquellos.

- Puesta en votación, la indicación número 143 fue aprobada, con las enmiendas señaladas y otras adecuaciones, por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla -en su calidad de integrante de ambas instancias legislativas-, Insulza, Pugh -actuando como miembro de ambas Comisiones-, Saavedra y Van Rysselberghe.

ARTÍCULO 26

Establece el deber de los CSIRT Sectoriales de informar a la Agencia Nacional de Ciberseguridad cuando hayan vivido un incidente de seguridad informática. Su tenor literal es el que sigue:

“Artículo 26. Deber especial de información a la Agencia. Los CSIRT Sectoriales deberán informar a la Agencia, a más tardar una hora después de haber verificado la existencia de un incidente de ciberseguridad, cuando este ha tenido un impacto significativo en la seguridad del sistema informático de una institución que posee infraestructura de la información calificada como crítica o en la continuidad de un servicio esencial.

Se considera que un incidente de ciberseguridad tiene impacto significativo si cumple al menos una de las siguientes condiciones:

a) Afecta a una gran cantidad de usuarios.

b) La interrupción o mal funcionamiento es de larga duración.

c) Afecta a una extensión geográfica considerable.

d) Afecta sistemas de información que contengan datos personales.

e) Afecta la integridad física, la salud, o la vida cotidiana de las personas, de manera significativa.

Corresponderá calificar el impacto significativo a los reguladores o fiscalizadores sectoriales o a la Agencia, según corresponda.

La obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado no deja sin efectos el deber de los CSIRT Sectoriales de notificar a la Agencia de la ocurrencia de un incidente de ciberseguridad en el plazo indicado en el inciso primero.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2 letra f) de la ley N°19.628 sobre Protección de la Vida Privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad serán establecidos en el reglamento de la presente ley.”.

En relación con esta disposición, se presentó la indicación número 144, de Su Excelencia el Presidente de la República, para sustituirla por la siguiente, consultada como artículo 24:

“Artículo 24. Centros de Certificación Acreditados. Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los órganos de la Administración del Estado, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros órganos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que la norma persigue dos objetivos. El primero, detalló, consiste en regular la creación de los centros de certificación acreditados. Sostuvo que, conforme al modelo escogido, será la Agencia Nacional de Ciberseguridad la encargada de otorgarles dicha calidad.

El segundo, prosiguió, radica en establecer ciertos criterios respecto a la adquisición de tecnologías por parte del Estado.

Reveló que la mesa de trabajo prelegislativo recomienda aprobar la indicación analizada con enmiendas, de manera de reemplazar, en los incisos primero y final, la voz “órganos” por “organismos”, tal como se ha hecho en otras oportunidades; introducir en la oración final del inciso primero, luego de la palabra “Estado”, la expresión “que estén sujetos a las obligaciones del artículo 6”, y sustituir en el inciso cuarto la locución “deberán evaluar de mejor manera y” por “procurarán”.

El Honorable Senador señor Pugh hizo ver la relevancia de los centros de certificación acreditados. Al efecto, recordó que uno de los fines de la Política Nacional de Ciberseguridad es la creación de una industria chilena de esta naturaleza. En este marco, anheló la posibilidad de acceder a servicios, sistemas y equipamientos; sin embargo, alertó, ello supone asegurar los más altos estándares.

Deteniéndose en las enmiendas sustantivas cuya incorporación se propone, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, apuntó que aquella recaída en el inciso primero busca precisar que la entidad encargada de entregar certificación a los organismos del Estado que estén sujetos a los deberes específicos de los operadores de importancia vital será la Agencia Nacional de Ciberseguridad.

En lo que atañe a la modificación del inciso cuarto, en tanto, expresó que persigue introducir la variable de ciberseguridad en los procesos de adquisición de tecnología. Sostuvo que la decisión de perfeccionar la redacción de la indicación en estudio obedece a que las entidades vinculadas a la compra y contratación pública advirtieron que, muchas veces, las complejidades de las licitaciones no permiten la aplicación de una regla tan estricta. Así, manifestó, se optó por señalar que los organismos públicos, simplemente, procurarán dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador. Agregó que la Agencia Nacional de Ciberseguridad ahondará en el alcance de dicha exigencia.

Concluyó su intervención reconociendo que, si bien la recomendación del grupo de asesores conlleva a un estándar menor, con el paso del tiempo podrán incrementarse las pretensiones sobre este aspecto.

Fijando su atención en el reemplazo referido al inciso cuarto, el Honorable Senador señor Macaya lo cuestionó. A mayor abundamiento, observó que las compras involucradas implican gran cantidad de recursos y, en ese contexto, una norma imperativa como la contemplada originalmente en la indicación es a todas luces preferible.

El Honorable Senador señor Huenchumilla se sumó a los reparos del legislador que le antecedió en el uso de la palabra.

Abocándose a los comentarios efectuados por los parlamentarios, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, connotó que la decisión de rebajar la exigencia original se debe a la realidad del país. En efecto, pormenorizó, el nivel de madurez en ciberseguridad para la contratación pública es bajo. De hecho, resaltó, Chile sigue teniendo convenciones tecnológicas en donde asuntos como la propiedad intelectual aún no están bien resueltos.

Adicionalmente, recordó que la evaluación es una parte muy específica del proceso referido. En consecuencia, continuó, dar preferencia a productos y servicios calificados parece más oportuno.

Luego, postuló que la creación de la Agencia Nacional de Ciberseguridad, órgano que tendrá potestad normativa respecto de los organismos públicos, posibilitará mayor intensidad por la vía administrativa.

A su vez, el Honorable Senador señor Pugh coincidió en que el nivel de seguridad informática debiera ser más alto.

No obstante, juzgó que la entidad pública del artículo 8 tendrá el desafío de lograr que aquellas áreas de más alto riesgo eleven sus estándares, otorgando una mayor ponderación a la ciberseguridad. De esta manera, planteó, será ella quien lo determine, erradicando toda discrecionalidad.

A la luz de lo señalado, aseveró, pese a que se atenúa la exigencia a nivel legal, administrativamente podrá avanzarse en la dirección deseada.

Discrepando del razonamiento del legislador que le antecedió en el uso de la palabra, el Honorable Senador señor Saavedra llamó a optar por una norma imperativa, en los términos previstos en la indicación analizada. Su Señoría sugirió mantener la redacción relativa a que los organismos públicos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Acogiendo la propuesta antedicha, el Presidente de la Comisiones unidas cerró el debate respecto de la indicación analizada con las enmiendas aconsejadas por la mesa de trabajo prelegislativo, con excepción de aquella recaída en el inciso cuarto, toda vez que no concita el acuerdo de los integrantes de las Comisiones unidas. Anunció que, de respaldarse, el artículo 24 quedaría de la siguiente manera:

“Artículo 24. Centros de Certificación Acreditados. Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los organismos de la Administración del Estado que estén sujetos a las obligaciones del artículo 6, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros organismos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.”.

- Las Comisiones unidas, por la totalidad de sus integrantes presentes, Honorables Senadores señores Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de miembro de ambas instancias legislativas- y Van Rysselberghe, aprobaron la indicación número 144 con enmiendas, en los términos previstos precedentemente.

°°°°°

Título nuevo

A continuación, se formuló la indicación número 145, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para incorporar el siguiente Título, nuevo, consultado como Título V:

“Título V

De la Infraestructura Crítica de la Información

Párrafo 1°

De la calificación de la infraestructura de la información como crítica

Artículo …. La calificación de la infraestructura como crítica, será realizada por la Agencia Nacional de Ciberseguridad, en forma interagencial con los organismos que correspondan, debiendo efectuarse en un plazo inicial de 12 meses, un primer catastro de infraestructura crítica de la información.

Para determinar si en un sector o institución existe infraestructura de la información que deba calificarse como crítica, se deberán tener en consideración, al menos, los siguientes factores:

a) El impacto de una posible interrupción o mal funcionamiento de los componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión geográfica;

ii. El efecto e impacto en la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población;

iii. La potencial afectación de la vida, integridad física o salud de las personas, y

iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

e) El impacto que tenga sobre la economía de una comunidad, provincia o región a causa de la disrupción de los sistemas informáticos o de telecomunicaciones.

f) El daño reputacional que pueda ocasionarse por la vulnerabilidad en la infraestructura de la información, produciendo afectación de actividades o generando desconfianza respecto a su disponibilidad.

Transcurridos los 12 meses dispuestos para el catastro inicial, el Ministerio del Interior y Seguridad Pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Se entenderá que por el hecho de determinar que un sector posee infraestructura crítica de la información, las instituciones que conformen ese sector también poseerán infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital.

Artículo …. Los Directorios de empresas que posean infraestructura crítica de la información en los términos de los incisos anteriores, deberán acreditar que al menos uno de sus directores posea:

a) Certificación o título en ciberseguridad, o

b) Conocimientos, habilidades u otros antecedentes profesionales en ciberseguridad, tales como: áreas de política y gobierno de seguridad, gestión de riesgos, evaluación de seguridad, evaluación de control, arquitectura e ingeniería de seguridad, operaciones de seguridad, manejo de incidentes o planificación de continuidad comercial.

Artículo …. El catastro de Infraestructuras Críticas de la Información se actualizará anualmente, incluyendo a los criterios, los incidentes e impactos que se hayan registrado entre cada actualización, y remitirá su informe al Ministerio respectivo para su vigencia y aplicación.

Asimismo, se mantendrá un listado actualizado de todos los Directores de Informática de las empresas e instituciones calificadas como Infraestructura Crítica, y sus datos de contacto.

La Agencia Nacional de Ciberseguridad tendrá facultades de regulación sobre los organismos que posean infraestructura crítica, pudiendo establecer, entre otros, los contenidos mínimos de los Sistemas de Gestión de la Seguridad y Riesgo de la Información – SGSRI de los regulados, controlando que los mismos se encuentren correctamente auditados por entidades externas debidamente habilitadas para tal efecto por la Agencia.

Párrafo 2°

De las obligaciones de las instituciones que poseen infraestructura de la información calificada como crítica

Artículo …. Deberes generales. Será obligación de los órganos del Estado y de las instituciones privadas que posean infraestructura de la información calificada como crítica, aplicar permanentemente las medidas de seguridad tecnológica, organizacionales, físicas, informativas y de trazabilidad necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado, de conformidad a lo prescrito en esta ley. Se prohíbe a dichos órganos e instituciones, realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos o ransomware, así como de equipos o de dispositivos.

Artículo …. Deberes específicos. Los órganos del Estado, las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tenga intervención por aportes de capital, y las instituciones privadas cuya infraestructura de la información sea calificada como crítica, deberán:

a) Implementar un Sistema de Gestión de la Seguridad y Riesgo de la Información – SGSRI, permanente y actualizado regularmente, cada 180 días a lo menos, con el fin de determinar aquellos que pueden afectar la seguridad de las redes, sistemas informáticos y datos, cuáles afectarían la continuidad operacional del servicio y cuáles de ellos facilitan la ocurrencia de incidentes de ciberseguridad. Dicho sistema deberá contar con la capacidad de determinar la gravedad de las consecuencias de un incidente de ciberseguridad.

EL SGSRI debe además considerar el entorno operacional de la o las instalaciones, tales como las vulnerabilidades físicas a las que puede estar expuesta la información producto de acciones de la naturaleza, actos vandálicos que interrumpan comunicaciones, vulnerabilidad física y otros.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de la seguridad y riesgos de la información – SGSRI, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Establecer un plan de capacitación y actualización del personal en las tecnologías en uso, así como planes de inducción y procedimientos de administración del cambio al introducir modificaciones o actualizaciones relevantes de los sistemas.

d) Elaborar e implementar planes de continuidad operacional y ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo menos cada 180 días, o cada vez que sean actualizados los sistemas o procesos. Los planes de ciberseguridad deberán contemplar los protocolos de acción inmediata frente a incidentes de ciberseguridad, y de la forma de comunicar la ocurrencia de estos.

e) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos, plataformas y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

f) Adoptar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

g) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.”.

Sobre el particular, el Honorable Senador señor Pugh anunció que esta indicación fue retirada por sus autores. Sin embargo, relevó la importancia de que al menos uno de los directores de las empresas que posean infraestructura crítica de la información tenga certificación o título en ciberseguridad, o conocimientos, habilidades u otros antecedentes profesionales en la materia, tal como lo contempla la letra b) del segundo artículo considerado en la propuesta de enmienda.

Afirmó que tal exigencia ha ido cobrando fuerza poco a poco, y que en muchas organizaciones ya opera, siendo este el caso de Esval, en la Región de Valparaíso.

Por las razones esgrimidas, hizo un llamado al Ejecutivo a ponderar la inclusión de una norma como la citada. No obstante, a fin de no retardar la tramitación de esta iniciativa de ley, instó a hacerlo en otra oportunidad.

- Esta indicación fue retirada por sus autores.

°°°°°

TÍTULO V

Lleva por epígrafe “De los CSIRT del sector público”.

Sobre este título recayeron las indicaciones números 146 y 147.

La indicación número 146, del Honorable Senador señor Van Rysselberghe, es para suprimirlo, junto con los artículos 27 y 28, que lo integran.

- Esta indicación fue retirada por su autor.

La indicación número 147, de Su Excelencia el Presidente de la República, busca reemplazar su denominación por la siguiente:

“TÍTULO V

Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional”.

- Esta indicación fue aprobada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe.

ARTÍCULO 27

Crea el Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno y señala sus principales funciones. Su redacción es la siguiente:

“Artículo 27. Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno. Créase en la Agencia el Equipo de Respuesta a Incidentes de Seguridad Informática de Gobierno, en adelante CSIRT de Gobierno. El CSIRT de Gobierno para todos los efectos, se clasificará como un CSIRT sectorial, responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado. Tendrá las siguientes funciones principales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado.

b) Asegurar la implementación de los protocolos y estándares mínimos de ciberseguridad establecidos por la Agencia, en los órganos de la Administración de Estado.

c) Gestionar los ciberataques, incidentes, y vulnerabilidades detectadas, informando estas situaciones al CSIRT Nacional de acuerdo a las normas que se establezcan para tal efecto.

d) Difundir las alertas preventivas e informaciones de ciberseguridad emanadas por el CSIRT Nacional a los órganos de la Administración de Estado.”.

Este precepto fue objeto de la indicación número 148, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, contemplado como artículo 25:

“Artículo 25. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional. Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del Ministerio de Defensa Nacional y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT de la Defensa Nacional dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que ese Ministerio dicte al efecto y, en lo que le sea aplicable, se regirá por la presente ley.”.

El Honorable Senador señor Pugh puso de relieve que la indicación en estudio solo se hace cargo de los incidentes que afectan al sector de la defensa nacional, y evidenció la necesidad de que exista una adecuada coordinación con otros órganos, de manera de determinar las atribuciones correspondientes.

Su Señoría resaltó que un Estado agredido por otro en el ciberespacio debe tener la capacidad de actuar; para ello, reunir toda la información nacional en un solo centro es esencial, sentenció.

Dirigiéndose al Coordinador Nacional de Ciberseguridad, solicitó que este tema siga desarrollándose, así como también todo lo vinculado a la Política Nacional de Ciberdefensa.

- Puesta en votación, esta indicación fue respaldada con enmiendas de carácter meramente formal por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

Letra a)

Encomienda al Equipo de Respuesta ante Incidentes de Seguridad Informática del Sector Gobierno responder a los incidentes de ciberseguridad que vulneren o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información que afecten a los órganos de la Administración del Estado.

Respecto de este literal se presentó la indicación número 149, del Honorable Senador señor Insulza, para reemplazar la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

- Habida cuenta de la aprobación de la indicación anterior, esta fue rechazada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe.

ARTÍCULO 28

Regula el Centro Coordinador del Equipo de Respuesta ante Incidentes de Seguridad Informáticos del Sector Defensa. Su tenor literal es el que sigue:

“Artículo 28. Centro Coordinador del Equipo de Respuesta ante Incidentes de Seguridad Informáticos del Sector Defensa. Créase el Centro Coordinador del Equipo de Respuesta ante Incidentes Informáticos del Sector Defensa (CCCD o CSIRT Sectorial de Defensa), dependiente del Ministerio de Defensa Nacional, como el organismo dependiente del Comando Conjunto de Ciberdefensa, perteneciente al Estado Mayor Conjunto del Ministerio de Defensa Nacional, responsable de la coordinación y protección de la infraestructura de la información calificada como crítica, a su vez de los recursos digitales del sector Defensa, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la Seguridad Nacional.

Para efectos presupuestarios, dependerá del Ministerio de Defensa Nacional y, en lo que le sea aplicable, se regirá por la presente ley y por la reglamentación que dicte al efecto el Ministerio de Defensa.

Sus funciones principales serán las siguientes:

a) Responsable de la coordinación y enlace entre los diferentes CSIRT del sector Defensa (Ejército, Armada, Fuerza Aérea, Estado Mayor Conjunto, Subsecretaría de Defensa, Subsecretaría para las Fuerzas Armadas y otros órganos dependientes de dicho sector), con el objeto de asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de la infraestructura de la información calificada como crítica del sector Defensa.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con el CSIRT Sectorial de Defensa, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.”.

Sobre esta disposición recayó la indicación número 150, de Su Excelencia el Presidente de la República, para sustituirlo por el siguiente, consultado como artículo 26:

“Artículo 26. De las funciones del CSIRT de la Defensa Nacional. Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Responsable de conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.”.

El Jefe de División de Desarrollo Tecnológico e Industria de la Subsecretaría de Defensa, señor Yerko Benavides, aseguró que la disposición contenida en la indicación en análisis, así como aquellas contempladas en las dos indicaciones siguientes formalizan un sistema de trabajo que opera actualmente en el sector. En efecto, acotó, existe el CSIRT de Defensa Nacional y Equipos de Respuesta a Incidentes de Ciberseguridad en cada una de las ramas de las Fuerzas Armadas.

Agregó que el organismo cuya creación se considera en esta indicación se vinculará con la Agencia Nacional de Ciberseguridad, informándole aquellos ataques que no afecten la seguridad nacional. Además, notó, ofrecerá todas sus capacidades para enfrentar agresiones masivas que pongan en riesgo al país.

El Honorable Senador señor Pugh respaldó los dichos del representante del Ejecutivo. Remarcó que las instituciones de la defensa nacional comenzaron a resguardar la seguridad informática por medio del empleo de NOC y de SOC. A ellos, continuó, les siguió el Equipo de Respuesta ante Incidentes de Ciberseguridad. En definitiva, confirmó, los artículos 26 y 27 reconocen a nivel legal algo que ya existe.

Posteriormente, Su Señoría observó que, para efectos presupuestarios, el CSIRT de la Defensa Nacional dependerá de la Cartera de Estado de la misma denominación. En consecuencia, instó a considerar los recursos necesarios, a fin de renovar los equipos informáticos y entrenar al personal a cargo.

En sintonía con el último punto, juzgó esencial que quienes se desempeñen en esas áreas tengan adiestramiento e intercambios con otros países. Al efecto, enfatizó que los ejercicios más importantes son los que se llevan a cabo en el Centro de Excelencia de la OTAN, en Estonia.

- Sometida a votación, esta indicación fue respaldada con enmiendas de carácter meramente formal por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

°°°°°

Artículo nuevo

Seguidamente, se formuló la indicación número 151, de Su Excelencia el Presidente de la República, para introducir el siguiente artículo, nuevo, consultado como artículo 27:

“Artículo 27. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional. En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.”.

Dando inicio al análisis de esta indicación, el Honorable Senador señor Huenchumilla advirtió que, al tenor de la disposición, las funciones de tales equipos serán establecidas por la reglamentación que al efecto dicte el Ministerio de Defensa Nacional. Sobre el particular, consultó si no debieran consignarse a nivel legal. Asimismo, solicitó clarificar si la voz cuestionada alude a la potestad del artículo 32, número 6°, de la Carta Fundamental, o a meras instrucciones de la citada Secretaría de Estado.

Atendiendo las interrogantes del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, señaló que las labores de los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional están en la ley. En efecto, observó, el inciso primero de la norma sugerida en la indicación prescribe que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional. Aclaró que el Ministerio, por su lado, se limitará a determinar qué funciones desempeñará específicamente cada uno de los CSIRT.

Profundizando en sus comentarios, sostuvo que, si bien todas estas entidades atienden ciberataques, algunos podrían realizar otras labores, como análisis forense. En este caso, la Cartera de Estado nombrada puntualizará si esta última misión será ejercida de forma compartida o por cada institución por separado.

Para concluir, aclaró que la expresión puesta en duda refiere a la potestad reglamentaria del Primer Mandatario.

Complementando la intervención del personero de Gobierno, el Jefe de División de Desarrollo Tecnológico e Industria de la Subsecretaría de Defensa, señor Yerko Benavides, connotó que la regla en debate evitará la duplicidad de funciones. Adicionalmente, recalcó que, atendidas las características del sector de que se trata, pueden encomendarse a los CSIRT otras atribuciones no estrechamente vinculadas a la ciberseguridad. Así, concluyó, las establecidas en la ley son las mínimas que deberán realizar.

- Esta indicación fue apoyada con enmiendas de adecuación por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

°°°°°

°°°°°

Artículo nuevo

A continuación, se presentó la indicación número 152, de Su Excelencia el Presidente de la República, para agregar el siguiente artículo, nuevo, consultado como artículo 28:

“Artículo 28. Deber de reporte al CSIRT de la Defensa Nacional. Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.”.

- Las Comisiones unidas, con el voto conforme de la totalidad de sus miembros presentes, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe, respaldaron esta indicación.

°°°°°

ARTÍCULO 29

Norma, por medio de cinco incisos, la reserva de la información. Su tenor literal es el que se indica:

“Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales órganos de la Administración del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización su Director Nacional, en las condiciones que este indique.

Los funcionarios de CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales, que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de riesgos y los registros previstos en el artículo 6º, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres;

iii. Los planes de acción y mitigación de riesgos de ciberseguridad y,

iv. Los reportes de incidentes de ciberseguridad.”.

Inciso primero

Sobre esta parte del artículo referido recayeron las indicaciones números 153, 154 y 155.

La indicación número 153, del Honorable Senador señor Van Rysselberghe, es para reemplazar la frase “los CSIRT, sean el CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales”, por la siguiente: “la Agencial Nacional de Ciberseguridad”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación de esta iniciativa de ley recomienda aprobar con modificaciones esta indicación, a fin de agregar, luego de la locución “en poder de”, la expresión “la Agencia,”, de manera que también pese sobre ella el deber de reserva a que se alude en este precepto.

- Esta indicación fue aprobada en los términos explicados por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

La indicación número 154, de Su Excelencia el Presidente de la República, busca suprimir la expresión “de Gobierno,”.

- Puesta en votación, esta indicación fue respaldada por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe.

La indicación número 155, del Honorable Senador señor Insulza, reemplaza la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo sugiere aprobar esta indicación. Declaró que de acogerse esta y las dos anteriores, la redacción del inciso primero del artículo 29 quedaría de la siguiente manera:

“Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con estos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de estas.”.

- Sometida a votación, esta indicación fue aprobada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

Inciso segundo

Con respecto al inciso segundo, se formuló la indicación número 156, de Su Excelencia el Presidente de la República, para intercalar, entre las palabras “autorización” y “su”, el vocablo “de”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, adelantó que, de acogerse esta indicación, el tenor literal del inciso segundo del artículo 29 sería el siguiente:

“Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director Nacional, en las condiciones que este indique.”.

- Las Comisiones unidas, por la totalidad de sus miembros presentes, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe, respaldaron esta indicación, con adecuaciones.

Inciso tercero

Al efecto, se presentaron las indicaciones números 157 y 158.

La indicación número 157, del Honorable Senador señor Van Rysselberghe, es para sustituir la frase “CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa o de los CSIRT Sectoriales,” por “la Agencia Nacional de Ciberseguridad”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que el grupo de asesores conformado para asegurar el pronto despacho de esta iniciativa de ley recomienda aprobar esta indicación con modificaciones, a fin de reemplazar la expresión “CSIRT, sean del” por “la Agencia y del”.

Adelantó que, de acogerse tal enmienda, así como aquella contenida en la indicación número 158, el tenor del inciso tercero del artículo 29 quedaría de la forma que se indica:

“Los funcionarios de la Agencia y del CSIRT Nacional, de Defensa o de los Sectoriales que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.”.

El Honorable Senador señor Pugh haciendo ver la importancia de una norma como la examinada, subrayó que una exigencia tal es clave para la protección de sistemas que son vitales para el país. Por ello, estimó, la selección del personal constituye un paso esencial. Además, observó que la disposición está en sintonía con las obligaciones que pesan sobre quienes que se desempeñan en la Agencia Nacional de Inteligencia.

- Esta indicación fue aprobada con la enmienda antedicha por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe.

La indicación número 158, de Su Excelencia el Presidente de la República, suprime la locución “de Gobierno,”.

- Puesta en votación, esta indicación fue respaldada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

Inciso cuarto

Pese a que esta parte del artículo 29 no fue objeto de indicaciones, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, manifestó la conveniencia de sustituir la expresión “sistemas de gestión de riesgos” por “sistemas de gestión de seguridad de la información”, de modo que este inciso esté en sintonía con los artículos 2, 6 y 9, letra n), de esta proposición de ley.

Acotó que, de acogerse dicha enmienda, la redacción del inciso cuarto del artículo 29 quedaría de la manera que se expone:

“De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 6, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.”.

- La enmienda se acordó en mérito de lo dispuesto en el inciso final del artículo 121 del Reglamento del Senado, por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -quien se pronunció como integrante de ambas instancias legislativas- y Van Rysselberghe.

Inciso quinto

Si bien sobre esta parte del artículo 29 no recayeron indicaciones, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo recomienda suprimir su numeral iv.

Reveló que se respaldarse tal propuesta, el tenor literal del inciso quinto del artículo 29 sería el que a continuación se transcribe:

“Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.”.

- La enmienda al inciso referido fue acordada en mérito de lo dispuesto por el artículo 121, inciso final, del Reglamento de la Corporación, por la unanimidad de los integrantes presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -quien votó como miembro de ambas instancias legislativas- y Van Rysselberghe.

ARTÍCULO 33

Esta disposición consagra las infracciones a este cuerpo normativo. Su tenor literal es el que sigue:

“Artículo 33. De las infracciones. Serán consideradas infracciones para efectos de esta ley:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

b) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla;

c) Entregar maliciosamente información falsa o manifiestamente errónea, e;

d) Incumplir los deberes previstos en el párrafo 2° del Título II.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción. Para determinar la cuantía de la multa, se entenderá por:

a) Faltas gravísimas: aquellas señaladas en los literales b) y c) del inciso precedente. En este caso, la multa será de hasta a 20.000 Unidades Tributarias Mensuales.

b) Faltas graves: aquellas señaladas en el literal a) del inciso precedente. En este caso, la multa será de hasta 10.000 Unidades Tributarias Mensuales.

c) Faltas leves: aquellas obligaciones señaladas en esta ley cuyo incumplimiento negligente o injustificado no tenga señalada una sanción especial, caso en el que la multa será de 10 a 5.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios de la Administración del Estado o de los órganos del Estado se regirán por su respectivo estatuto sancionatorio.”.

Este precepto fue objeto de las indicaciones números 159 y 160.

La indicación número 159, de Su Excelencia el Presidente de la República, lo reemplaza por el siguiente:

“Artículo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Retardar o entregar fuera de plazo la información a la autoridad u órgano de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre esta.”.

Comenzando el estudio de esta indicación, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que el artículo 33 contempla el régimen infraccional al que se sujetará el incumplimiento de las obligaciones consagradas en este proyecto de ley.

Afirmó que el grupo de trabajo conformado para acelerar el despacho de esta iniciativa legal concuerda en los términos sugeridos por el Ejecutivo, con excepción del inciso final. Este último, declaró, se recomienda reemplazarlo por otros que reconocen de manera expresa la aplicación del principio non bis in ídem en sede administrativa. Remarcó que su inclusión constituye una innovación. Recordó que en el sistema jurídico nacional su ausencia ha motivado diversas interpretaciones tanto por parte de la Contraloría General de la República como por los tribunales de justicia.

Por otro lado, informó, se propone establecer una regla específica de prescripción, a fin de evitar discusiones acerca de este punto, toda vez que en el derecho administrativo chileno no existe una disposición en tal sentido, lo que ha conducido a discrepancias.

Ahondando en los acuerdos de la mesa de trabajo, expuso que los incisos por los cuales se aconseja sustituir el final son los que se consignan a continuación:

“Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.”.

El Honorable Senador señor Huenchumilla constató que el precepto contenido en la indicación en estudio solo dice relación con infracciones y sanciones de las instituciones privadas.

Refiriéndose a la observación del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enunció que para los servicios públicos se contemplan dos normas, una que aborda la responsabilidad del jefe del servicio y otra, la del funcionario.

En un orden distinto de consideraciones, y teniendo a la vista la indicación número 161, del Honorable Senador señor Van Rysselberghe, sugirió suprimir, en el inciso segundo, letra a), del precepto propuesto, la locución “Retardar o”.

Con respecto a este último punto, el Honorable Senador señor Pugh manifestó su apoyo. Juzgó que tal voz es imprecisa y que basta con comenzar la redacción del literal aludido con la locución “entregar fuera de plazo”.

A su turno, el Honorable Senador señor Huenchumilla coincidió con el legislador que le antecedió en el uso de la palabra.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, detalló que, de acogerse todas las enmiendas, la redacción del artículo 33 quedaría de la manera que se expresa a continuación:

“Artículo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Entregar fuera de plazo la información a la autoridad u órgano de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u órgano de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.”.

- Sometida a votación, esta indicación fue aprobada con las enmiendas consignadas precedentemente y otras adecuaciones por la totalidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe.

La indicación número 160, del Honorable Senador señor Insulza, sustituye el artículo 33 aprobado en general por el que sigue:

“Artículo 33. De las infracciones. Serán consideradas infracciones leves para efectos de esta ley, las siguientes:

a) Retardar o entregar fuera del plazo señalado la información a la autoridad u órgano del Estado habilitado para requerirla.

b) Incumplir el plazo previsto en el artículo 25, para efectos de reportar incidentes.

c) Incumplir los deberes generales previstos en el artículo 5.

Serán consideradas infracciones graves para efectos de esta ley, las siguientes:

a) Negar injustificadamente información a la autoridad u órgano del Estado habilitado para requerirla.

b) Incumplir los deberes específicos previstos en el artículo 6.

Serán consideradas infracciones gravísimas para efectos de esta ley, las siguientes:

a) Entregar información falsa o manifiestamente errónea.

b) Incumplir el deber de reportar previsto en el artículo 25.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades Tributarias Mensuales, de conformidad a la gravedad de la infracción y a la siguiente escala:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 10 a 5.000 Unidades Tributarias Mensuales.

b) Las infracciones graves serán sancionadas con multa de hasta 10.000 Unidades Tributarias Mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 Unidades Tributarias Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años y la capacidad económica del infractor.

Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios del Estado se regirán por su respectivo estatuto sancionatorio.”.

- Habida cuenta de la aprobación de la indicación anterior, esta fue rechazada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -en su calidad de integrante de ambas instancias legislativas- y Van Rysselberghe.

Inciso primero

Adicionalmente, en relación con el inciso primero del artículo 33 aprobado en general se presentaron las indicaciones números 161 y 162, ambas del Honorable Senador señor Van Rysselberghe.

La indicación número 161 elimina, en la letra a) del referido inciso, la expresión “Retardar o”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, hizo presente que esta indicación fue recogida en el marco de la discusión de la indicación número 159.

- En consecuencia, las Comisiones unidas, por la unanimidad de sus miembros presentes, Honorables Senadores señores Araya, Huenchumilla, Macaya, Ossandón, Pugh, Saavedra -actuando como integrante de ambas instancias legislativas- y Van Rysselberghe, aprobaron con enmiendas esta indicación, en los términos previstos en la número 159.

La indicación número 162, en tanto, suprime, en el literal b) del mismo inciso, la palabra “injustificadamente”.

- Esta indicación fue retirada por su autor.

ARTÍCULO 34

Regula el procedimiento al que se sujetarán las infracciones previstas en la disposición anterior. Su redacción es la que se transcribe a continuación:

“Artículo 34. Procedimiento. Las sanciones que se cursen con motivo de las infracciones contempladas en el artículo precedente, serán impuestas por resolución del Director de la Agencia, de conformidad a lo dispuesto en esta ley.

El procedimiento sancionatorio deberá fundarse en un procedimiento racional y justo, que será establecido en un reglamento dictado por el Ministerio del Interior y Seguridad Pública y deberá, al menos, establecer:

a) El procedimiento para designar al funcionario de la Agencia que llevará adelante el procedimiento;

b) El contenido de la formulación de cargos, la cual deberá señalar circunstanciadamente los hechos constitutivos de infracción, las normas legales que fueron infringidas y la gravedad de la infracción;

c) El plazo para formular descargos, el cual no podrá ser inferior a 15 días hábiles;

d) Un periodo para rendir y observar la prueba, el cual no podrá ser inferior a 10 días hábiles, pudiendo aportar las partes los medios de prueba que estimen pertinentes;

e) La forma y contenido de la resolución que absuelve o condena, la cual deberá contener la exposición de los hechos, el razonamiento que permite arribar a la resolución y la decisión que acoge o desecha los cargos formulados.

Tratándose de sectores regulados, las sanciones serán impuestas por los reguladores o fiscalizadores sectoriales y el procedimiento corresponderá al determinado por la normativa sectorial respectiva.”.

Sobre este precepto recayó la indicación número 163, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente:

“Artículo 34. Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan las instituciones privadas por incumplimiento o vulneración de los principios y obligaciones establecidas en esta ley y la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario responsable de la instrucción del procedimiento, que recibirá el nombre de instructor.

c) La Agencia deberá presentar una formulación de cargos en contra de la institución privada, la que señalará una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como los principios, obligaciones, protocolos, estándares técnicos, instrucciones generales y particulares eventualmente infringidos por la institución privada, la disposición que establece la infracción, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos debe notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada puede acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiera hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores podrán acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor emitirá, dentro de diez días un dictamen en el cual propondrá la absolución o sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor elevará los antecedentes al Director, quien resolverá en el plazo de quince días dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo de tres días para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio debe ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada y contendrá la declaración de haberse configurado el incumplimiento o vulneración de los principios y obligaciones establecidos en la ley por la institución privada o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca el incumplimiento o vulneración a los principios y obligaciones de esta ley y aplique la sanción correspondiente deberá ser fundada. Esta resolución deberá indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de 5 días hábiles contados desde la notificación, el que deberá ser resuelto por el Director dentro del plazo de 30 días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses. Cuando hayan transcurrido más de seis meses desde la fecha de la certificación indicada en la letra b) de este artículo sin que la Agencia haya resuelto la reclamación, la institución privada podrá presentar un reclamo de ilegalidad en los términos previstos en el siguiente artículo.”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la instancia de trabajo conformada para facilitar la tramitación de esta propuesta aún no ha alcanzado consenso respecto a esta indicación. Con todo, relevó que en la legislación existen diversos procedimientos administrativos por infracción de ley, y que el Ejecutivo anhela estandarizarlos.

El Honorable Senador señor Huenchumilla consultó si se prevén normas jurídicas especiales que ordenen y regulen el proceso jurídico y sus distintos trámites para las transgresiones a las obligaciones contempladas en esta ley.

Abocándose a la duda del Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sentenció que luego del fallo del Tribunal Constitucional sobre las atribuciones del Servicio Nacional del Consumidor, en los cuerpos normativos aprobados con posterioridad se ha exigido que los procedimientos administrativos estén estrictamente descritos en la ley, resultando insuficiente un mero enunciado y su desarrollo a nivel reglamentario, como era habitual.

El Honorable Senador señor Huenchumilla instó a tener en vista la ley N° 19.880 recientemente actualizada y sus respectivos reglamentos.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dando cuenta de los acuerdos alcanzados por el grupo de trabajo conformado para facilitar la tramitación de esta iniciativa, informó que la indicación analizada se propone aprobar con las enmiendas que siguen:

- Reemplazar, en el inciso primero del artículo 34, la frase “incumplimiento o vulneración de los principios y obligaciones establecidas en esta ley y”, por “vulneración de las leyes, reglamentos, estatutos y demás normas que las rijan, o por incumplimiento de las instrucciones y órdenes que les imparta la Agencia, así como”.

- Agregar, en el literal b) del inciso primero, a continuación de la expresión “un funcionario”, la locución “o una funcionaria”, y luego del vocablo “instructor”, lo siguiente: “o instructora. En el evento de que producto de una denuncia se iniciare un procedimiento administrativo sancionador, el denunciante tendrá la calidad de interesado, para todos los efectos legales”.

- Sustituir, en la letra c), la frase “deberá presentar una formulación de” por “podrá formular”; reemplazar la expresión “la que señalará” por “señalando tanto”, y sustituir “los principios, obligaciones, protocolos, estándares técnicos, instrucciones generales y particulares eventualmente infringidos por la institución privada, la disposición que establece la infracción” por “las normas que se estimen infringidas”.

- Reemplazar, en el literal f), la conjunción “y”, la primera vez que aparece, por una coma, e incorporar a continuación de la locución “inspecciones que sean pertinentes”, “y la recepción de los demás medios probatorios que procedan”.

- Eliminar, en la letra k), la expresión “de tres días”.

- Suprimir, en el literal l), la frase “el incumplimiento o vulneración de los principios y obligaciones establecidos en la ley”, y agregar, a continuación de la expresión “institución privada”, “la infracción a la normativa aplicable,”.

- Reemplazar, en la letra m), la locución “el incumplimiento o vulneración a los principios y obligaciones de esta ley” por “la infracción a la normativa sobre ciberseguridad”.

- Sustituir, en el literal n), el punto seguido y la oración final por la frase “contados desde la notificación a que se refiere el literal d) anterior.”.

El personero de Gobierno sentenció que las modificaciones apuntan a hacer coherente esta iniciativa con el proyecto de ley sobre protección de datos personales, contenido en el Boletín N° 11.092-07, además de recoger las observaciones formuladas por la Excelentísima Corte Suprema en su oficio N° 62-2023, por el que da respuesta a la consulta efectuada por las Comisiones unidas en cumplimiento de lo prescrito en los artículos 77 de la Constitución Política de la República y el artículo 16 de la ley orgánica constitucional del Congreso Nacional.

Además, las Comisiones unidas estuvieron contestes en precisar si los plazos previstos en las letras f), j) y k) serán de días hábiles o corridos.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseguró que debería optarse por la primera alternativa, a fin de uniformar los períodos establecidos en el articulado.

Anunció que, de acogerse los cambios sugeridos por la mesa de trabajo prelegislativo y la observación referida a los plazos, el artículo 34 quedaría de la manera que sigue:

“Artículo 34. Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan las instituciones privadas por vulneración de las leyes, reglamentos, estatutos y demás normas que las rijan, o por incumplimiento de las instrucciones y órdenes que les imparta la Agencia, así como la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario o una funcionaria responsable de la instrucción del procedimiento, que recibirá el nombre de instructor o instructora. En el evento que producto de una denuncia se iniciare un procedimiento administrativo sancionador, el denunciante tendrá la calidad de interesado, para todos los efectos legales.

c) La Agencia podrá formular cargos en contra de la institución privada, señalando tanto una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como las normas que se estimen infringidas, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos deberá notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada podrá acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiere hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días hábiles.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores podrán acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor o instructora emitirá, dentro de diez días hábiles, un dictamen en el cual propondrá la absolución o la sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor o instructora elevará los antecedentes al Director, quien resolverá en el plazo de quince días hábiles, dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio deberá ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada, y contendrá la declaración de haberse configurado por la institución privada la infracción a la normativa aplicable, o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca la infracción a la normativa sobre ciberseguridad y aplique la sanción correspondiente deberá ser fundada. Esta resolución deberá indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de cinco días hábiles contados desde la notificación, el que deberá ser resuelto por el Director dentro del plazo de treinta días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses contados desde la notificación a que se refiere el literal d) anterior.”.

- Las Comisiones unidas, por la unanimidad de sus parlamentarios presentes, Honorables Senadores señores Araya, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron la indicación número 163 con las enmiendas consignadas y otras adecuaciones.

°°°°°

Artículos nuevos

A continuación, se formuló la indicación número 164, de Su Excelencia el Presidente de la República, para incorporar los siguientes artículos, nuevos, consultados como artículos 35, 36 y 37, pasando el actual artículo 35 a ser artículo 38 y así sucesivamente:

“Artículo 35. Procedimiento de reclamación judicial. Las personas jurídicas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, según sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá confirmar o revocar la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.”.

En lo que atañe a este primer precepto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enfatizó que el proyecto de ley ingresado a tramitación no contemplaba una norma relativa al procedimiento de reclamación judicial ante la decisión administrativa, pese a que en esta rama del derecho existe y es útil para la mejor protección de los derechos.

Previno que el precepto analizado es similar al de la ley sobre protección de datos personales.

El Honorable Senador señor Macaya alertó la necesidad de poner esta norma en conocimiento de la Excelentísima Corte Suprema, de conformidad a lo prescrito en el artículo 77, inciso segundo, de la Constitución Política de la República y en el artículo 16, inciso primero, de la ley orgánica constitucional del Congreso Nacional.

El Honorable Senador señor Huenchumilla remarcó que el artículo examinado solo posibilita la reclamación de las personas jurídicas. Solicitó al representante del Ejecutivo justificar tal decisión.

Fijando su atención en la interrogante planteada por el Presidente de las Comisiones unidas, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, adujo que el proyecto está concebido en términos que sus obligaciones solo sean aplicables a tales entidades, según se aprecia en sus primeras normas.

Respaldando la explicación dada anteriormente, el Honorable Senador señor Pugh sostuvo que son las personas jurídicas a quienes la ley encomienda la función de proveer servicios esenciales.

Por otra parte, notó que ellas tendrán el deber de gestionar riesgos y de adoptar las acciones vinculadas a aquel.

Seguidamente, celebró la incorporación de una disposición para que quienes sean afectados con una decisión administrativa puedan reclamar ante la Corte de Apelaciones que corresponda.

Finalmente, valoró la idea que el artículo incorporado sea similar al previsto en la ley N° 19.628.

El Honorable Senador señor Macaya cuestionó que solo las personas jurídicas puedan ser proveedores de servicios esenciales y, consecuentemente, actores en el sistema de ciberseguridad. Hizo hincapié en que un individuo natural bien podría estar organizado tributariamente para desarrollar este tipo de prestaciones.

A la luz de lo expuesto, requirió mayor profundidad por parte del Coordinador Nacional de Ciberseguridad.

Aportando más antecedentes, el Honorable Senador señor Huenchumilla abogó que tener en cuenta que el criterio adoptado podría infringir el principio de igualdad ante la ley.

En atención a los reparos surgidos, las Comisiones unidas acordaron dejar pendiente la votación del artículo 35 propuesto en la indicación número 164.

En una sesión posterior, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, comunicó que la mesa de trabajo prelegislativo, acogiendo las observaciones realizadas por la Excelentísima Corte Suprema, recomienda las siguientes enmiendas al artículo 35 en examen:

- En el inciso primero, eliminar la voz “jurídicas”.

- En el literal g), reemplazar la expresión “confirmar o revocar” por “rechazar o acoger”.

- Intercalar la siguiente letra h), nueva, pasando la actual a ser la letra i):

“h) Contra la resolución de la Corte de Apelaciones no procederá recurso alguno.”.

En relación con esta última modificación, las Comisiones unidas tuvieron en consideración que el oficio del Máximo Tribunal recomienda establecer expresamente que la sentencia dictada sea inapelable, porque de esta forma procederían en su contra los recursos de casación, acorde con lo dispuesto en los artículos 766 y 767 del Código de Procedimiento Civil.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que el grupo de trabajo constituido para acelerar la tramitación de esta proposición legal optó por emplear la misma fórmula de la ley N° 20.285, sobre acceso a la información pública. Agregó que garantiza que no procederá la mayoría de los recursos, pero si los de casación en la forma y en el fondo.

Adicionalmente, las Comisiones unidas estuvieron por uniformar el carácter de los plazos, de modo que todos sean de días hábiles.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enunció que, de respaldarse los cambios citados, la redacción del artículo 35 quedaría de la siguiente manera:

“Artículo 35. Procedimiento de reclamación judicial. Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones no procederá recurso alguno.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.”.

- Puesto en votación el artículo 35 de la indicación número 164, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Araya, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron esta indicación con las enmiendas consignadas precedentemente.

En tanto, el artículo 36 contemplado en la indicación en debate reza lo siguiente:

“Artículo 36. Responsabilidad administrativa del jefe superior del órgano público. El jefe superior de un órgano público deberá velar porque el órgano respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los órganos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del órgano público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el órgano público persiste en la infracción, se le aplicará al jefe superior del órgano público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días.

Las infracciones en que incurra un órgano público serán determinadas por la Agencia de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del respectivo órgano o servicio dentro del plazo de cinco días hábiles contados desde que la respectiva resolución quede firme.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la mesa de trabajo prelegislativo sugiere aprobar la norma transcrita con enmiendas, reemplazando, al igual que en oportunidades anteriores, las voces “órgano” por “organismo” y “órganos” por “organismos”, todas las veces que aparecen en el texto.

Las Comisiones unidas, en aras de uniformar los plazos prescritos en esta iniciativa de ley, estuvieron por especificar que aquel aludido en el inciso cuarto será de días hábiles.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, concordó con la sugerencia precedente, y detalló que de acogerse todas las modificaciones el artículo 36 quedaría como se señala a continuación:

“Artículo 36. Responsabilidad administrativa del jefe superior del organismo público. El jefe superior de un organismo público deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los organismos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del organismo público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el organismo público persiste en la infracción, se le aplicará al jefe superior del organismo público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días hábiles.

Las infracciones en que incurra un organismo público serán determinadas por la Agencia, de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del organismo o servicio de que se trate dentro del plazo de cinco días hábiles contados desde que la respectiva resolución quede firme.”.

En relación con los cambios sugeridos por la mesa técnica, la Honorable Senadora señora Provoste juzgó que las expresiones “órgano” y “organismo” son diferentes. En efecto, recordó que el Texto Supremo al referirse a los cuerpos autónomos, como el Poder Judicial, emplea la primera.

Su Señoría consultó la razón de la modificación acordada.

Deteniéndose en la interrogante de la legisladora que le antecedió en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que la Constitución Política de la República utiliza ambos vocablos.

Añadió que el proyecto de ley, al aludir a las instituciones de la Administración del Estado recurre al vocablo “organismo”.

Resaltó que, en el caso de las entidades autónomas constitucionales, en tanto, la proposición de ley emplea la expresión “órganos”.

Clarificado el punto, subrayó que la responsabilidad administrativa de los funcionarios de estos últimos se perseguirá conforme a sus propias reglas estatutarias.

- Sometido a votación el artículo 36 comprendido en la indicación número 164, las Comisiones unidas, por la unanimidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron esta indicación con las enmiendas consignadas precedentemente y otras de carácter meramente formal.

Por su lado, el tenor literal del artículo 37 contenido en la indicación número 164 dispone lo siguiente:

“Artículo 37. Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso. Las sanciones a los funcionarios infractores serán determinadas de conformidad a lo dispuesto en el Estatuto Administrativo.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación de este proyecto de ley recomienda reemplazar “órgano público, la Contraloría General de la República, a petición de la Agencia, iniciará una investigación sumaria para determinar las responsabilidades de dichos funcionarios o lo hará en el procedimiento administrativo ya iniciado, en su caso”, y la oración final del inciso primero de la norma en estudio, por la locución “organismo público, la responsabilidad administrativa se hará efectiva con sujeción a las normas estatutarias que rijan al órgano u organismo en que se produjo la infracción.”.

Profundizando en el cambio antedicho, pormenorizó que se sustituye el texto por uno genérico, de manera de asegurar que la responsabilidad administrativa se perseguirá conforme a la norma estatutaria que sea aplicable, eliminando, además, la referencia a la investigación sumaria, tal como lo sugirió la Excelentísima Corte Suprema.

Detalló que, de acogerse la recomendación mencionada, el artículo 37 quedaría así:

“Artículo 37. Responsabilidad del funcionario infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios del organismo público, la responsabilidad administrativa se hará efectiva con sujeción a las normas estatutarias que rijan al órgano u organismo en que se produjo la infracción.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.”.

- El artículo 37 de la indicación número 164, con la enmienda consignada anteriormente y otras adecuaciones, contó con el apoyo transversal de los parlamentarios de las Comisiones unidas, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra.

°°°°°

ARTÍCULO 35

Establece una agravante especial. Al respecto, dispone que, si como consecuencia de la perpetración de un delito resultare la destrucción, inutilización o alteración grave del funcionamiento de infraestructura crítica de la información, se impondrá la pena que corresponda, aumentada en un grado.

Agrega, en su inciso segundo, que lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos soportados por infraestructura de la información calificada como crítica o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de un sistema informático que formare parte de la infraestructura crítica de la información.

En relación con esta disposición se formuló la indicación número 165, de Su Excelencia el Presidente de la República, para reemplazarla por la siguiente, consultada como artículo 38:

“Artículo 38. Agravante especial. Si como consecuencia de la perpetración de un delito resultare afectada gravemente la continuidad operativa de un operador de importancia vital, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos informáticos relevantes del operador de importancia vital o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de su sistema informático.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que la razón de la decisión plasmada en el precepto descansa en que los servicios esenciales y los operadores de importancia vital serán los que, conforme a este futuro texto legal, tendrán los más altos estándares de ciberseguridad y de protección.

En atención a su reciente incorporación a la Comisión de Defensa Nacional, el Honorable Senador señor Cruz-Coke consultó quiénes podrán ser calificados como operadores de importancia vital.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, respondió que, al tenor de lo dispuesto en el artículo 4 del proyecto, la Agencia Nacional de Ciberseguridad determinará a aquellos servicios que sean considerados como esenciales y dentro de estos identificará a los operadores de importancia vital.

Apuntó que los criterios para establecer a los últimos son los siguientes:

a) Se trata de un operador que presta un servicio esencial;

b) La prestación de aquel depende de las redes y sistemas informáticos, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Continuando con el desarrollo de su intervención, ejemplificó que algunos operadores de telecomunicaciones -solo los que sean vitales para el funcionamiento del sector-, quedarán en esta categoría, de manera que el país no se paralice en caso de un ciberataque. Así, vislumbró, probablemente serán calificados como tales los prestadores de servicios públicos de telecomunicaciones y aquellos que ofrecen servicios privados de datos.

El Honorable Senador señor Cruz-Coke manifestó interés por conocer quién será el encargado de atribuirles tal condición.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enfatizó que la proposición legal considera una disposición transitoria que identifica, a priori, cuáles son los servicios esenciales. Al respecto, puso de relieve que la experiencia comparada ha permitido advertir que cuando se da tal calificación, es muy difícil salir de ella; así, adelantó, verbigracia, el sector eléctrico siempre lo será.

Por otro lado, prosiguió, el artículo 4 contempla un procedimiento para que la Agencia Nacional de Ciberseguridad, en conjunto con el Comité Interministerial de Ciberseguridad, establezcan quiénes quedan en esa condición. Tal determinación, puntualizó, se hará por medio de un decreto supremo.

- Las Comisiones unidas, por la totalidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, respaldaron esta indicación.

TÍTULO VIII

Esta parte de la iniciativa de ley lleva por epígrafe “Del Comité Interministerial de Ciberseguridad”.

El título fue objeto de la indicación número 166, del Honorable Senador señor Van Rysselberghe, para suprimirlo, junto con los artículos 36, 37, 38, 39 y 40, que lo integran.

- Esta indicación fue retirada por su autor ante la Secretaría de las Comisiones unidas el día 30 de enero de 2023.

ARTÍCULO 36

Crea el Comité Interministerial de Ciberseguridad, encomendándole la función de asesorar al Ministro del Interior y Seguridad Pública en materias de ciberseguridad relevantes para el funcionamiento de los órganos de la Administración del Estado y de servicios esenciales.

Sobre esta norma recayeron las indicaciones números 167 y 168.

La indicación número 167, de Su Excelencia el Presidente de la República, es para reemplazarla por la siguiente, contemplada como artículo 39:

“Artículo 39. Comité Interministerial de Ciberseguridad. Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando esta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Aprobar la lista de servicios esenciales propuesto por la Agencia, y sus modificaciones.

e) Aprobar la lista de operadores de importancia vital propuesto por la Agencia, y sus modificaciones.

f) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

g) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.”.

Habida cuenta de la falta de uniformidad advertida en el inciso primero de la norma propuesta, las Comisiones unidas consultaron si la nueva organización se denominará “Comité Interministerial de Ciberseguridad” o “Comité Interministerial sobre Ciberseguridad”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que actualmente, en virtud del decreto supremo N° 533, del Ministerio del Interior y Seguridad Pública, existe el organismo mencionado y que sobre él recaen dos de las decisiones más importantes de la iniciativa de ley; a saber, la declaración de los servicios esenciales y la de los operadores de importancia vital. A ellas, subrayó, se sumarán las individualizadas en la disposición examinada. En relación con estas últimas, especial relevancia atribuyó a la labor de asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad y a la de implementar dicho instrumento.

Sostuvo que, conforme a la norma aludida, dicha entidad recibe la denominación de Comité Interministerial sobre Ciberseguridad, y afirmó que el Ejecutivo la mantendrá en el futuro texto legal. A mayor abundamiento, esclareció que el título del artículo 39 solo constituye un error de redacción.

En el mismo orden de consideraciones, la Honorable Senadora señora Provoste estimó que la discusión debiera centrarse en si se trata de un Comité Interministerial sobre Ciberseguridad o un Comité Interministerial acerca de Ciberseguridad, discusión que, a su juicio, no es un tema baladí. Connotó que la primera nomenclatura tendría un impacto menor, motivo por el cual instó a preferir la segunda.

- Puesta en votación, las Comisiones unidas, por la totalidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron esta indicación con la referida enmienda de carácter formal.

La indicación número 168, del Honorable Senador señor Insulza, por su parte, sustituye la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

- En atención a la aprobación de la indicación anterior, esta fue rechazada por la unanimidad de los parlamentarios de las Comisiones unidas, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra.

ARTÍCULO 37

Este precepto está referido a la composición del Comité Interministerial sobre Ciberseguridad. Prescribe, en su inciso primero, que dicho órgano será presidido por el Subsecretario del Interior y estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario de Defensa o quien este designe;

b) Por el Subsecretario de Relaciones Exteriores o quien este designe;

c) Por el Subsecretario de Justicia o quien este designe;

d) Por el Subsecretario General de la Presidencia o quien este designe;

e) Por el Subsecretario de Telecomunicaciones o quien este designe;

f) Por el Subsecretario de Economía y Empresas de Menor Tamaño o quien este designe;

g) Por el Subsecretario de Hacienda o quien este designe;

h) Por el Subsecretario de Minería o quien este designe;

i) Por el Subsecretario de Energía o quien este designe;

j) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien este designe;

k) Por el Director Nacional de la Agencia Nacional de Inteligencia;

l) Por el Director Nacional de la Agencia Nacional de Ciberseguridad;

m) Por un representante de la Subsecretaría del Interior, experto en materias de ciberseguridad.

Con todo, agrega en su inciso segundo, que el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Respecto de este artículo se presentaron las indicaciones números 169 y 170.

La indicación número 169, de Su Excelencia el Presidente de la República, lo reemplaza por el siguiente, contemplado como artículo 40:

“Artículo 40. De los integrantes del Comité. El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.”.

Analizando la norma, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reiteró que la organización cuya integración aborda este artículo existe desde el año 2015, en virtud del decreto supremo N° 533, del Ministerio del Interior y Seguridad Pública.

Acerca de las diferencias entre el artículo 37 aprobado en general por el Senado y el contenido en la indicación en estudio, observó que este último limita la integración. La razón, argumentó, obedece a que la actual es excesivamente amplia y la experiencia desde su creación ha advertido que reunir a tantos subsecretarios es complejo. Además, prosiguió, en la práctica solo concurren aquellos vinculados al tema tratado.

Por último, centrándose en la letra a), adelantó que una vez que se publique la ley que crea el Ministerio de Seguridad Pública será el Subsecretario de dicha Cartera quien componga la citada instancia.

A su turno, el Honorable Senador señor Cruz-Coke manifestó interés por conocer la razón de la incorporación del Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación al referido comité.

Justificando su consulta, hizo ver que el presupuesto de la citada Secretaría de Estado es acotado, lo que le resta fuerza para atender materias como la ciberseguridad. Además, concluyó, se aboca a asuntos muy específicos.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, relató que la inclusión del aludido personero de Gobierno no estaba originalmente contemplada. No obstante, remarcó, se reparó que los países que han logrado avanzar en ciberseguridad son aquellos que tienen una política estatal de fomento a la investigación y al desarrollo de esta industria. Además, apuntó, conforme a la ley N° 21.105, que creó dicha Cartera de Estado, es ella la encargada de esta política. De hecho, resaltó, actualmente hay mesas específicas porque se innovará en ciberseguridad.

En línea con lo expresado, detalló que si lo que se pretende es orientar la inversión estatal en tecnología de punta, el Ministerio referido es, orgánicamente, el llamado a tal labor. Agregó que el decreto supremo N° 533, anteriormente reseñado, fue modificado para asegurar la integración del Subsecretario por cuya participación se consulta.

Por su parte, el Honorable Senador señor Pugh, respaldando la decisión del Ejecutivo, subrayó que a la Cartera de Estado mencionada se le encomienda no solo las ciencias, sino también la tecnología, el conocimiento y la innovación. Connotó que la seguridad informática supone conocimientos, y que la ciberdefensa, verbigracia, ha acudido a la inteligencia artificial, la que debe desarrollarse y programarse en base a lo que cada país realiza en el área.

Su Señoría hizo presente de la política nacional de ciberseguridad considera, dentro de sus objetivos, fomentar una industria nacional sobre la materia. Eso, notó, es innovación.

Subrayó, además, que la Organización de Estados Americanos tiene un capítulo especial dedicado a la innovación en ciberseguridad.

Asimismo, resaltó que la investigación en seguridad informática es una de las áreas estratégicas del nombrado Ministerio, y que para ello tiene recursos asignados en la Ley de Presupuestos del Sector Público. Asimismo, sostuvo, se ha estado analizado la posibilidad de crear un instituto nacional de ciberseguridad.

Tras las razones esgrimidas por el personero de Gobierno y por el Presidente de las Comisiones unidas, el Honorable Senador señor Cruz-Coke valoró la idea de sumar a la referida Cartera de Estado.

Enseguida, preguntó por los integrantes que, estando en el texto aprobado en general por la Sala, no figuran en el artículo en debate.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que la composición en discusión excluye a los Ministerios de Minería, de Energía y de Justicia y Derechos Humanos.

Con respecto a la decisión de prescindir de la última Secretaría de Estado aludida, el Honorable Senador señor Cruz-Coke observó que, probablemente, la ciberseguridad se traducirá en normas y, por lo tanto, su contribución resultará esencial.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reiteró que el Comité Interministerial sobre Ciberseguridad existe hace ocho años, lapso durante el cual ha acumulado experiencia suficiente. Conforme a ella, dijo, la participación del Ministerio de Justicia y Derechos Humanos ha sido muy acotada, salvo cuando se han abordado temas relativos a los delitos informáticos.

Explicó que su escasa intervención se explica por la gran carga de trabajo que sobre él pesa. Con todo, insistió, cuando ha sido convocado para atender ciertas materias, ha asistido.

Para concluir recordó que, de acuerdo a lo prescrito en el inciso final de la norma examinada, el Comité podrá invitar a participar de sus sesiones a tales autoridades, de estimarse necesario.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron la indicación número 169 con enmiendas meramente formales y otras adecuaciones.

La indicación número 170, del Honorable Senador señor Insulza, sustituye, en el inciso final del artículo 37 aprobado en general, la expresión “funcionarios de la Administración del Estado” por “funcionarios del Estado”.

- Habida cuenta de la aprobación de la indicación anterior, esta fue rechazada por la unanimidad de los parlamentarios de las Comisiones unidas, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra.

ARTÍCULO 38

Esta norma alude a la Secretaría Ejecutiva del Comité Interministerial sobre Ciberseguridad.

Inciso segundo

Encomienda al Director Nacional de la Agencia dirigir la Secretaría Ejecutiva y, entre otras funciones, despachar las convocatorias, según le instruya el Subsecretario del Interior; coordinar y registrar las sesiones del Comité e implementar los acuerdos que se adopten.

Al efecto, se formuló la indicación número 171, de Su Excelencia el Presidente de la República, para reemplazarlo por el que sigue:

“Al Director Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.”.

Deteniéndose en la enmienda propuesta, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, adujo que simplifica la redacción aprobada en general, y confiere al Director Nacional de la Agencia Nacional de Ciberseguridad la conducción del Comité.

- Las Comisiones unidas, con el apoyo transversal de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, respaldaron esta indicación con adecuaciones.

ARTÍCULO 40

Prescribe que un reglamento expedido por el Ministerio del Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.

Respecto de esta norma se presentó la indicación número 172, de Su Excelencia el Presidente de la República, para sustituir la expresión “Ministerio del Interior y Seguridad Pública” por “Ministerio encargado de la seguridad pública”.

- Puesta en votación esta indicación, las Comisiones unidas, por la totalidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, aprobaron esta indicación.

°°°°°

Título nuevo

A continuación, se formuló la indicación número 173, de Su Excelencia el Presidente de la República, para incorporar el siguiente Título IX, nuevo, pasando el actual Título IX a ser Título X, y así sucesivamente:

“Título IX

Órganos autónomos constitucionales”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que la inclusión del título apunta a contemplar reglas particulares para las entidades mencionadas, a fin de regular -de manera más precisa- la forma en que deberán hacerse cargo de sus obligaciones en asuntos de ciberseguridad. Actualmente, alertó, los órganos autónomos constitucionales son tan importantes como los organismos de la Administración del Estado para el funcionamiento del país. Sin embargo, habida cuenta de que la Agencia Nacional de Ciberseguridad forma parte de dicha Administración, carece de competencia sobre los primeros. Por tal motivo, razonó, resulta fundamental fijar ciertas pautas, en función del estándar normativo regulado en esta iniciativa de ley.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus parlamentarios, Honorables Senadores señores Araya, Cruz-Coke, Kast -actuando como miembro de ambas instancias legislativas-, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, respaldaron esta indicación.

°°°°°

°°°°°

Artículo nuevo

A continuación, se presentó la indicación número 174, de Su Excelencia el Presidente de la República, para consultar el siguiente artículo 44, nuevo, pasando el actual artículo 41 a ser artículo 45:

“Artículo 44. Regímenes especiales. Corresponde a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidas en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación con las infracciones a esta ley que se produzcan.

Las instituciones y organismos señalados en este artículo no estarán sujetos a la regulación, fiscalización o supervigilancia de la Agencia.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo sugiere aprobar esta disposición con las siguientes modificaciones:

- Agregar, en el inciso primero del artículo 44 propuesto, la siguiente oración final “En este caso, las referencias al reglamento contenidas en el artículo 6, se entenderán efectuadas a las normas que adopten los respectivos órganos internos.”.

- Incorporar, en el inciso segundo, a continuación de la voz “produzcan”, la expresión: “y, del mismo modo, les corresponderá ejercer las demás funciones y adoptar las decisiones que esta ley encomienda a la Agencia, para fines de dar cumplimiento a lo previsto en este artículo”.

- Agregar, en el inciso tercero, las siguientes oraciones finales: “Sin perjuicio de ello, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre ciberseguridad, respecto de la Agencia y las demás autoridades o instancias previstas en esta ley, incluyéndose la conformación o participación en equipos de respuesta a incidentes de ciberseguridad. En este contexto, si además fuere requerido el acceso por parte de la Agencia a sistemas o redes informáticas de los referidos órganos, deberá contarse con su autorización previa, debiendo cautelarse para ello la continuidad de sus operaciones. En caso de que los antecedentes que se soliciten o la información a la que se acceda sean confidenciales o reservados, la parte que los reciba deberá conservarlos en ese carácter.”.

- Incorporar los siguientes incisos finales, nuevos:

“Corresponderá a los señalados órganos determinar e informar a la Agencia sobre su carácter de operador de importancia vital, en los términos del artículo 4, e informarle, con la periodicidad que se acuerde, las infraestructuras, servicios o funciones específicos que se identifiquen en esta condición.

Asimismo, si el órgano autónomo constitucional revistiere además el carácter de autoridad sectorial, deberá considerarse su opinión previa, en relación con las personas o entidades reguladas o supervisadas por ella, que pudieren calificarse como operadores de importancia vital.”.

Anunció que, de acogerse las enmiendas antedichas, la redacción del artículo 44 quedaría de la manera que sigue:

“Artículo 44. Regímenes especiales. Corresponde a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidas en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad. En este caso, las referencias al reglamento contenidas en el artículo 6, se entenderán efectuadas a las normas que adopten los respectivos órganos internos.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios, en relación a las infracciones a esta ley que se produzcan y, del mismo modo, les corresponderá ejercer las demás funciones y adoptar las decisiones que esta ley encomienda a la Agencia, para fines de dar cumplimiento a lo previsto en este artículo.

Las instituciones y órganos señalados en este artículo no estarán sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Sin perjuicio de ello, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre ciberseguridad, respecto de la Agencia y las demás autoridades o instancias previstas en esta ley, incluyéndose la conformación o participación en equipos de respuesta a incidentes de ciberseguridad. En este contexto, si además fuere requerido el acceso por parte de la Agencia a sistemas o redes informáticas de los referidos órganos, deberá contarse con su autorización previa, debiendo cautelarse para ello la continuidad de sus operaciones. En caso de que los antecedentes que se soliciten o la información a la que se acceda sean confidenciales o reservados, la parte que los reciba deberá conservarlos en ese carácter.

Corresponderá a los señalados órganos determinar e informar a la Agencia sobre su carácter de operador de importancia vital, en los términos del artículo 4, e informarle, con la periodicidad que se acuerde, las infraestructuras, servicios o funciones específicos que se identifiquen en esta condición.

Asimismo, si el órgano autónomo constitucional revistiere además el carácter de autoridad sectorial, deberá considerarse su opinión previa, en relación con las personas o entidades reguladas o supervisadas por ella, que pudieren calificarse como operadores de importancia vital.”.

Las Comisiones unidas estuvieron contestes en que las enmiendas introducidas abordan materias de la iniciativa exclusiva de Su Excelencia el Presidente de la República, de conformidad a lo dispuesto en el artículo 65, inciso cuarto, N° 2, de la Constitución Política de la República.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, enunció que el Primer Mandatario respaldaría los cambios sugeridos por la mesa técnica, formulando la indicación pertinente.

La Honorable Senadora señora Provoste expresó interés por saber qué ocurrirá en el evento de que un órgano autónomo de los mencionados en el precepto no dé cumplimiento a las obligaciones establecidas; entre ellas, la de adoptar las medidas señaladas en el artículo 6, reportar los incidentes de seguridad informática, intercambiar información y conformar o participar en CSIRT. En este punto, hizo ver que la ausencia de sanción se traducirá en la falta de observancia de la ley.

Abocándose a la inquietud manifestada por la legisladora, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, reconoció que la creación de la Agencia Nacional de Ciberseguridad como un organismo de la Administración del Estado impide que las entidades autónomas constitucionales queden sujetas a su regulación, fiscalización y supervigilancia.

No obstante, ahondó, se proponen algunos ajustes al texto para garantizar el respeto a las obligaciones de ciberseguridad, tal como lo recomendó la Excelentísima Corte Suprema. En efecto, subrayó, se les impone el deber de coordinarse. Aseveró que ello ha demostrado ser más útil que avanzar en cuerpos normativos más estrictos respecto de las organizaciones públicas no dependientes del Gobierno.

Remarcó que algunos de los órganos autónomos, entre ellos el Poder Judicial y el Congreso Nacional, serán calificados como operadores de importancia vital. Agregó que, si bien la Agencia Nacional de Ciberseguridad no podrá sancionarlos, serán sus organismos internos de control los que, recurriendo a las normas sustanciales, determinarán si hubo incumplimiento de una obligación legal. Sin embargo, insistió, el procedimiento a aplicar será aquel previsto en la entidad de que se trate.

Siguiendo con el desarrollo de su exposición, puso de relieve que la experiencia ha permitido concluir que en asuntos de seguridad informática prima la colaboración. Añadió que difícilmente los cuerpos con autonomía constitucional lograrán desarrollar todas sus capacidades, lo que supondrá que gran parte de las mismas descansen en la Agencia, mediante un convenio de colaboración.

Para concluir, reconoció que el artículo 44 contemplado en la indicación número 174 motivó observaciones tanto por parte del Banco Central como del Poder Judicial, en orden consignar expresamente la obligación de dar cumplimiento a ciertos deberes. Producto de ello, enfatizó, quedarán sujetos a lo dispuesto en los artículos 4 y 6, asegurando, de este modo, altos estándares de ciberseguridad.

A su turno, el Honorable Senador señor Araya juzgó indispensable dar mayores pasos en seguridad informática en lo que respecta a los órganos autónomos. Planteó que las regulaciones emanadas de la Agencia Nacional de Ciberseguridad debieran serles obligatorias, y aclaró que estas no persiguen interferir en sus atribuciones sino, simplemente, afianzar un mínimo de ciberseguridad en todo el Estado.

Su Señoría resaltó que episodios como los experimentados por el Poder Judicial y por el Estado Mayor Conjunto hacen conveniente que la citada Agencia cuente con facultades normativas respecto de todos los organismos y órganos autónomos considerados en la iniciativa de ley. Apuntó que las de supervigilancia y de fiscalización, en tanto, deberían quedar radicadas en los referidos órganos, a fin de no vulnerar su independencia.

Llamó a ponderar que dejar entregada una materia tan importante a un eventual convenio de colaboración no parece razonable, toda vez que dependerá de la voluntad de quien dirija cada órgano.

A la luz de lo expuesto, instó por introducir cambios en el título IX del proyecto, e insistió en disipar la posibilidad de que su propuesta sea entendida como una coartación a la autonomía de tales entidades.

Atendiendo las inquietudes develadas por los legisladores que le antecedieron en el uso de la palabra, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, afirmó concordar con las apreciaciones del Honorable Senador señor Araya. Ahondando en su aseveración, destacó que las normas de los artículos 4 y 6 del proyecto en estudio serán obligatorias para los órganos autónomos, cumpliendo así con el estándar de esta legislación.

En lo que concierne a cómo la Agencia Nacional de Ciberseguridad controla y fiscaliza la observancia de tales estándares, esclareció que no puede avanzarse más, debido a la limitación constitucional existente.

Comentó que el Ejecutivo ha consultado a diversos especialistas acerca de la fórmula apropiada para garantizar el cumplimiento de la regulación contenida en esta proposición legal por parte de los órganos autónomos, sin vulnerar su carácter. Acotó que todos han coincidido en la complejidad de tal objetivo. Sin embargo, opinó que el modelo al que arribó la mesa técnica parece ser el más adecuado, puesto que, si alguna de las organizaciones públicas no dependientes del Gobierno contraviene las obligaciones de los preceptos mencionados, tendrá que asumir las responsabilidades correspondientes, de acuerdo a lo contemplado en su normativa interna.

Evidenció que solo hasta ese punto es posible avanzar, habida cuenta de que la Agencia Nacional de Ciberseguridad será un servicio público perteneciente a la Administración del Estado. Para lograr más, postuló, debería crearse como una institución autónoma.

En relación con el último comentario realizado, hizo hincapié en que en la experiencia comparada no hay países que hayan optado por esa alternativa, porque consagrarlo en tal carácter rigidizaría a un organismo eminentemente técnico.

Para concluir, arguyó que las diversas entidades autónomas coinciden en la importancia que reviste la ciberseguridad y, en consecuencia, el cumplimiento mínimo de ciertas medidas, las que, reiteró, se encuentran en los artículos 4 y 6 de la iniciativa de ley.

El Honorable Senador señor Pugh valoró la solución ofrecida por el grupo de asesores conformado para facilitar la tramitación de este proyecto, señalando que de acuerdo con la redacción propuesta para el artículo 44, las organizaciones públicas no dependientes del Gobierno deberán observar los deberes de este futuro texto legal, entre ellos, el de cooperación, el de coordinación y el de reporte de incidentes.

- En atención al compromiso asumido por el Ejecutivo y luego de disiparse las inquietudes expresadas, las Comisiones unidas, por la unanimidad de sus parlamentarios presentes, Honorables Senadores señores Araya, Cruz-Coke, Kusanovic, Pugh -en su calidad de integrante de ambas Comisiones-, señora Provoste -como representante de ambas instancias legislativas- y señor Saavedra, respaldaron, ad referéndum, la indicación número 174 con las modificaciones señaladas.

Posteriormente, dando cumplimiento al compromiso asumido, Su Excelencia el Presidente de la República presentó una indicación, que fue individualizada como indicación número 174 bis, para consultar el siguiente artículo 44, nuevo:

“Artículo 44.- Regímenes especiales. Corresponderá a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad. En este caso, las referencias al reglamento contenidas en el artículo 6, se entenderán efectuadas a las normas que adopten los respectivos órganos internos.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios y funcionarias, en relación a las infracciones a esta ley que se produzcan y, del mismo modo, les corresponderá ejercer las demás funciones y adoptar las decisiones que esta ley encomienda a la Agencia, para fines de dar cumplimiento a lo previsto en este artículo.

Las instituciones y órganos señalados en este artículo no estarán sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Sin perjuicio de ello, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre ciberseguridad, respecto de la Agencia y las demás autoridades o instancias previstas en esta ley, incluyéndose la conformación o participación en equipos de respuesta a incidentes de ciberseguridad. En este contexto, si además fuere requerido el acceso por parte de la Agencia a redes y sistemas informáticos de los referidos órganos, deberá contarse con su autorización previa, debiendo cautelarse para ello la continuidad de sus operaciones. En caso de que los antecedentes que se soliciten o la información a la que se acceda sean confidenciales o reservados, la Agencia deberá conservarlos en ese carácter.

Corresponderá a los señalados órganos determinar e informar a la Agencia sobre su carácter de operador de importancia vital, en los términos del artículo 4, e informarle, con la periodicidad que se acuerde, las infraestructuras, servicios o funciones específicos que se identifiquen en esta condición.

Asimismo, si el órgano autónomo constitucional revistiere además el carácter de autoridad sectorial, deberá considerarse su opinión previa en relación con las personas o entidades reguladas o supervisadas por ella, que pudieren calificarse como operadores de importancia vital.”.

- Las Comisiones unidas, por la totalidad de sus integrantes, Honorables Senadores señores Araya, Cruz-Coke -actuando como miembro de ambas instancias legislativas-, Insulza, Kusanovic, Macaya y Ossandón, señora Provoste -en su calidad de miembro de ambas instancias legislativas- y señor Pugh, aprobaron esta indicación.

°°°°°

°°°°°

Artículo nuevo

Asimismo, se formuló la indicación número 175, del Honorable Senador señor Insulza, para agregar el siguiente artículo, nuevo:

“Artículo…. Derecho general al cifrado. Toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.”.

La totalidad de los integrantes presentes de las Comisiones unidas estuvo conteste en la idea de considerar el derecho en discusión dentro del artículo 3 de la iniciativa de ley.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, aseveró que la mesa de trabajo prelegislativo comparte la indicación del Honorable Senador señor Insulza. Con todo, adhirió a la propuesta de las instancias legislativas. Pormenorizó que, de incluirse como un principio de aquellos que deberán observarse en la aplicación de este futuro texto legal, su redacción sería la siguiente:

“11. Principio del cifrado: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.”.

El Honorable Senador señor Saavedra valoró la decisión adoptada, y añadió que el derecho en cuestión fortalecerá a otros tradicionales, como el de privacidad, el de libertad de expresión y el de asociación en el mundo de la digitalización.

El Honorable Senador señor Pugh hizo ver que la criptografía constituye una forma de mantener las comunicaciones privadas. Al efecto, recordó que el artículo 19 N° 4° de la Carta Fundamental asegura el respeto y la protección a la vida privada, así como también la de sus datos personales. Por la razón esgrimida, celebró la inclusión de este derecho.

No obstante, alertó que, para hacer frente a ciertos delitos, el Estado debe tener capacidad de análisis criptográfica que permita a las policías, en ciertas ocasiones y con la debida autorización, realizar adecuadamente sus investigaciones.

Para concluir, advirtió que el desarrollo tecnológico avanza rápidamente, y que el arte citado puede quedar obsoleto con el advenimiento de la computación cuántica. En consecuencia, Su Señoría instó a anticipar cuáles serán las fórmulas para proteger a futuro las comunicaciones.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya, Ossandón, Pugh y Saavedra, respaldaron esta indicación con la enmienda antedicha.

°°°°°

TÍTULO IX

Esta parte del proyecto de ley se denomina “De las modificaciones a otros cuerpos legales”.

Sobre el referido título recayó la indicación número 176, del Honorable Senador señor Van Rysselberghe, para eliminarlo, junto con el artículo 41, que lo integra.

- Esta indicación fue retirada por su autor ante la Secretaría de las Comisiones unidas el día 30 de enero de 2023.

ARTÍCULO 41

Inserto en el título mencionado anteriormente, este precepto introduce un literal k), nuevo, al artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, con el objeto de encomendar al Estado Mayor conjunto la conducción del Centro Coordinador CSIRT del Sector Defensa en coordinación con la Subsecretaría de Defensa.

Este artículo fue objeto de la indicación número 177, de Su Excelencia el Presidente de la República, para reemplazarlo por el siguiente, contemplado como 45:

“Artículo 45. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.”.

Sobre el particular, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, planteó que la enmienda al artículo 25 de la ley N° 20.424 persigue confiar al Estado Mayor Conjunto la labor de dirigir el CSIRT de la Defensa Nacional, tal como lo contempla el artículo 25 del proyecto de ley.

- Puesta en votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya, Ossandón, Pugh y Saavedra, aprobaron esta indicación.

°°°°°

Artículos nuevos

A continuación, se formuló la indicación número 178, de Su Excelencia el Presidente de la República, para agregar los siguientes artículos, nuevos, consultados como 46, 47 y 48.

El primero de ellos es del siguiente tenor:

“Artículo 46. Modificaciones a la ley N° 21.459, sobre delitos informáticos. Incorpóranse las siguientes modificaciones en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1.- Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que reporte inmediatamente al responsable de las redes o sistemas informáticos afectados y a la Agencia Nacional de Ciberseguridad el acceso y las vulnerabilidades de seguridad detectadas en su investigación.”.

Centrando su atención en el primer numeral del artículo 46, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que el grupo de asesores conformado para facilitar la tramitación de esta iniciativa de ley sugiere aprobarlo con modificaciones, de manera de agregar al artículo 2° de la ley N° 21.459 los siguientes incisos finales:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que se cumplan las siguientes condiciones:

1. Haber reportado el acceso y las vulnerabilidades de seguridad detectadas en su investigación al responsable de las redes y sistemas informáticos afectados, en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad;

2. Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad;

3. Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizado métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, ex filtración o destrucción de datos, y

4. No haber divulgado públicamente la información relativa a la potencial vulnerabilidad.

Tampoco será objeto de sanción penal la persona que comunique a la Agencia información una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que ha incumplido con ello su obligación de secreto profesional.”.

El personero de Gobierno explicó que la enmienda al artículo 2° de la ley sobre delitos informáticos fue discutida largamente durante la tramitación de dicho cuerpo normativo. En esa oportunidad, recordó, se debatió la opción de otorgar una protección legal al investigador en seguridad informática que descubre una vulnerabilidad y sigue un procedimiento para notificar al afectado a fin de resolverla. En otras palabras, ilustró, al “hacking ético”.

Relató que producto de la entrada en vigor del texto aludido, el CSIRT de Gobierno dejó de recibir reportes relativos a las debilidades presentes en los sistemas públicos. La razón de este cambio, subrayó, obedece a que ello podría conllevar sanciones penales. Tal realidad, prosiguió, motivó a la mesa técnica a proponer un resguardo legal a la piratería ética, erradicando la posibilidad de que una norma en ese sentido sea mal utilizada. Para ello, detalló se establecen ciertas condiciones a cumplir.

Asimismo, puso de relieve que la redacción sugerida recoge las exigencias previstas en la experiencia comparada. Concretamente, enunció, el estándar de la Directiva NIS2, de la Unión Europea, y el belga; las prácticas incorporadas recientemente en Israel, y las reformas introducidas en la legislación dominicana.

Juzgó que la enmienda al artículo 2° de la ley N° 21.459 hará posible brindar resguardo legal a las labores de investigación en seguridad informática, lo que, remarcó, es significativamente beneficioso para la sociedad.

El Honorable Senador señor Macaya estimó que toda eximente de responsabilidad penal obliga a un análisis mayor.

Su Señoría consultó qué se considerará “labores de investigación en ciberseguridad”. Preguntó si la expresión está concebida en términos amplios o si, por el contrario, existe una definición específica a su respecto.

Adicionalmente, manifestó interés por saber si el “hacking ético” ampara solo a quienes se desempeñan en reparticiones públicas o a cualquier persona que afirma realizar indagaciones de dicha índole.

Razonó que el mal uso de la figura citada podría abrigar el el acceso a sistemas informáticos ajenos y a su manipulación.

Por los motivos esgrimidos, hizo ver la necesidad de garantizar que las labores mencionadas tengan cierto nivel de trazabilidad.

Atendiendo las inquietudes planteadas por Su Señoría, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, declaró que los investigadores en seguridad informática pueden ser de dos tipos, académicos o empresas dedicadas a la ciberseguridad.

Fijando su atención en los primeros, especificó que se trata de personas pertenecientes a instituciones de educación superior que efectúan indagaciones sobre ciertos temas específicos. Tal es el caso, precisó, de quien escanea una red determinada para detectar posibles anomalías y, en consecuencia, brechas de seguridad. Sin embargo, adelantó, son muy pocos en el país.

En relación con las empresas dedicadas a ciberseguridad, arguyó que esta figura es la que opera en los diversos servicios públicos. Aquellas, continuó, pueden encontrar vulnerabilidades en las redes de quien las contrató. No obstante, alertó, habitualmente la tecnología empleada por el Estado es la misma y, por lo tanto, el hallazgo en cierto ministerio también estará presente en otros. Reiteró que este acontecimiento solía comunicarse, mas ante la posibilidad de incurrir en un delito, ya no se hace.

Postuló que, si bien podría ponderarse la obligación de registro, suele ser un paso engorroso. Además, añadió, no tiene un beneficio directo. Por ese motivo, observó, se prefirió considerar una eximente de responsabilidad, para la cual deberán cumplirse ciertas exigencias.

Por último, hizo hincapié en que la construcción de una barrera que permita que los investigadores de ciberseguridad tengan confianza y notifiquen las fragilidades detectadas redundará en mejores niveles de seguridad informática.

El Honorable Senador señor Macaya consultó cual será el plazo para formalizar el deber de reporte.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, sostuvo que, de acuerdo con lo prescrito en el numeral 1, deberá efectuarse en forma inmediata y a más tardar en el momento que alerte a la Agencia Nacional de Ciberseguridad.

Agregó que, el numeral 2, consigna que deberá dar cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que hubiere dictado el organismo encargado de la ciberseguridad.

El Honorable Senador señor Macaya demostró interés por el empleo de la expresión “a más tardar en el momento que alerte a la Agencia Nacional de Ciberseguridad”.

Al efecto, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, explicó que no siempre los sistemas informáticos tienen a quien reportar. De ser este el caso, concluyó, deberá recurrirse a la Agencia.

El Honorable Senador señor Pugh celebró las enmiendas a la indicación en estudio. Profundizando en su apreciación, relevó que la redacción sugerida por el grupo de asesores conformado para acelerar la tramitación de esta iniciativa de ley transformará a Chile en un país proactivo en ciberseguridad, puesto que recoge la directiva europea NIS2, y las experiencias belga y dominicana.

- Sometido a votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron el numeral 1 del artículo 46 propuesto en la indicación número 178 con las enmiendas consignadas y otras de carácter formal.

El numeral 2 del artículo 46, en tanto, deroga el artículo 16 de la ley N° 21.459, que reza lo siguiente:

“Artículo 16.- Autorización e Investigación Académica. Para efectos de lo previsto en el artículo 2° se entenderá que cuenta con autorización para el acceso a un sistema informático, el que en el marco de investigaciones de vulnerabilidad o para mejorar la seguridad informática, acceda a un sistema informático mediando la autorización expresa del titular del mismo.”.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron el numeral 2 del artículo 46 propuesto en la indicación número 178.

El artículo 47, a su vez, incorpora, en el artículo 8° de la ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia, el siguiente literal h), nuevo:

“h) Elaborar, a requerimiento de la Agencia Nacional de Ciberseguridad, un informe fundado sobre los servicios que deban calificarse como esenciales para el mantenimiento de las actividades sociales o económicas cruciales para el país, que dependan de las redes y sistemas informáticos, cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer. Asimismo, el informe se pronunciará sobre los operadores que resultan de importancia vital para la provisión de esos servicios esenciales.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, señaló que la letra cuya inclusión se sugiere en el artículo 8° de la ley N° 19.974 es fruto de la aprobación del artículo 4 de esta iniciativa.

- Puesto en votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron el artículo 47 propuesto en la indicación número 178, con adecuaciones formales.

Finalmente, el artículo 48 deroga la letra a) del artículo 8° de la ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado.

El Honorable Senador señor Pugh consultó la razón por la cual el Primer Mandatario propone suprimir esta facultad que le otorga el citado texto normativo.

Sobre la inquietud de Su Señoría, el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, adujo que la eliminación del literal indicado obedece a que la ley referida fue derogada completamente, con excepción de su artículo 8°. A lo anterior, añadió, se suma el hecho de que este nunca ha tenido aplicación, y que las tecnologías a las que alude están obsoletas. Asimismo, connotó, los sistemas de cifrado operan por defecto en casi todas las tecnologías de comunicación y, en consecuencia, si quisiera aplicarse tal norma, tampoco sería posible.

Al respecto, el Honorable Senador señor Pugh puso énfasis en el poder que posee internet en la actualidad. En efecto, ahondó, resulta prácticamente imposible suprimir el acceso a este servicio digital, demostrándolo así la experiencia ucraniana.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron el artículo 48 propuesto en la indicación número 178.

°°°°°

ARTÍCULO PRIMERO TRANSITORIO

Faculta al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial esta ley, establezca mediante uno o más decretos con fuerza de ley, expedidos por intermedio del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1.Fijar la planta de personal de la Agencia Nacional de Ciberseguridad.

Precisa que en el ejercicio de esta facultad, el Presidente de la República deberá dictar todas las normas necesarias para la adecuada estructuración y operación de la planta de personal que fije, así como el número de cargos para cada planta, los requisitos específicos para el ingreso y promoción de dichos cargos, sus denominaciones y niveles jerárquicos para efectos de la aplicación de lo dispuesto en el Título VI de la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, y en el artículo 8º del decreto con fuerza de ley Nº 29, de 2004, del Ministerio de Hacienda. Igualmente, añade, fijará su sistema de remuneraciones y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

Además, prosigue, podrá establecer las normas para el encasillamiento del personal en la planta que fije, las que podrá incluir a los funcionarios que se traspasen desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

2. Determinar la fecha para la entrada en vigencia de las plantas que fije, del traspaso y del encasillamiento que se practique. Además, fijará la fecha en que la Agencia entrará en funcionamiento, pudiendo contemplar un período para su implementación.

3. Fijar la dotación máxima de personal de la Agencia Nacional de Ciberseguridad, a cuyo respecto no regirá la limitación establecida en el inciso segundo del artículo 10 de la ley Nº 18.834.

4. Disponer, sin solución de continuidad, el traspaso de los funcionarios titulares de planta y a contrata, desde la Subsecretaría del Interior.

Señala que en el respectivo decreto con fuerza de ley que fije la planta de personal, se determinará la forma en que se realizará el traspaso y el número de funcionarios que serán traspasados por estamento y calidad jurídica, pudiéndose establecer, además, el plazo en que se llevará a cabo este proceso, quienes mantendrán, al menos, el mismo grado que tenía a la fecha del traspaso. A contar de la fecha del traspaso, acota, el cargo del que era titular el funcionario traspasado se entenderá suprimido de pleno derecho en la planta de la institución de origen. Del mismo modo, aclara, la dotación máxima de personal se disminuirá en el número de funcionarios traspasados.

Hace presente que la individualización del personal traspasado se realizará a través de decretos expedidos bajo la fórmula "Por orden del Presidente de la República", por intermedio del Ministerio del Interior y Seguridad Pública. Agrega que conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho.

5. Los requisitos para el desempeño de los cargos que se establezcan en el ejercicio de la facultad prevista en este artículo, prosigue, no serán exigibles para efectos del encasillamiento respecto de los funcionarios titulares y a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley. Asimismo, a los funcionarios o funcionarias a contrata en servicio a la fecha de entrada en vigencia del o de los respectivos decretos con fuerza de ley, y a aquellos cuyos contratos se prorroguen en las mismas condiciones, no les serán exigibles los requisitos que se establezcan en los decretos con fuerza de ley correspondientes.

Pormenoriza que el uso de las facultades señaladas en este artículo quedará sujeto a las siguientes restricciones, respecto del personal al que afecte:

a) No podrá tener como consecuencia ni podrán ser considerados como causal de término de servicios, supresión de cargos, cese de funciones o término de la relación laboral del personal traspasado.

b) No podrá significar pérdida del empleo, disminución de remuneraciones respecto del personal titular de un cargo de planta, modificación de los derechos estatutarios y previsionales del personal traspasado. Tampoco importará cambio de la residencia habitual de los funcionarios fuera de la Región en que estén prestando servicios, a menos que se lleve a cabo con su consentimiento.

c) Respecto del personal que en el momento del encasillamiento sea titular de un cargo de planta, cualquier diferencia de remuneraciones se pagará mediante una planilla suplementaria, la que se absorberá por los futuros mejoramientos de remuneraciones que correspondan a los funcionarios, excepto los derivados de reajustes generales que se otorguen a los trabajadores del sector público. Dicha planilla mantendrá la misma imponibilidad que aquella de las remuneraciones que compensa. Además, a la planilla suplementaria se le aplicará el reajuste general antes indicado.

d) Los funcionarios traspasados conservarán la asignación de antigüedad que tengan reconocida, así como también el tiempo computable para dicho reconocimiento.

6. Podrá disponer el traspaso, en lo que corresponda, de los bienes que determine, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

En relación con esta disposición transitoria se presentó la indicación número 179, de Su Excelencia el Presidente de la República, para reemplazarla por la siguiente:

“Artículo Primero Transitorio.- Entrada en vigencia y personal. Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

3. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

4. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los incisos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el inciso anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el inciso precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al inciso anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

5. Determinar la estructura de la Agencia y su dotación máxima de personal.

6. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, informó que la mesa de trabajo prelegislativo recomienda aprobar esta indicación con una modificación, consistente en reemplazar el número 5 del precepto en examen por el siguiente:

“5. Determinar la dotación máxima de personal de la Agencia.”.

Justificó que el cambio anterior obedece a que la estructura interna de la Agencia Nacional de Ciberseguridad se establecerá en un decreto.

El personero de Gobierno anunció que, de respaldarse la propuesta citada, la redacción del artículo primero transitorio quedaría de la manera que sigue:

“Artículo primero. Entrada en vigencia y personal. Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

3. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

4. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los incisos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el inciso anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el inciso precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al inciso anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

5. Determinar la dotación máxima de personal de la Agencia.

6. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.”.

- Puesta en votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron la indicación número 179 con la enmienda consignada precedentemente y otras de carácter formal.

ARTÍCULO SEGUNDO TRANSITORIO

Se refiere al nombramiento del primer Director de la Agencia Nacional de Ciberseguridad. Sobre el particular, señala que el Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, a dicha autoridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. Detalla que, en el acto de nombramiento, el Primer Mandatario fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director, siempre que no se encuentre vigente la respectiva planta de personal. Concluye expresando que la remuneración de aquel se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese solo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal.

Sobre esta norma recayó la indicación número 180, de los Honorables Senadores señor Pugh, señora Órdenes, y señores Macaya y Ossandón, para sustituir la expresión “un año”, por la frase: “dieciocho meses, prorrogables por necesidades del servicio,”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, dio a conocer que el grupo de asesores conformado para facilitar la tramitación de este proyecto de ley recomienda rechazar esta indicación, toda vez que el primer Director de la Agencia Nacional de Ciberseguridad solo tendrá la misión de llevar a cabo la instalación de dicha entidad, labor para la cual el plazo aprobado en general por el Senado es suficiente.

- Por la razón esgrimida precedentemente, esta indicación fue desechada por la unanimidad de los miembros presentes de las Comisiones unidas, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra.

ARTÍCULO QUINTO TRANSITORIO

Precisa que en el tiempo intermedio en que los ministerios, subsecretarías, superintendencias y demás órganos de la Administración del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de éstos, de conformidad a lo dispuesto en el artículo 22, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

En relación con esta disposición se presentaron las indicaciones números 181 y 182.

La indicación número 181, del Honorable Senador señor Van Rysselberghe, la elimina.

- Esta indicación fue retirada por su autor ante la Secretaría de las Comisiones unidas el día 30 de enero de 2023.

La indicación número 182, del Honorable Senador señor Insulza, reemplaza la expresión “órganos de la Administración del Estado” por “organismos del Estado”.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron esta indicación.

ARTÍCULO SEXTO TRANSITORIO

Refiere a la renovación parcial de los miembros del Consejo Técnico de la Agencia Nacional de Ciberseguridad. Concretamente, prescribe que, para tales efectos, sus miembros durarán en los cargos el número de años que a continuación se transcribe, sin perjuicio de que podrán ser designados por un nuevo período:

a) Dos consejeros durarán en sus cargos por un plazo de dos tres años;

b) Dos consejeros durarán en sus cargos por un plazo de seis años.

Respecto de este precepto se formularon las indicaciones números 183 y 184.

La indicación número 183, del Honorable Senador señor Van Rysselberghe, es para eliminarlo.

- Esta indicación fue retirada por su autor ante la Secretaría de las Comisiones unidas el día 30 de enero de 2023.

La indicación número 184, de Su Excelencia el Presidente de la República, busca reemplazarlo por el siguiente:

“Artículo sexto transitorio.- Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 16, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, puso de relieve que la disposición en estudio regula la primera designación de los integrantes del Consejo Multisectorial sobre Ciberseguridad.

- Las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, aprobaron esta indicación con adecuaciones formales.

°°°°°

Artículo transitorio nuevo

Finalmente, se presentó la indicación número 185, de Su Excelencia el Presidente de la República, para incorporar la siguiente norma transitoria, nueva:

“Artículo octavo transitorio.- Sobre los servicios esenciales. Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

El Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, recordó que el artículo 4 del proyecto prescribe que mediante la dictación de un decreto del ministerio encargado de la seguridad pública se determinarán aquellos servicios que serán considerados esenciales y a los operadores de importancia vital. La indicación en estudio, por su parte, persigue incorporar una disposición transitoria para la fijación de aquellos mientras no se dicte la norma jurídica señalada.

Fijando su atención en el trabajo desarrollado por la mesa de trabajo prelegislativo, declaró que dicha instancia sugiere aprobar esta indicación con enmiendas, de manera de excluir de esta categoría inicial a los prestadores de salud operados por municipios o corporaciones municipales. Justificó el planteamiento en su falta de capacidad para adoptar medidas técnicas en materia de ciberseguridad. No obstante, enunció, en los próximos años podrán incorporarse.

Especificó que, de acogerse la modificación mencionada, la redacción del artículo octavo transitorio quedaría de la forma que sigue:

“Artículo octavo. Sobre los servicios esenciales. Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud, salvo aquellos prestados por municipios o corporaciones municipales; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

El Honorable Senador señor Pugh postuló que la precisión del grupo de asesores permite que aquellos que están más débiles en seguridad informática tengan mayor tiempo para adaptarse a las exigencias derivadas de esta iniciativa legal.

Sin embargo, remarcó, lo ideal es que los municipios sean capaces de dar cumplimiento a los deberes de ciberseguridad; objetivo que requerirá el trabajo conjunto de las asociaciones que los agrupan.

- Sometida a votación, las Comisiones unidas, por la totalidad de sus parlamentarios presentes, Honorables Senadores señores Cruz-Coke -en su calidad de integrante de ambas instancias legislativas-, Kusanovic, Macaya y Ossandón, señora Provoste -actuando como miembro de ambas instancias legislativas- y señores Pugh y Saavedra, respaldaron esta indicación con la enmienda antedicha y otras de carácter formal.

Al término de la última sesión celebrada por las Comisiones unidas para conocer las indicaciones formuladas a esta iniciativa, las instancias legislativas, en virtud de lo dispuesto en el artículo 121, inciso final, del reglamento del Senado, y a solicitud del representante del Ejecutivo, acordaron eliminar del texto el vocablo “plataforma”, y sustituir la expresión “redes o sistemas informáticos” y “red o sistema informático” por “redes y sistemas informáticos” y “red y sistema informático”, respectivamente.

°°°°°

- - -

MODIFICACIONES

De conformidad a los acuerdos adoptados, las Comisiones de Defensa Nacional y de Seguridad Pública, unidas, tienen el honor de proponer las siguientes modificaciones al proyecto de ley aprobado en general por el Senado:

ARTÍCULO 1

Reemplazarlo por el siguiente:

“Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones privadas, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para los efectos de esta ley, se entenderá por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Los órganos autónomos constitucionales se ajustarán a las disposiciones de esta ley que así lo señalen. No se aplicarán las disposiciones de esta ley a las empresas públicas creadas por ley y a las empresas del Estado y sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital.

La institucionalidad de la ciberseguridad velará por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias, que comprende la adopción de las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan sus redes y sistemas informáticos, incluyendo las herramientas de cifrado.”.

(Unanimidad 7x0. Indicación número 3, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 2

Sustituirlo por el que se señala a continuación:

“Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.

2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.

3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.

4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

5. Autoridad sectorial: aquellos servicios públicos que cuentan con facultades regulatorias, fiscalizadoras y eventualmente sancionatorias respecto de sus regulados.

6. Ciberataque: un incidente de ciberseguridad en el que una persona o grupo de ellas, conocidas o no, intenta destruir, exponer, alterar, deshabilitar, exfiltrar, hacer uso o acceder de manera no autorizada a un activo de información, y en el que puedan verse afectados también activos físicos de forma eléctrica o mecánica.

7. Ciberespacio: ambiente formado por la interconexión e interrelación compleja entre las redes y sistemas informáticos, los componentes lógicos de la información, los datos almacenados, procesados o transmitidos, y las interacciones sociales que ocurren en aquel.

Los componentes lógicos de la información son los diferentes programas computacionales que permiten el funcionamiento, administración y uso de la red.

8. Ciberhigiene o higiene digital: conjunto de prácticas habituales de las personas para mejorar la gestión segura de datos y proteger redes y sistemas informáticos, que incluyen, entre otros, el cuidado de claves de acceso, la gestión de vulnerabilidades y la actualización de programas y aplicaciones.

9. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

10. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

11. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

12. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.

13. Estándares mínimos de ciberseguridad: corresponde al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por la autoridad sectorial competente de conformidad con la presente ley.

14. Gestión de incidentes de ciberseguridad: conjunto ordenado de acciones enfocadas a prevenir la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

15. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación o no-repudio de los procesos ejecutados o implementados en las redes y sistemas informáticos.

16. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

17. Interagencialidad: coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar objetivos comunes, imposibles de lograr de forma independiente.

18. Interoperabilidad: capacidad de los sistemas informáticos de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos en tiempo real.

19. No repudio: propiedad de la información que permite probar su origen.

20. Operadores de importancia vital: institución pública o privada, identificada como tal por la Agencia de conformidad con esta ley, por prestar algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, que depende de las redes y sistemas informáticos, y cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

21. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.

22. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad.

23. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.

24. Sector regulado: aquel sector de la actividad económica que se encuentra sometido a la supervigilancia de un órgano público con facultades suficientes para regular, fiscalizar y eventualmente sancionar.

25. Servicios esenciales: todo servicio cuya afectación o interrupción tendría un impacto perturbador en el normal funcionamiento de la defensa nacional, la sociedad o la economía.

26. Sistema de gestión de seguridad de la información: conjunto de políticas, procedimientos, guías técnicas, y las actividades y recursos asociados, gestionados colectivamente por una organización para proteger sus activos de información.

27. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.”.

(Encabezamiento, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Número 1, unanimidad 7x0. Indicación número 28, y artículo 121, inciso final, del Reglamento del Senado).

(Número 2, unanimidad 9x0. Indicación número 5).

(Número 3, unanimidad 8x0. Indicación número 29).

(Número 4, unanimidad 8x0. Indicación número 29).

(Número 5, unanimidad 7x0. Indicación número 23).

(Número 6, unanimidad 7x0. Indicaciones números 6 y 7).

(Número 7, unanimidad 8x0. Indicación número 8).

(Número 8, unanimidad 8x0. Indicación número 29).

(Número 9, unanimidad 8x0. Indicación número 10).

(Número 10, unanimidad 8x0. Indicación número 29).

(Número 11, unanimidad 8x0. Indicación número 29).

(Número 12, unanimidad 8x0. Indicación número 11).

(Número 13, unanimidad 9x0. Indicación número 13).

(Número 14, unanimidad 8x0. Indicaciones números 15 y 16).

(Número 15, unanimidad 8x0. Indicación número 17, y artículo 121, inciso final, del Reglamento del Senado).

(Número 16, unanimidad 8x0. Indicación número 29).

(Número 17, unanimidad 8x0. Indicación número 29).

(Número 18, unanimidad 8x0. Indicación número 29).

(Número 19, unanimidad 8x0. Indicación número 29).

(Número 20, unanimidad 7x0. Indicación número 18, y artículo 121, inciso final, del Reglamento del Senado).

(Número 21, unanimidad 7x0. Indicación número 22, y artículo 121, inciso final, del Reglamento del Senado).

(Número 22, unanimidad 7x0. Indicación número 24, y artículo 121, inciso final, del Reglamento del Senado).

(Número 23, unanimidad 7x0. Indicación número 25).

(Número 24, unanimidad 7x0. Indicación número 26).

(Número 25, unanimidad 7x0. Indicación número 27).

(Número 26, unanimidad 8x0. Indicación número 29).

(Número 27, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 3

Reemplazarlo por el que se transcribe:

“Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:

1 Principio de actualización de programas computacionales: los organismos públicos e instituciones privadas adoptarán las medidas necesarias para la instalación de las actualizaciones de seguridad de los sistemas informáticos que usen o administren, dando prioridad a aquellas que solucionen vulnerabilidades graves.

2. Principio de confidencialidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos deberá ser conocida y accedida exclusivamente por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.

3. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad, todos los organismos del Estado, así como las instituciones privadas, deberán siempre actuar diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.

4. Principio de cooperación con la autoridad: los organismos del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

5. Principio de disponibilidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos, y las redes y sistemas informáticos deberán estar accesibles para su uso a demanda.

6. Principio de igualdad y no discriminación: todas las personas tienen derecho a participar de un espacio digital seguro y libre de violencia. El Estado desarrollará acciones de prevención, promoción, reparación y garantía de este derecho, otorgando especial protección a mujeres, niñas, niños, jóvenes, personas de la tercera edad y disidencias sexogenéricas.

7. Principio de integridad de los sistemas informáticos y de la información: la información almacenada o transmitida por redes y sistemas informáticos, incluida la configuración de estos, solo podrá ser modificada por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.

8. Principio de protección integral: se deberán determinar los riesgos potenciales que puedan afectar a las redes y sistemas informáticos y aplicar las medidas organizativas, de gestión y técnicas apropiadas para la protección de los mismos.

9. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las provee, ofrece u opera, con independencia de la naturaleza pública o privada del organismo.

10. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.

11. Principio del cifrado: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.”.

(Encabezamiento, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Número 1, unanimidad 9x0, indicación número 43, y 10x0, indicación número 43 bis).

(Número 2, unanimidad 8x0. Indicación número 32).

(Número 3, unanimidad 9x0. Indicaciones números 35 y 36).

(Número 4, unanimidad 9x0, indicación número 38, y 10x0, indicación número 38 bis).

(Número 5, unanimidad 8x0. Indicación número 34).

(Número 6, unanimidad 9x0, indicación número 42, y 10x0, indicación número 42 bis).

(Número 7, unanimidad 8x0. Indicación número 33).

(Número 8, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Número 9, unanimidad 8x0. Indicación número 31).

(Número 10, unanimidad 9x0. Indicación número 39).

(Número 11, unanimidad 7x0. Indicación número 175).

TÍTULO II

Considerar como tal el siguiente:

“TÍTULO II

Obligaciones de ciberseguridad”.

(Unanimidad 7x0. Indicación número 45).

Párrafo 1°

Contemplar, en su lugar, el que se indica a continuación:

“Párrafo 1°

Servicios esenciales y operadores de importancia vital”.

(Unanimidad 7x0. Indicación número 46).

ARTÍCULO 4

Reemplazarlo por el que sigue:

“Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital. En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas informáticos, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La interdependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente;

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio;

g) La afectación relevante del funcionamiento del Estado y sus organismos, y

h) El daño reputacional que pueda ocasionarse.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deban calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial de Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial de Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.”.

(Unanimidad 7x0. Indicación número 47).

Párrafo 2°

Contemplar, en su lugar, el que se transcribe a continuación:

“Párrafo 2°

Obligaciones de ciberseguridad”.

(Unanimidad 7x0. Indicación número 51).

ARTÍCULO 5

Sustituirlo por el que se señala:

“Artículo 5. Deberes generales. Será obligación de los organismos del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado, de conformidad con lo prescrito en la presente ley.

En el caso de los organismos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Para efectos de emitir los protocolos y estándares a los que se refiere el inciso anterior, la Agencia deberá solicitar informe previo de la autoridad sectorial competente, el que deberá ser evacuado a más tardar dentro el plazo de treinta días hábiles, sin perjuicio de lo dispuesto en el artículo 22 respecto de las instituciones financieras fiscalizadas por la Comisión para el Mercado Financiero.

Se prohíbe a los organismos e instituciones señalados en el inciso primero, realizar pagos de cualquier tipo por rescate ante ataques de secuestro digital o ransomware, ya sea que dichos ataques causen la inoperatividad de los sistemas o amenacen con exponer la información exfiltrada.”.

(Unanimidad 7x0, indicaciones números 52 y 53; 8x0, indicación número 55, y 10x0, indicación número 55 bis).

ARTÍCULO 6

Reemplazarlo por el siguiente:

“Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales. Todos los organismos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:

a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio. Dicho sistema debe contar con la capacidad de estimar tanto la probabilidad como el impacto de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de seguridad de la información, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados por un centro de certificación acreditado o por la Agencia, según sea el caso. Dichos planes deberán ser actualizados y certificados periódicamente.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus redes y sistemas informáticos, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior, conforme a las instrucciones generales y particulares que al efecto dicte la Agencia.

h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de la máxima autoridad de la institución a la que pertenece.

Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los organismos del Estado con competencias específicas sobre servicios esenciales.”.

(Denominación y encabezamiento del artículo: 8x0 y 7x0, respectivamente. Indicaciones número 56, 57 y 58).

(Letra a), unanimidad 8x0, indicaciones números 59, 60 y 61, y 10x0, indicación número 61 bis).

(Letra b), unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Letra c), unanimidad 8x0. Indicaciones números 62 y 63).

(Letra d), unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Letra e), unanimidad 8x0. Indicación número 64).

(Letra f), unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Letra g), unanimidad 8x0. Indicación número 65, y artículo 121, inciso final, del Reglamento del Senado).

(Letra h), unanimidad 8x0. Indicación número 66).

(Letra i), unanimidad 8x0. Indicación número 67).

(Inciso final, unanimidad 8x0. Indicación número 68).

ARTÍCULO 7

Considerar como tal el que sigue:

“Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar deberá cumplirse en un plazo inferior a tres horas contadas desde que se tuvo conocimiento del evento respectivo. La entidad informante podrá solicitar la prórroga de dicho plazo por una sola vez y mientras se encuentre este vigente, con la sola finalidad de recabar mayores antecedentes.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el Gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.”.

(Unanimidad 8x0. Indicación número 69, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 8

Reemplazarlo por el siguiente:

“Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

La Agencia deberá regular, fiscalizar y sancionar las acciones de los organismos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.”.

(Unanimidad 8x0. Indicaciones números 70 y 71).

ARTÍCULO 9

Sustituirlo por el que se transcribe a continuación:

“Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.

b) Dictar las disposiciones para la aplicación y el cumplimiento de las leyes y reglamentos y, en general, dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.

c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.

d) Coordinar y supervisar a los CSIRT Sectoriales existentes; a aquellos que pertenezcan a organismos de la Administración del Estado; a instituciones privadas y al CSIRT Nacional, en la forma que establece esta ley.

e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.

f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

g) Elaborar y actualizar la lista de servicios esenciales y operadores de importancia vital, en la forma prevista en el artículo 4 de la presente ley.

h) Requerir de los CSIRT Sectoriales la información que sea necesaria para el cumplimiento de sus fines y que se encuentre en posesión de estas instituciones.

i) Diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

j) Requerir a los organismos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sea necesario para el cumplimiento de sus fines, incluyendo el acceso a redes y sistemas informáticos, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N° 19.628.

k) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. La Agencia servirá de punto de contacto con las Agencias Nacionales de Ciberseguridad extranjeras o sus equivalentes y con los organismos internacionales con competencia en materia de ciberseguridad.

l) Prestar asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

m) Coordinar y colaborar interagencialmente con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.

n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

La Agencia contará con todas las facultades que fueren necesarias para el cumplimiento de su función fiscalizadora; entre otras, las de realizar inspecciones, auditorías, análisis de seguridad o evaluar un sistema de gestión de seguridad de la información; requerir el acceso a sistemas informáticos, datos, documentos e información para el desempeño de sus funciones de supervisión, y citar a declarar a los socios, directores, administradores, representantes, empleados y personas que, a cualquier título, presten o hayan prestado servicios para las personas o entidades fiscalizadas y a toda otra persona que hubiere ejecutado y celebrado con ellas actos y convenciones de cualquier naturaleza, respecto de algún hecho cuyo conocimiento estime necesario para el cumplimiento de sus funciones.

ñ) Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.

o) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.

p) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

q) Informar al CSIRT de la Defensa Nacional y a los CSIRT Sectoriales los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector, que considere relevantes, pudiendo sugerir determinados planes de acción.

r) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.

t) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.

v) Regular, en coordinación con el Servicio Nacional del Consumidor, estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales, cubriendo tanto la publicidad del producto como la obligación de incluir etiquetas en estos, pudiendo consistir en fechas de expiración, indicadores de riesgo, u otros indicadores similares.

w) Administrar la Red de Conectividad Segura del Estado (RCSE).

x) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113.

y) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.”.

(Encabezamiento, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

(Letra a), unanimidad 8x0. Indicación número 72).

(Letra b), unanimidad 8x0. Indicación número 73).

(Letra c), unanimidad 8x0. Indicación número 76).

(Letra d), unanimidad 8x0. Indicaciones números 78 y 80).

(Letra e), unanimidad 8x0. Indicación número 81).

(Letra f), unanimidad 8x0. Indicación número 82).

(Letra g), unanimidad 8x0. Indicación número 83).

(Letra h), unanimidad 8x0. Indicación número 84).

(Letra i), unanimidad 8x0. Indicación número 86).

(Letra j), unanimidad 8x0. Indicaciones números 87 y 88).

(Letra k), unanimidad 8x0. Indicación número 89).

(Letra l), unanimidad 8x0. Indicación número 90).

(Letra m), unanimidad 8x0. Indicación número 92).

(Letra n), unanimidad 10x0. Indicaciones números 94 y 94 bis).

(Letra ñ), unanimidad 7x0, indicación número 95, y 10x0, indicación número 95 bis).

(Letra o), unanimidad 7x0. Indicación número 97).

(Letras p), q), r), s), t), u), v) y w), unanimidad 10x0. Indicación número 99).

(Letra x), unanimidad 10x0. Indicaciones número 101 y 101 bis).

(Letra y), unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 10

Incorporar, a continuación de la expresión “un Director” la locución “o Directora”.

(Unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 11

Encabezamiento

Sustituirlo por el siguiente:

“Artículo 11. Atribuciones del Director o Directora Nacional. Corresponderá especialmente al Director o Directora Nacional:”.

(Unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

Letra f)

Reemplazarla por la siguiente:

“f) Delegar atribuciones o facultades específicas en los funcionarios y funcionarias que indique;”.

(Unanimidad 10x0. Indicación número 102, y artículo 121, inciso final, del Reglamento del Senado).

Letra g)

Sustituirla por la que sigue:

“g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios y funcionarias a cargo y determinar las sanciones e imponerlas, y”.

(Unanimidad 10x0. Indicación número 103, y artículo 121, inciso final, del Reglamento del Senado).

°°°°°

Luego, incorporar la siguiente letra h), nueva:

“h) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.”.

(Unanimidad 9x0. Indicación número 105).

°°°°°

ARTÍCULO 13

Considerar como tal el que se transcribe a continuación:

“Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.”.

(Unanimidad 10x0. Indicación número 106).

ARTÍCULO 14

Reemplazarlo por el siguiente:

“Artículo 14. Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, de 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, de 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el ministerio encargado de la seguridad pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, de administración financiera del Estado.”.

(Unanimidad 9x0, indicación número 107, y 10x0 indicación número 107 bis).

ARTÍCULO 15

Sustituirlo por el que sigue:

“Artículo 15. Prohibiciones e inhabilidades. Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean estas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales, y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada para compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.”.

(Unanimidad 9x0, indicación número 109, y 10x0 indicación número 109 bis).

Párrafo 3°(del Título III)

Sustituir su denominación por la que se indica a continuación:

“Párrafo 3°

Consejo Multisectorial sobre Ciberseguridad”.

(Unanimidad 9x0. Indicación número 110).

ARTÍCULO 16

Eliminarlo.

(Unanimidad 9x0. Indicación número 111).

Párrafo 4°(del Título III)

Suprimirlo en esta parte, para ubicarlo más adelante, antes del artículo 21 que pasa a ser 19, con la denominación que se señalará en su oportunidad.

(Unanimidad 9x0. Indicación número 115).

ARTÍCULO 17

Pasa a ser artículo 16, reemplazado por el que sigue:

“Artículo 16. Consejo Multisectorial sobre Ciberseguridad. Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.”.

(Unanimidad 10x0, todo el artículo, salvo la oración final del inciso segundo que fue eliminada por 7 votos en contra y 3 a favor, en segunda votación, de conformidad al artículo 178 del Reglamento del Senado. Indicación número 116, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 18

Suprimirlo.

(Unanimidad 10x0. Indicación número 117).

ARTÍCULO 19

Pasa a ser artículo 17, sustituido por el que sigue:

“Artículo 17. Funcionamiento del Consejo. El Consejo sesionará a lo menos cuatro veces al año; sus recomendaciones serán de carácter público, y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director o Directora podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 42.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.”.

(Unanimidad 7x0. Indicación número 118, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 20

Pasa a ser artículo 18, reemplazado por el que se transcribe a continuación:

“Artículo 18. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo solo por el tiempo que falte para completar el período del consejero reemplazado.”.

(Unanimidad 10x0. Indicación número 119).

°°°°°

Como se dijo, incorporar luego un párrafo 4°, nuevo, del siguiente tenor:

“Párrafo 4°

Red de Conectividad Segura del Estado”.

(Unanimidad.10x0. Indicación número 119 bis).

°°°°°

ARTÍCULO 21

Pasa a ser artículo 19, sustituido por el que sigue:

“Artículo 19. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a Internet a los organismos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.”.

(Unanimidad 10x0. Indicación número 120).

ARTÍCULO 22

Pasa a ser artículo 20, con las siguientes enmiendas:

En su encabezamiento, sustituir “ante Incidentes” por “a Incidentes”.

(Adecuación formal).

Letra a)

Reemplazarla por la siguiente:

“a) Responder ante ciberataques o incidentes de ciberseguridad, cuando estos sean de efecto significativo.”.

(Unanimidad 10x0. Indicación número 121).

Letra b)

Sustituirla por la que sigue:

“b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por estos.”.

(Unanimidad 10x0. Indicación número 123).

Letra e)

Considerar como tal la que se señala continuación:

“e) Supervisar incidentes a escala nacional.”.

(Unanimidad 10x0. Indicación número 126).

Letra f)

Reemplazarla por la que sigue:

“f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.”.

(Unanimidad 10x0. Indicación número 127).

Letra g)

Sustituirla por la siguiente:

“g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.”.

(Mayoría 9x1. Indicación número 128).

Letra h)

Contemplar en su lugar la que sigue:

“h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.”.

(Unanimidad 10x0. Indicación número 131).

Letra i)

Reemplazarla por la que se transcribe:

“i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.”.

(Unanimidad 10x0. Indicación número 132).

Letra j)

Sustituirla por la siguiente:

“j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.”.

(Unanimidad 10x0. Indicación número 135).

Letra k)

Eliminarla.

(Unanimidad 10x0. Indicación número 136).

TÍTULO IV

Reemplazar su denominación, para que quede del siguiente modo:

“TÍTULO IV

Otras instituciones intervinientes”.

(Unanimidad 10x0. Indicación número 139).

ARTÍCULO 23

Pasa a ser artículo 21, sustituido por el siguiente:

“Artículo 21. CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad contribuir al desarrollo de capacidades, confianza y seguridad de las redes y sistemas informáticos y proporcionar asistencia para la gestión de incidentes de ciberseguridad en sus respectivos sectores.

Los CSIRT Sectoriales tendrán las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, dando prioridad a aquellos que puedan tener efecto significativo.

b) Colaborar e interoperar con los otros CSIRT Sectoriales, frente a ciberataques o incidentes de ciberseguridad de efecto significativo, bajo la coordinación y supervisión de la Agencia.

c) Establecer relaciones de cooperación e interoperabilidad con los otros CSIRT Sectoriales.

d) Supervisar la gestión de incidentes de ciberseguridad que afecten a su sector.

e) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación que afecten a su sector.

f) Realizar capacitación en materia de ciberseguridad, debiendo para ello seguir las instrucciones que al efecto pudiera dictar la Agencia.

g) Requerir a las instituciones de su sector información sobre los incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos, la que deberá ser remitida al CSIRT Nacional. La información que se remita deberá excluir datos personales.

h) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de ciberseguridad, conforme las instrucciones que dicte al efecto la Agencia.

i) Poner en conocimiento de la Agencia toda información relevante, en especial aquella referida a incidentes de ciberseguridad de efecto significativo.

j) Colaborar con la Agencia en los casos y en la forma que esta lo solicite.

En el ejercicio de sus funciones, los CSIRT Sectoriales deberán dar cumplimientos a todas aquellos protocolos y estándares técnicos, instrucciones generales y particulares, que la Agencia pudiera dictar con el objeto de lograr un nivel común de ciberseguridad y respuestas coordinadas ante la ocurrencia de incidentes de ciberseguridad. En el caso del CSIRT del sector financiero sujeto a la fiscalización de la Comisión para el Mercado Financiero, bastará con dar cumplimiento a los protocolos y estándares técnicos que la Agencia comunique ante la ocurrencia de incidentes de ciberseguridad, salvo en los casos de incidentes que pudieran tener un efecto sistémico en las redes y sistemas informáticos del país.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.”.

(Unanimidad 8x0, indicación número 140, y 10x0, indicación número 140 bis).

ARTÍCULO 24

Pasa a ser artículo 22, consultado con el siguiente texto:

“Artículo 22. Facultades especiales. Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación respectiva, las que deberán ser sometidas a aprobación previa de la Agencia, quien deberá pronunciarse en el plazo de treinta días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos serán obligatorios para todos los regulados aun cuando la autoridad sectorial omita referirse a ellos.

Tratándose de sus instituciones fiscalizadas, la Comisión para el Mercado Financiero podrá establecer las normas de carácter general y técnicas sobre ciberseguridad sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las normas dictadas por ella. En caso de que la Comisión para el Mercado Financiero emita normativa que regule elementos contenidos en normas, protocolos o instrucciones generales dictados por la Agencia, deberá informarle previamente, remitiendo la norma, protocolo o instrucción, con una anticipación de, al menos, treinta días hábiles a su emisión por parte de la Comisión para el Mercado Financiero.”.

(Unanimidad 8x0, indicación número 141, y 10x0, indicación número 141 bis).

ARTÍCULO 25

Pasa a ser artículo 23, reemplazado por el que se transcribe a continuación:

“Artículo 23. Incidentes de efecto significativo. Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.”.

(Unanimidad 8x0. Indicación número 143).

ARTÍCULO 26

Pasa a ser artículo 24, sustituido por el siguiente:

“Artículo 24. Centros de Certificación Acreditados. Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los organismos de la Administración del Estado que estén sujetos a las obligaciones del artículo 6, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros organismos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.”.

(Unanimidad 7x0. Indicación número 144).

TÍTULO V

Reemplazar su denominación, para que quede del siguiente modo:

“TÍTULO V

Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional”.

(Unanimidad 8x0. Indicación número 147).

ARTÍCULO 27

Pasa a ser artículo 25, reemplazado por el que sigue:

“Artículo 25. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional. Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.”.

(Unanimidad 8x0. Indicación número 148).

ARTÍCULO 28

Pasa a ser artículo 26, sustituido por el que se indica:

“Artículo 26. De las funciones del CSIRT de la Defensa Nacional. Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.”.

(Unanimidad 8x0. Indicación número 150).

°°°°°

A continuación, incorporar los siguientes artículos 27 y 28, nuevos:

“Artículo 27. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional. En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.

Artículo 28. Deber de reporte al CSIRT de la Defensa Nacional. Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.”.

(Artículo 27, nuevo, unanimidad 8x0. Indicación número 151, y artículo 121, inciso final, del Reglamento del Senado).

(Artículo 28, nuevo, unanimidad 8x0. Indicación número 152).

°°°°°

ARTÍCULO 29

Consultar en su lugar el que se señala a continuación:

“Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con estos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de estas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que este indique.

Los funcionarios y funcionarias de la Agencia y del CSIRT Nacional, de Defensa o de los Sectoriales que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 6, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.”.

(Inciso primero, unanimidad 8x0. Indicaciones números 153, 154, y 155).

(Inciso segundo, unanimidad 8x0. Indicación números 156, y artículo 121, inciso final, del Reglamento del Senado).

(Inciso tercero, unanimidad 8x0. Indicaciones números 157 y 158, y artículo 121, inciso final, del Reglamento del Senado).

(Incisos cuarto y quinto, unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 30

Agregar, a continuación de la voz “funcionarios” la expresión “o funcionarias”.

(Unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 33

Reemplazarlo por el siguiente:

“Artículo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Entregar fuera de plazo la información a la autoridad u organismo de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u organismo de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u organismo de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.”.

(Unanimidad 8x0. Indicaciones número 159 y 161).

ARTÍCULO 34

Sustituirlo por el que se señala a continuación:

“Artículo 34. Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan las instituciones privadas por vulneración de las leyes, reglamentos, estatutos y demás normas que las rijan, o por incumplimiento de las instrucciones y órdenes que les imparta la Agencia, así como la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario o una funcionaria responsable de la instrucción del procedimiento, que recibirá el nombre de instructor o instructora. En el evento de que producto de una denuncia se iniciare un procedimiento administrativo sancionador, el denunciante tendrá la calidad de interesado, para todos los efectos legales.

c) La Agencia podrá formular cargos en contra de la institución privada, señalando tanto una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como las normas que se estimen infringidas, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos deberá notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada podrá acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiere hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días hábiles.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores podrán acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor o instructora emitirá, dentro de diez días hábiles, un dictamen en el cual propondrá la absolución o la sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director o Directora de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor o instructora elevará los antecedentes al Director o Directora, quien resolverá en el plazo de quince días hábiles, dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director o Directora podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio deberá ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada, y contendrá la declaración de haberse configurado por la institución privada la infracción a la normativa aplicable, o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca la infracción a la normativa sobre ciberseguridad y aplique la sanción correspondiente deberá ser fundada. Esta resolución deberá indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de cinco días hábiles contados desde la notificación, el que deberá ser resuelto por el Director o Directora dentro del plazo de treinta días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses contados desde la notificación a que se refiere el literal d) anterior.”.

(Unanimidad 9x0. Indicación número 163, y artículo 121, inciso final, del Reglamento del Senado).

°°°°°

Luego, incorporar los siguientes artículos 35, 36 y 37, nuevos:

“Artículo 35. Procedimiento de reclamación judicial. Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones no procederá recurso alguno.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 36. Responsabilidad administrativa del jefe superior del organismo público. El jefe superior de un organismo público deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los organismos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del organismo público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el organismo público persiste en la infracción, se le aplicará al jefe superior del organismo público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días hábiles.

Las infracciones en que incurra un organismo público serán determinadas por la Agencia, de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del organismo o servicio de que se trate dentro del plazo de cinco días hábiles contados desde que la respectiva resolución quede firme.

Artículo 37. Responsabilidad del funcionario o funcionaria infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios o funcionarias del organismo público, la responsabilidad administrativa se hará efectiva con sujeción a las normas estatutarias que rijan al organismo en que se produjo la infracción.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios o funcionarias involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.”.

(Artículo 35, nuevo, unanimidad 9x0. Indicación número 164).

(Artículos 36 y 37, nuevos, unanimidad 10x0. Indicación número 164, y artículo 121, inciso final, del Reglamento del Senado).

°°°°°

ARTÍCULO 35

Pasa a ser artículo 38, sustituido por el que se indica a continuación:

“Artículo 38. Agravante especial. Si como consecuencia de la perpetración de un delito resultare afectada gravemente la continuidad operativa de un operador de importancia vital, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos informáticos relevantes del operador de importancia vital o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de su sistema informático.”.

(Unanimidad 10x0. Indicación número 165).

ARTÍCULO 36

Pasa a ser artículo 39, reemplazado por el que sigue:

“Artículo 39. Comité Interministerial sobre Ciberseguridad. Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando esta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Aprobar la lista de servicios esenciales propuesto por la Agencia, y sus modificaciones.

e) Aprobar la lista de operadores de importancia vital propuesto por la Agencia, y sus modificaciones.

f) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

g) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.”.

(Unanimidad 10x0. Indicación número 167).

ARTÍCULO 37

Pasa ser artículo 40, consultando en su lugar el siguiente texto:

“Artículo 40. De los integrantes del Comité. El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien este designe.

b) Por el Subsecretario de Defensa o quien este designe.

c) Por el Subsecretario de Relaciones Exteriores o quien este designe.

d) Por el Subsecretario General de la Presidencia o quien este designe.

e) Por el Subsecretario de Telecomunicaciones o quien este designe.

f) Por el Subsecretario de Hacienda o quien este designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien este designe.

h) Por el Director o Directora Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios o funcionarias de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.”.

(Unanimidad 10x0. Indicación número 169, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 38

Pasa a ser artículo 41.

Inciso segundo

Sustituirlo por el que sigue:

“Al Director o Directora Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.”.

(Unanimidad 10x0. Indicación número 171, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 39

Pasa a ser artículo 42.

Agregar, a continuación de la voz “funcionarios” la expresión “o funcionarias”.

(Unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO 40

Pasa a ser artículo 43, sustituyendo la expresión “Ministerio del Interior y Seguridad Pública” por “Ministerio encargado de la seguridad pública”.

(Unanimidad 10x0. Indicación número 172).

°°°°°

Luego, intercalar el siguiente Título IX, nuevo:

“Título IX

Órganos autónomos constitucionales”.

(Unanimidad 10x0. Indicación número 173).

°°°°°

°°°°°

A continuación, introducir un artículo 44, nuevo, del tenor que sigue:

“Artículo 44. Regímenes especiales. Corresponderá a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad. En este caso, las referencias al reglamento contenidas en el artículo 6, se entenderán efectuadas a las normas que adopten los respectivos órganos internos.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios y funcionarias, en relación a las infracciones a esta ley que se produzcan y, del mismo modo, les corresponderá ejercer las demás funciones y adoptar las decisiones que esta ley encomienda a la Agencia, para fines de dar cumplimiento a lo previsto en este artículo.

Las instituciones y órganos señalados en este artículo no estarán sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Sin perjuicio de ello, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre ciberseguridad, respecto de la Agencia y las demás autoridades o instancias previstas en esta ley, incluyéndose la conformación o participación en equipos de respuesta a incidentes de ciberseguridad. En este contexto, si además fuere requerido el acceso por parte de la Agencia a redes y sistemas informáticos de los referidos órganos, deberá contarse con su autorización previa, debiendo cautelarse para ello la continuidad de sus operaciones. En caso de que los antecedentes que se soliciten o la información a la que se acceda sean confidenciales o reservados, la Agencia deberá conservarlos en ese carácter.

Corresponderá a los señalados órganos determinar e informar a la Agencia sobre su carácter de operador de importancia vital, en los términos del artículo 4, e informarle, con la periodicidad que se acuerde, las infraestructuras, servicios o funciones específicos que se identifiquen en esta condición.

Asimismo, si el órgano autónomo constitucional revistiere además el carácter de autoridad sectorial, deberá considerarse su opinión previa en relación con las personas o entidades reguladas o supervisadas por ella, que pudieren calificarse como operadores de importancia vital.”.

(Unanimidad 8x0, indicación número 174, y 10x0, indicación número 174 bis).

°°°°°

TÍTULO IX

Pasa a ser Título X, sin cambios en su denominación.

ARTÍCULO 41

Pasa a ser artículo 45, reemplazado por el que sigue:

“Artículo 45. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.”.

(Unanimidad 7x0. Indicación número 177).

°°°°°

Luego, incorporar los siguientes artículos 46, 47 y 48, nuevos:

“Artículo 46. Introdúcense las siguientes enmiendas a la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1. Incorpórase, en el artículo 2°, los siguientes incisos finales, nuevos:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que se cumplan las siguientes condiciones:

1) Haber reportado el acceso y las vulnerabilidades de seguridad detectadas en su investigación al responsable de las redes y sistemas informáticos afectados, en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad;

2) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad;

3) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizado métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, ex filtración o destrucción de datos, y

4) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad.

Tampoco será objeto de sanción penal la persona que comunique a la Agencia información una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que ha incumplido con ello su obligación de secreto profesional.”.

2. Derógase el artículo 16.

Artículo 47. Incorpórase, en el artículo 8° de la ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia, el siguiente literal h), nuevo:

“h) Elaborar, a requerimiento de la Agencia Nacional de Ciberseguridad, un informe fundado sobre los servicios que deban calificarse como esenciales para el mantenimiento de las actividades sociales o económicas cruciales para el país, que dependan de las redes y sistemas informáticos, cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer. Asimismo, el informe se pronunciará sobre los operadores que resultan de importancia vital para la provisión de esos servicios esenciales.”.

Artículo 48. Derógase la letra a) del artículo 8° de la ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado.”.

(Unanimidad 9x0. Indicación número 178).

°°°°°

TÍTULO X

Pasa a ser Título XI, sin cambios en su denominación.

ARTÍCULO PRIMERO TRANSITORIO

Reemplazarlo por el siguiente:

“Artículo primero. Entrada en vigencia y personal. Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

3. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

4. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los incisos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el inciso anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el inciso precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al inciso anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

5. Determinar la dotación máxima de personal de la Agencia.

6. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.”.

(Unanimidad 9x0. Indicación número 179).

ARTÍCULO SEGUNDO TRANSITORIO

Sustituir su denominación por “Artículo segundo”.

Agregar, a continuación de la voz “Director” la expresión “o Directora”, las tres veces que aparece.

(Unanimidad. Artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO TERCERO TRANSITORIO Y ARTÍCULO CUARTO TRANSITORIO

Considerarlos como artículos tercero y cuarto, respectivamente, sin enmiendas.

(Adecuación formal).

ARTÍCULO QUINTO TRANSITORIO

Reemplazarlo por el que sigue:

“Artículo quinto. En el tiempo intermedio en que los ministerios, subsecretarías, superintendencias y demás organismos del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de estos, de conformidad a lo dispuesto en el artículo 21, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.”.

(Unanimidad 9x0. Indicación número 182, y artículo 121, inciso final, del Reglamento del Senado).

ARTÍCULO SEXTO TRANSITORIO

Sustituirlo por el que se transcribe a continuación:

“Artículo sexto. Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 16, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.”.

(Unanimidad 9x0. Indicación número 184).

ARTÍCULO SÉPTIMO TRANSITORIO

Considerarlo como artículo séptimo.

(Adecuación formal).

°°°°°

Introducir la siguiente disposición transitoria, nueva:

“Artículo octavo. Sobre los servicios esenciales. Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud, salvo aquellos prestados por municipios o corporaciones municipales; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

(Unanimidad 9x0. Indicación número 185).

°°°°°

- - -

TEXTO DEL PROYECTO

En virtud de las modificaciones anteriores, el proyecto de ley queda como sigue:

PROYECTO DE LEY:

“TÍTULO I

Disposiciones generales

Artículo 1. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones privadas, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para los efectos de esta ley, se entenderá por Administración del Estado a los ministerios, las delegaciones presidenciales regionales y provinciales, los gobiernos regionales, las municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Los órganos autónomos constitucionales se ajustarán a las disposiciones de esta ley que así lo señalen. No se aplicarán las disposiciones de esta ley a las empresas públicas creadas por ley y a las empresas del Estado y sociedades en que este tenga participación accionaria superior al 50% o mayoría en el directorio, salvo que sean calificadas como operadores de importancia vital.

La institucionalidad de la ciberseguridad velará por la protección, promoción y respeto del derecho a la seguridad informática de las personas y sus familias, que comprende la adopción de las medidas necesarias e idóneas para garantizar la integridad, confidencialidad, disponibilidad y resiliencia de la información que contengan sus redes y sistemas informáticos, incluyendo las herramientas de cifrado.

Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.

2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.

3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.

4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

5. Autoridad sectorial: aquellos servicios públicos que cuentan con facultades regulatorias, fiscalizadoras y eventualmente sancionatorias respecto de sus regulados.

6. Ciberataque: un incidente de ciberseguridad en el que una persona o grupo de ellas, conocidas o no, intenta destruir, exponer, alterar, deshabilitar, exfiltrar, hacer uso o acceder de manera no autorizada a un activo de información, y en el que puedan verse afectados también activos físicos de forma eléctrica o mecánica.

7. Ciberespacio: ambiente formado por la interconexión e interrelación compleja entre las redes y sistemas informáticos, los componentes lógicos de la información, los datos almacenados, procesados o transmitidos, y las interacciones sociales que ocurren en aquel.

Los componentes lógicos de la información son los diferentes programas computacionales que permiten el funcionamiento, administración y uso de la red.

8. Ciberhigiene o higiene digital: conjunto de prácticas habituales de las personas para mejorar la gestión segura de datos y proteger redes y sistemas informáticos, que incluyen, entre otros, el cuidado de claves de acceso, la gestión de vulnerabilidades y la actualización de programas y aplicaciones.

9. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

10. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

11. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

12. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.

13. Estándares mínimos de ciberseguridad: corresponde al conjunto de reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por la Agencia o por la autoridad sectorial competente de conformidad con la presente ley.

14. Gestión de incidentes de ciberseguridad: conjunto ordenado de acciones enfocadas a prevenir la ocurrencia de incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles de operación lo antes posible.

15. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación o no-repudio de los procesos ejecutados o implementados en las redes y sistemas informáticos.

16. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

17. Interagencialidad: coordinación que permite que dos o más agencias o instituciones actúen de forma conjunta, sinérgica y coherente para alcanzar objetivos comunes, imposibles de lograr de forma independiente.

18. Interoperabilidad: capacidad de los sistemas informáticos de compartir datos y posibilitar el intercambio de información y conocimiento entre ellos en tiempo real.

19. No repudio: propiedad de la información que permite probar su origen.

20. Operadores de importancia vital: institución pública o privada, identificada como tal por la Agencia de conformidad con esta ley, por prestar algún servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, que depende de las redes y sistemas informáticos, y cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer o garantizar.

21. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.

22. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad.

23. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.

24. Sector regulado: aquel sector de la actividad económica que se encuentra sometido a la supervigilancia de un órgano público con facultades suficientes para regular, fiscalizar y eventualmente sancionar.

25. Servicios esenciales: todo servicio cuya afectación o interrupción tendría un impacto perturbador en el normal funcionamiento de la defensa nacional, la sociedad o la economía.

26. Sistema de gestión de seguridad de la información: conjunto de políticas, procedimientos, guías técnicas, y las actividades y recursos asociados, gestionados colectivamente por una organización para proteger sus activos de información.

27. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta ley se deberán observar los siguientes principios:

1 Principio de actualización de programas computacionales: los organismos públicos e instituciones privadas adoptarán las medidas necesarias para la instalación de las actualizaciones de seguridad de los sistemas informáticos que usen o administren, dando prioridad a aquellas que solucionen vulnerabilidades graves.

2. Principio de confidencialidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos deberá ser conocida y accedida exclusivamente por personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas a las responsabilidades y obligaciones que señalen las leyes.

3. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad, todos los organismos del Estado, así como las instituciones privadas, deberán siempre actuar diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.

4. Principio de cooperación con la autoridad: los organismos del Estado y los privados deberán cooperar con la autoridad competente para resolver los incidentes de ciberseguridad y, si es necesario, deberán cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

5. Principio de disponibilidad de los sistemas informáticos: la información almacenada o transmitida por redes y sistemas informáticos, y las redes y sistemas informáticos deberán estar accesibles para su uso a demanda.

6. Principio de igualdad y no discriminación: todas las personas tienen derecho a participar de un espacio digital seguro y libre de violencia. El Estado desarrollará acciones de prevención, promoción, reparación y garantía de este derecho, otorgando especial protección a mujeres, niñas, niños, jóvenes, personas de la tercera edad y disidencias sexogenéricas.

7. Principio de integridad de los sistemas informáticos y de la información: la información almacenada o transmitida por redes y sistemas informáticos, incluida la configuración de estos, solo podrá ser modificada por personas autorizadas en el ejercicio de sus funciones o por sistemas que cuenten con la autorización respectiva.

8. Principio de protección integral: se deberán determinar los riesgos potenciales que puedan afectar a las redes y sistemas informáticos y aplicar las medidas organizativas, de gestión y técnicas apropiadas para la protección de los mismos.

9. Principio de responsabilidad: aquel en cuya virtud la seguridad de las redes, sistemas y datos es de responsabilidad de aquel que las provee, ofrece u opera, con independencia de la naturaleza pública o privada del organismo.

10. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.

11. Principio del cifrado: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado. Ninguna persona ni autoridad podrá afectar, restringir o impedir el ejercicio de este derecho.

TÍTULO II

Obligaciones de ciberseguridad

Párrafo 1°

Servicios esenciales y operadores de importancia vital

Artículo 4. Determinación de los servicios esenciales e identificación de los operadores de importancia vital. En el ejercicio de la facultad establecida en el artículo 9 letra g) de esta ley, la Agencia determinará aquellos servicios que sean considerados esenciales para los efectos de esta ley, y dentro de estos identificará a los operadores de importancia vital, de conformidad con los criterios y el procedimiento dispuesto en el presente artículo.

A fin de determinar qué servicios resultan esenciales, se deberá atender a la entidad del impacto cuya afectación o interrupción podría tener en la defensa nacional o en el mantenimiento de actividades sociales y económicas fundamentales.

Los criterios para la identificación de los operadores de importancia vital serán los siguientes:

a) Se trata de un operador que presta un servicio calificado como esencial de conformidad con esta ley;

b) La prestación de dicho servicio depende de las redes y sistemas informáticos, y

c) Un incidente de ciberseguridad tendría un impacto perturbador en la prestación de dicho servicio.

Para determinar si el impacto de un incidente de ciberseguridad podría ser perturbador, se deberán tener en consideración, al menos, los siguientes factores:

a) La cantidad de usuarios potencialmente afectados;

b) La interdependencia de otros sectores calificados como servicios esenciales;

c) La potencial afectación de la vida, integridad física o salud de las personas;

d) La repercusión que podrían tener los incidentes, en términos de grado y duración, en las actividades económicas y sociales, en la seguridad nacional o en el ejercicio de la soberanía;

e) La extensión geográfica que podría verse afectada por un incidente;

f) La importancia del operador para el mantenimiento de un nivel suficiente del servicio, teniendo en cuenta la disponibilidad de alternativas para la prestación de ese servicio;

g) La afectación relevante del funcionamiento del Estado y sus organismos, y

h) El daño reputacional que pueda ocasionarse.

La Agencia requerirá a la Agencia Nacional de Inteligencia un informe fundado sobre los servicios que deban calificarse como esenciales e identifique, para cada uno de estos, aquellos operadores que resultan de importancia vital para su provisión. De igual manera, la Agencia podrá requerir informes similares a otros organismos públicos o instituciones privadas. El órgano requerido deberá dar respuesta al requerimiento de la Agencia dentro del plazo de sesenta días contados desde su recepción. Se exceptúan de esta obligación los servicios esenciales y operadores vitales exclusivos de la defensa nacional, quienes responderán a los requerimientos del CSIRT de la Defensa Nacional.

Transcurrido este plazo, con los antecedentes que hubiere recibido, la Agencia propondrá una lista actualizada de servicios esenciales y de operadores de importancia vital al Comité Interministerial de Ciberseguridad para que, dentro del plazo de treinta días, se pronuncie fundadamente, pudiendo aprobar o sugerir las enmiendas que considere necesarias para su aprobación, las que serán comunicadas a la Agencia.

Dentro de los treinta días siguientes a la recepción de la decisión del Comité Interministerial de Ciberseguridad, el Ministerio encargado de la seguridad pública, mediante la dictación de un decreto supremo bajo la fórmula “Por orden del Presidente de la República”, determinará aquellos servicios que serán considerados esenciales y a los operadores de importancia vital. Este decreto quedará exento del trámite de toma de razón de la Contraloría General de la República.

Párrafo 2°

Obligaciones de ciberseguridad

Artículo 5. Deberes generales. Será obligación de los organismos del Estado y de las instituciones privadas aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

Asimismo, estas medidas tendrán por objeto la gestión de riesgos asociados a la ciberseguridad y la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional, la confidencialidad y la integridad del servicio prestado, de conformidad con lo prescrito en la presente ley.

En el caso de los organismos de la Administración del Estado e instituciones privadas que presten servicios esenciales, el cumplimiento de estas obligaciones exige, al menos, la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva, de ser el caso.

La Agencia deberá establecer protocolos y estándares diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas, tal como se definen en la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Para efectos de emitir los protocolos y estándares a los que se refiere el inciso anterior, la Agencia deberá solicitar informe previo de la autoridad sectorial competente, el que deberá ser evacuado a más tardar dentro el plazo de treinta días hábiles, sin perjuicio de lo dispuesto en el artículo 22 respecto de las instituciones financieras fiscalizadas por la Comisión para el Mercado Financiero.

Se prohíbe a los organismos e instituciones señalados en el inciso primero, realizar pagos de cualquier tipo por rescate ante ataques de secuestro digital o ransomware, ya sea que dichos ataques causen la inoperatividad de los sistemas o amenacen con exponer la información exfiltrada.

Artículo 6. Deberes específicos de los operadores de importancia vital y para la protección de los servicios esenciales. Todos los organismos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, deberán:

a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio. Dicho sistema debe contar con la capacidad de estimar tanto la probabilidad como el impacto de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de seguridad de la información, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados por un centro de certificación acreditado o por la Agencia, según sea el caso. Dichos planes deberán ser actualizados y certificados periódicamente.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que determine el reglamento.

g) Informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus redes y sistemas informáticos, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior, conforme a las instrucciones generales y particulares que al efecto dicte la Agencia.

h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

i) Designar un delegado de ciberseguridad, quien será la contraparte de la Agencia y dependerá directamente de la máxima autoridad de la institución a la que pertenece.

Un reglamento expedido por el Ministerio encargado de la seguridad pública identificará los organismos del Estado con competencias específicas sobre servicios esenciales.

Artículo 7. Deber de reportar. Todas las instituciones, sean públicas o privadas, e independiente de si son o no operadores de servicios esenciales, con la sola excepción de aquellos que la Agencia hubiere eximido expresamente en sus instrucciones generales o particulares, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos, de conformidad con el artículo 23. Ello, sin perjuicio de las excepciones dispuestas en el Título V de la presente ley.

La obligación de reportar deberá cumplirse en un plazo inferior a tres horas contadas desde que se tuvo conocimiento del evento respectivo. La entidad informante podrá solicitar la prórroga de dicho plazo por una sola vez y mientras se encuentre este vigente, con la sola finalidad de recabar mayores antecedentes.

Adicionalmente, todos los operadores de servicios esenciales, sean de importancia vital o no, deberán informar al CSIRT Nacional su plan de acción tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos, de ocurrido alguno de los hechos a que refiere el inciso primero.

Para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado. Con el objeto de cumplir con lo anterior, deberán eliminar cualquier restricción, especialmente las contractuales, que pudiera dificultar la comunicación de información sobre amenazas entre el Gobierno y el sector privado.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.

TÍTULO III

De la Agencia Nacional de Ciberseguridad

Párrafo 1°

Objeto, naturaleza y atribuciones

Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

La Agencia deberá regular, fiscalizar y sancionar las acciones de los organismos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad, incluida la facultad de impartir instrucciones generales y particulares.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.

Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.

b) Dictar las disposiciones para la aplicación y el cumplimiento de las leyes y reglamentos y, en general, dictar protocolos y estándares técnicos, instrucciones generales y particulares de carácter obligatorias a las instituciones públicas y privadas, con el objeto de regular los requisitos mínimos para la prevención, contención, resolución y respuesta de incidentes de ciberseguridad.

c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.

d) Coordinar y supervisar a los CSIRT Sectoriales existentes; a aquellos que pertenezcan a organismos de la Administración del Estado; a instituciones privadas y al CSIRT Nacional, en la forma que establece esta ley.

e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.

f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

g) Elaborar y actualizar la lista de servicios esenciales y operadores de importancia vital, en la forma prevista en el artículo 4 de la presente ley.

h) Requerir de los CSIRT Sectoriales la información que sea necesaria para el cumplimiento de sus fines y que se encuentre en posesión de estas instituciones.

i) Diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

j) Requerir a los organismos del Estado y a las instituciones privadas cualquier documento, antecedente o información que sea necesario para el cumplimiento de sus fines, incluyendo el acceso a redes y sistemas informáticos, observando de manera estricta el deber de reserva que esta ley impone, así como los consagrados por la ley N° 19.628.

k) Cooperar con organismos públicos, instituciones privadas y organismos internacionales, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. La Agencia servirá de punto de contacto con las Agencias Nacionales de Ciberseguridad extranjeras o sus equivalentes y con los organismos internacionales con competencia en materia de ciberseguridad.

l) Prestar asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N° 19.628.

m) Coordinar y colaborar interagencialmente con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.

n) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

La Agencia contará con todas las facultades que fueren necesarias para el cumplimiento de su función fiscalizadora; entre otras, las de realizar inspecciones, auditorías, análisis de seguridad o evaluar un sistema de gestión de seguridad de la información; requerir el acceso a sistemas informáticos, datos, documentos e información para el desempeño de sus funciones de supervisión, y citar a declarar a los socios, directores, administradores, representantes, empleados y personas que, a cualquier título, presten o hayan prestado servicios para las personas o entidades fiscalizadas y a toda otra persona que hubiere ejecutado y celebrado con ellas actos y convenciones de cualquier naturaleza, respecto de algún hecho cuyo conocimiento estime necesario para el cumplimiento de sus funciones.

ñ) Ordenar la realización de procedimientos sancionatorios a las entidades fiscalizadas, procediendo a sancionar las infracciones e incumplimientos en que incurran las instituciones públicas y privadas respecto de las disposiciones de esta ley, reglamentos, obligaciones e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. Asimismo, podrá tomar las declaraciones por otros medios que aseguren su integridad y fidelidad.

o) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.

p) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

q) Informar al CSIRT de la Defensa Nacional y a los CSIRT Sectoriales los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector, que considere relevantes, pudiendo sugerir determinados planes de acción.

r) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

s) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.

t) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

u) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.

v) Regular, en coordinación con el Servicio Nacional del Consumidor, estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales, cubriendo tanto la publicidad del producto como la obligación de incluir etiquetas en estos, pudiendo consistir en fechas de expiración, indicadores de riesgo, u otros indicadores similares.

w) Administrar la Red de Conectividad Segura del Estado (RCSE).

x) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113.

y) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°

Dirección, organización y patrimonio

Artículo 10. Dirección de la Agencia. La dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 11. Atribuciones del Director o Directora Nacional. Corresponderá especialmente al Director o Directora Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en los funcionarios y funcionarias que indique;

g) Instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios y funcionarias a cargo y determinar las sanciones e imponerlas, y

h) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.

Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores; y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.

Artículo 14. Del personal de la Agencia. El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, de 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, de 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el ministerio encargado de la seguridad pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, de administración financiera del Estado.

Artículo 15. Prohibiciones e inhabilidades. Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean estas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales, y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada para compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Párrafo 3°

Consejo Multisectorial sobre Ciberseguridad

Artículo 16. Consejo Multisectorial sobre Ciberseguridad. Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las organizaciones de la sociedad civil, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

Artículo 17. Funcionamiento del Consejo. El Consejo sesionará a lo menos cuatro veces al año; sus recomendaciones serán de carácter público, y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director o Directora podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 42.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 18. De las causales de cesación. Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo solo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 4°

Red de Conectividad Segura del Estado

Artículo 19. Red de Conectividad Segura del Estado. Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a Internet a los organismos de la Administración del Estado señalados en el artículo 1 de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará al funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.

Párrafo 5°

Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 20. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, cuando estos sean de efecto significativo.

b) Coordinar a los CSIRT Sectoriales frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida por parte de los CSIRT Sectoriales, incluida la supervisión de las medidas adoptadas por estos.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la implementación de políticas y acciones relativas a ciberseguridad.

e) Supervisar incidentes a escala nacional.

f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.

h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.

j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

TÍTULO IV

Otras instituciones intervinientes

Artículo 21. CSIRT Sectoriales. Las autoridades sectoriales deberán constituir Equipos de Respuesta a Incidentes de Seguridad Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por finalidad contribuir al desarrollo de capacidades, confianza y seguridad de las redes y sistemas informáticos y proporcionar asistencia para la gestión de incidentes de ciberseguridad en sus respectivos sectores.

Los CSIRT Sectoriales tendrán las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, dando prioridad a aquellos que puedan tener efecto significativo.

b) Colaborar e interoperar con los otros CSIRT Sectoriales, frente a ciberataques o incidentes de ciberseguridad de efecto significativo, bajo la coordinación y supervisión de la Agencia.

c) Establecer relaciones de cooperación e interoperabilidad con los otros CSIRT Sectoriales.

d) Supervisar la gestión de incidentes de ciberseguridad que afecten a su sector.

e) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación que afecten a su sector.

f) Realizar capacitación en materia de ciberseguridad, debiendo para ello seguir las instrucciones que al efecto pudiera dictar la Agencia.

g) Requerir a las instituciones de su sector información sobre los incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos, la que deberá ser remitida al CSIRT Nacional. La información que se remita deberá excluir datos personales.

h) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes de ciberseguridad, conforme las instrucciones que dicte al efecto la Agencia.

i) Poner en conocimiento de la Agencia toda información relevante, en especial aquella referida a incidentes de ciberseguridad de efecto significativo.

j) Colaborar con la Agencia en los casos y en la forma que esta lo solicite.

En el ejercicio de sus funciones, los CSIRT Sectoriales deberán dar cumplimientos a todas aquellos protocolos y estándares técnicos, instrucciones generales y particulares, que la Agencia pudiera dictar con el objeto de lograr un nivel común de ciberseguridad y respuestas coordinadas ante la ocurrencia de incidentes de ciberseguridad. En el caso del CSIRT del sector financiero sujeto a la fiscalización de la Comisión para el Mercado Financiero, bastará con dar cumplimiento a los protocolos y estándares técnicos que la Agencia comunique ante la ocurrencia de incidentes de ciberseguridad, salvo en los casos de incidentes que pudieran tener un efecto sistémico en las redes y sistemas informáticos del país.

El incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del CSIRT respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

Un reglamento expedido por el Ministerio encargado de la seguridad pública establecerá las instancias de coordinación entre la Agencia y las autoridades sectoriales y sus respectivos CSIRT.

Artículo 22. Facultades especiales. Las autoridades sectoriales podrán dictar las normas de carácter general y las normas técnicas que consideren necesarias para la ciberseguridad de las instituciones de su sector, de conformidad con la regulación respectiva, las que deberán ser sometidas a aprobación previa de la Agencia, quien deberá pronunciarse en el plazo de treinta días hábiles.

Asimismo, las autoridades sectoriales deberán dictar las instrucciones, circulares y órdenes necesarias para la implementación de los protocolos y estándares técnicos establecidos por la Agencia.

En el ejercicio de estas facultades normativas, las autoridades sectoriales deberán considerar, a lo menos, los protocolos y estándares técnicos y las instrucciones generales y particulares dictados por la Agencia Nacional de Ciberseguridad. Lo anterior, sin perjuicio de que estos últimos serán obligatorios para todos los regulados aun cuando la autoridad sectorial omita referirse a ellos.

Tratándose de sus instituciones fiscalizadas, la Comisión para el Mercado Financiero podrá establecer las normas de carácter general y técnicas sobre ciberseguridad sin necesidad de solicitar la aprobación de la Agencia, siempre y cuando tengan un alcance distinto a las normas dictadas por ella. En caso de que la Comisión para el Mercado Financiero emita normativa que regule elementos contenidos en normas, protocolos o instrucciones generales dictados por la Agencia, deberá informarle previamente, remitiendo la norma, protocolo o instrucción, con una anticipación de, al menos, treinta días hábiles a su emisión por parte de la Comisión para el Mercado Financiero.

Artículo 23. Incidentes de efecto significativo. Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT Sectoriales tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.

Artículo 24. Centros de Certificación Acreditados. Sin perjuicio de las funciones y atribuciones de la Agencia, los únicos organismos autorizados para certificar el cumplimiento de los estándares de ciberseguridad exigidos por la autoridad competente serán aquellos que cuenten con una acreditación vigente otorgada por la Agencia Nacional de Ciberseguridad, de conformidad con lo dispuesto en esta ley y en su reglamento. En el caso de los organismos de la Administración del Estado que estén sujetos a las obligaciones del artículo 6, será la Agencia la encargada de certificar el cumplimiento de dichos estándares.

Estos centros serán los únicos habilitados para certificar que un determinado ente cumple con los estándares y normas de seguridad que se exijan para la prestación de servicios al Estado, y el desarrollo de los sistemas y programas informáticos que sean utilizados por las instituciones públicas.

Una vez contratados o comprados los servicios o programas informáticos, será responsabilidad de los jefes de servicio velar por el cumplimiento de dichos estándares y normas.

Los organismos públicos en la celebración de sus contratos deberán evaluar de mejor manera y dar preferencia a los productos y servicios calificados con un nivel adecuado de seguridad por un centro certificador.

Lo establecido en este artículo no será aplicable a la defensa nacional, sector que no requerirá de la acreditación de la Agencia ni de certificación para prestar servicios a otros organismos del Estado. Asimismo, el responsable por el cumplimiento de los estándares y normas de seguridad del sector defensa será el Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

TÍTULO V

Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional

Artículo 25. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional. Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.

Artículo 26. De las funciones del CSIRT de la Defensa Nacional. Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.

Artículo 27. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional. En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.

Artículo 28. Deber de reporte al CSIRT de la Defensa Nacional. Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional.

TÍTULO VI

De la reserva de información en el sector público en materia de ciberseguridad

Artículo 29. De la reserva de información. Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o Sectoriales, o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con estos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de estas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que este indique.

Los funcionarios y funcionarias de la Agencia y del CSIRT Nacional, de Defensa o de los Sectoriales que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 6, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.

Artículo 30. Extensión de la obligación de reserva. La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios o funcionarias de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información, de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 31. Deber de reserva de la Agencia. La Agencia cautelará especialmente la reserva de los secretos o información comercial sensible que llegare a conocer en el desempeño de su labor, como también el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Artículo 32. Sanciones. La infracción a las obligaciones dispuestas en el presente título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII

De las infracciones y sanciones

Artículo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones privadas serán las siguientes:

a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.

b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.

c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.

Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley que no tenga señalada una sanción especial.

Se consideran infracciones graves, las siguientes:

a) Entregar fuera de plazo la información a la autoridad u organismo de la Administración del Estado habilitado por ley para requerirla.

b) Incumplir la obligación de reportar establecida en el artículo 7.

c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.

Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:

a) Negar injustificadamente información a la autoridad u organismo de la Administración del Estado habilitado para requerirla.

b) Entregar información falsa o manifiestamente errónea a la autoridad u organismo de la Administración del Estado habilitado para requerirla.

c) Incumplir la obligación de reportar establecida en el artículo 7.

d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.

La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.

Artículo 34. Procedimiento administrativo por infracción de ley. La determinación de las infracciones que cometan las instituciones privadas por vulneración de las leyes, reglamentos, estatutos y demás normas que las rijan, o por incumplimiento de las instrucciones y órdenes que les imparta la Agencia, así como la aplicación de las sanciones correspondientes se sujetará a las siguientes reglas especiales:

a) El procedimiento sancionatorio será instruido por la Agencia.

b) La Agencia podrá iniciar un procedimiento sancionatorio, de oficio o a petición de parte, o como resultado de un proceso de fiscalización. Junto con la apertura del expediente, la Agencia deberá designar un funcionario o una funcionaria responsable de la instrucción del procedimiento, que recibirá el nombre de instructor o instructora. En el evento de que producto de una denuncia se iniciare un procedimiento administrativo sancionador, el denunciante tendrá la calidad de interesado, para todos los efectos legales.

c) La Agencia podrá formular cargos en contra de la institución privada, señalando tanto una descripción clara y precisa de los hechos que se estimen constitutivos de infracción y la fecha de su verificación, así como las normas que se estimen infringidas, la sanción y cualquier otro antecedente que sirva para sustentar la formulación.

d) La formulación de cargos deberá notificarse a la institución privada mediante carta certificada dirigida a su domicilio postal o mediante comunicación al correo electrónico que haya registrado en la Agencia.

e) La institución privada tendrá un plazo de quince días hábiles para presentar sus descargos. En esa oportunidad, la institución privada podrá acompañar todos los antecedentes que estime pertinentes para desacreditar los hechos imputados. Junto con los descargos, la institución privada deberá fijar una dirección de correo electrónico a través de la cual se realizarán todas las demás comunicaciones y notificaciones, si no lo hubiere hecho previamente.

f) Recibidos los descargos o transcurrido el plazo otorgado para ello, la Agencia examinará el mérito de los antecedentes y podrá ordenar la realización de las pericias e inspecciones que sean pertinentes. En el caso de que existan hechos sustanciales, pertinentes y controvertidos, la Agencia podrá ordenar la recepción de los demás medios probatorios que procedan, para lo cual deberá abrir un término probatorio de diez días hábiles.

g) La Agencia dará lugar a las medidas o diligencias probatorias que solicite la institución privada en sus descargos, siempre que sean pertinentes y necesarias. En caso contrario, la rechazará mediante resolución fundada.

h) Los hechos investigados y las responsabilidades de los presuntos infractores podrán acreditarse mediante cualquier medio de prueba admisible en derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

i) La Agencia tendrá amplias facultades para solicitar antecedentes o informes que contribuyan a su resolución.

j) Cumplidos los trámites señalados en los literales anteriores, el instructor o instructora emitirá, dentro de diez días hábiles, un dictamen en el cual propondrá la absolución o la sanción que a su juicio corresponda aplicar. Dicho dictamen deberá contener la individualización del o de los infractores; la relación de los hechos investigados y la forma como se ha llegado a comprobarlos, y la proposición al Director o Directora de las sanciones que estimare procedente aplicar o de la absolución de uno o más de los infractores.

k) Emitido el dictamen, el instructor o instructora elevará los antecedentes al Director o Directora, quien resolverá en el plazo de quince días hábiles, dictando al efecto una resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. No obstante, el Director o Directora podrá ordenar la realización de nuevas diligencias o la corrección de vicios de procedimiento, fijando un plazo para tales efectos, dando audiencia al investigado. Ninguna persona podrá ser sancionada por hechos que no hubiesen sido materia de cargos.

l) La resolución que ponga fin al procedimiento sancionatorio deberá ser fundada y resolver todas las cuestiones planteadas en el expediente, pronunciándose sobre cada una de las alegaciones y defensas formuladas por la institución privada, y contendrá la declaración de haberse configurado por la institución privada la infracción a la normativa aplicable, o su absolución, según corresponda. En caso de que la Agencia considere que se ha verificado la infracción, en la misma resolución ponderará las circunstancias que agravan o atenúan la responsabilidad del infractor e impondrá la sanción, de acuerdo a la gravedad de la infracción cometida.

m) La resolución que establezca la infracción a la normativa sobre ciberseguridad y aplique la sanción correspondiente deberá ser fundada. Esta resolución deberá indicar los recursos administrativos y judiciales que procedan contra ella en conformidad a esta ley, los órganos ante los que deben presentarse y los plazos para su interposición. La resolución de la Agencia que resuelve el procedimiento por infracción de ley será reclamable mediante recurso de reposición que se podrá interponer en el plazo de cinco días hábiles contados desde la notificación, el que deberá ser resuelto por el Director o Directora dentro del plazo de treinta días hábiles.

n) El procedimiento administrativo de infracción de ley no podrá superar los seis meses contados desde la notificación a que se refiere el literal d) anterior.

Artículo 35. Procedimiento de reclamación judicial. Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado le produzca un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones no procederá recurso alguno.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 36. Responsabilidad administrativa del jefe superior del organismo público. El jefe superior de un organismo público deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a los principios y obligaciones establecidos en los Títulos I y II de esta ley, respectivamente.

Asimismo, los organismos de la Administración del Estado deberán someterse a las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

Las infracciones a los principios y obligaciones contenidos en los artículos 21 y 29 serán sancionadas con multa de veinte por ciento a cincuenta por ciento de la remuneración mensual del jefe superior del organismo público infractor. La cuantía de la multa se determinará considerando la gravedad de la infracción, la naturaleza del incidente y el número de personas afectadas, si las hubiere. En la determinación de la sanción se deberán considerar también las circunstancias que atenúan la responsabilidad del infractor.

Si el organismo público persiste en la infracción, se le aplicará al jefe superior del organismo público el duplo de la sanción originalmente impuesta y la suspensión en el cargo por un lapso de cinco días hábiles.

Las infracciones en que incurra un organismo público serán determinadas por la Agencia, de acuerdo al procedimiento establecido en el artículo 34.

Habiéndose configurado la infracción, las sanciones administrativas señaladas en este artículo serán aplicadas por la Agencia. Con todo, la Contraloría General de la República, a petición de la Agencia podrá, de acuerdo a las normas de su ley orgánica, incoar los procedimientos administrativos y proponer las sanciones que correspondan.

En contra de las resoluciones de la Agencia se podrá deducir el reclamo de ilegalidad establecido en el artículo 35.

Las sanciones previstas en este artículo deberán ser publicadas en el sitio web de la Agencia y del organismo o servicio de que se trate dentro del plazo de cinco días hábiles contados desde que la respectiva resolución quede firme.

Artículo 37. Responsabilidad del funcionario o funcionaria infractor. Sin perjuicio de lo dispuesto en el artículo anterior, si en el procedimiento administrativo correspondiente se determina que existen responsabilidades individuales de uno o más funcionarios o funcionarias del organismo público, la responsabilidad administrativa se hará efectiva con sujeción a las normas estatutarias que rijan al organismo en que se produjo la infracción.

En caso de que el procedimiento administrativo correspondiente determine que cualquiera de los funcionarios o funcionarias involucrados es responsable de alguna de las infracciones gravísimas señaladas en el artículo 33 de esta ley, esta conducta se considerará una contravención grave a la probidad administrativa.

Artículo 38. Agravante especial. Si como consecuencia de la perpetración de un delito resultare afectada gravemente la continuidad operativa de un operador de importancia vital, se impondrá la pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o supresión de los datos informáticos relevantes del operador de importancia vital o en la obstaculización del acceso o la alteración perjudicial del funcionamiento de su sistema informático.

TÍTULO VIII

Del Comité Interministerial de Ciberseguridad

Artículo 39. Comité Interministerial sobre Ciberseguridad. Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando esta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Aprobar la lista de servicios esenciales propuesto por la Agencia, y sus modificaciones.

e) Aprobar la lista de operadores de importancia vital propuesto por la Agencia, y sus modificaciones.

f) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

g) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.

Artículo 40. De los integrantes del Comité. El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien este designe.

b) Por el Subsecretario de Defensa o quien este designe.

c) Por el Subsecretario de Relaciones Exteriores o quien este designe.

d) Por el Subsecretario General de la Presidencia o quien este designe.

e) Por el Subsecretario de Telecomunicaciones o quien este designe.

f) Por el Subsecretario de Hacienda o quien este designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien este designe.

h) Por el Director o Directora Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios o funcionarias de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 41. De la secretaría ejecutiva. El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

Al Director o Directora Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.

Artículo 42. De la información reservada. Constituido el Comité en sesión secreta, los funcionarios o funcionarias que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 43. Del reglamento. Un reglamento expedido por el Ministerio encargado de la seguridad pública fijará las normas de funcionamiento del Comité.

Título IX

Órganos autónomos constitucionales

Artículo 44. Regímenes especiales. Corresponderá a las autoridades superiores de los órganos internos del Congreso Nacional, el Poder Judicial, la Contraloría General de la República, el Ministerio Público, el Tribunal Constitucional, el Banco Central, el Servicio Electoral y la Justicia Electoral y el Consejo Nacional de Televisión adoptar las medidas especiales de ciberseguridad señaladas en el artículo 6 de la presente ley, debiendo dictar para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones establecidos en esta ley, pudiendo requerir para ello la asistencia técnica de la Agencia Nacional de Ciberseguridad. En este caso, las referencias al reglamento contenidas en el artículo 6, se entenderán efectuadas a las normas que adopten los respectivos órganos internos.

Asimismo, las autoridades de estos órganos ejercerán la potestad disciplinaria respecto de sus funcionarios y funcionarias, en relación a las infracciones a esta ley que se produzcan y, del mismo modo, les corresponderá ejercer las demás funciones y adoptar las decisiones que esta ley encomienda a la Agencia, para fines de dar cumplimiento a lo previsto en este artículo.

Las instituciones y órganos señalados en este artículo no estarán sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Sin perjuicio de ello, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre ciberseguridad, respecto de la Agencia y las demás autoridades o instancias previstas en esta ley, incluyéndose la conformación o participación en equipos de respuesta a incidentes de ciberseguridad. En este contexto, si además fuere requerido el acceso por parte de la Agencia a redes y sistemas informáticos de los referidos órganos, deberá contarse con su autorización previa, debiendo cautelarse para ello la continuidad de sus operaciones. En caso de que los antecedentes que se soliciten o la información a la que se acceda sean confidenciales o reservados, la Agencia deberá conservarlos en ese carácter.

Corresponderá a los señalados órganos determinar e informar a la Agencia sobre su carácter de operador de importancia vital, en los términos del artículo 4, e informarle, con la periodicidad que se acuerde, las infraestructuras, servicios o funciones específicos que se identifiquen en esta condición.

Asimismo, si el órgano autónomo constitucional revistiere además el carácter de autoridad sectorial, deberá considerarse su opinión previa en relación con las personas o entidades reguladas o supervisadas por ella, que pudieren calificarse como operadores de importancia vital.

TÍTULO X

De las modificaciones a otros cuerpos legales

Artículo 45. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.

Artículo 46. Introdúcense las siguientes enmiendas a la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1. Incorpórase, en el artículo 2°, los siguientes incisos finales, nuevos:

“No será objeto de sanción penal el que, realizando labores de investigación en seguridad informática, hubiere incurrido en los hechos tipificados en el inciso primero, siempre que se cumplan las siguientes condiciones:

1) Haber reportado el acceso y las vulnerabilidades de seguridad detectadas en su investigación al responsable de las redes y sistemas informáticos afectados, en forma inmediata y a más tardar en el momento en que alerte a la Agencia Nacional de Ciberseguridad;

2) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia Nacional de Ciberseguridad;

3) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizado métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, ex filtración o destrucción de datos, y

4) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad.

Tampoco será objeto de sanción penal la persona que comunique a la Agencia información una vulnerabilidad potencial de la que haya tomado conocimiento en su contexto laboral o con ocasión de la prestación de sus servicios, ni se considerará que ha incumplido con ello su obligación de secreto profesional.”.

2. Derógase el artículo 16.

Artículo 47. Incorpórase, en el artículo 8° de la ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia, el siguiente literal h), nuevo:

“h) Elaborar, a requerimiento de la Agencia Nacional de Ciberseguridad, un informe fundado sobre los servicios que deban calificarse como esenciales para el mantenimiento de las actividades sociales o económicas cruciales para el país, que dependan de las redes y sistemas informáticos, cuya afectación, interceptación, interrupción o destrucción pueda tener una repercusión importante en la seguridad nacional, en la provisión de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado y, en general, de los servicios que este debe proveer. Asimismo, el informe se pronunciará sobre los operadores que resultan de importancia vital para la provisión de esos servicios esenciales.”.

Artículo 48. Derógase la letra a) del artículo 8° de la ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del Estado.

TÍTULO XI

Disposiciones transitorias

Artículo primero. Entrada en vigencia y personal. Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

3. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

4. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los incisos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el inciso anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el inciso precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al inciso anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

5. Determinar la dotación máxima de personal de la Agencia.

6. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo segundo. El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director o Directora de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director o Directora, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director o Directora se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese solo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal.

Artículo tercero. El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo cuarto. Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo quinto. En el tiempo intermedio en que

los ministerios, subsecretarías, superintendencias y demás organismos del Estado reguladores o fiscalizadores vinculados directamente con sectores regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en la etapa de creación de estos, de conformidad a lo dispuesto en el artículo 21, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

Artículo sexto. Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 16, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.

Artículo séptimo. El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas leyes de Presupuestos del Sector Público.

Artículo octavo. Sobre los servicios esenciales. Hasta que no se dicten los respectivos decretos señalados en el artículo 4 de la ley, serán calificados como servicios esenciales para los efectos de esta ley, los servicios públicos de telecomunicaciones, incluyendo los servicios de transmisión de datos; los servicios de generación, transmisión y distribución eléctrica; los servicios sanitarios y de suministro de agua potable, excluyendo los servicios sanitarios rurales; los servicios bancarios y financieros; las prestaciones de salud, incluyendo cualquier institución pública o privada que realice tratamiento de datos personales de salud, salvo aquellos prestados por municipios o corporaciones municipales; los órganos de la administración del Estado, excluyendo a las municipalidades y gobernaciones provinciales y regionales; el Poder Judicial, y el Poder Legislativo. La Agencia identificará, mediante resolución exenta, los operadores de importancia vital que quedarán sujetos a las obligaciones establecidas en el artículo 6 de esta ley.”.

- - -

Acordado en las siguientes sesiones celebradas los días 29 de noviembre de 2022, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, José Miguel Insulza Salinas, Javier Macaya Danús, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Jaime Quintana Leal, Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 13 de diciembre de 2022, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Rodrigo Galilea Vial (en reemplazo del Honorable Senador Kenneth Pugh Olavarría), José Miguel Insulza Salinas, Manuel José Ossandón Irarrázabal, Jaime Quintana Leal, Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 20 de diciembre de 2022, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), José Miguel Insulza Salinas, Javier Macaya Danús, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Jaime Quintana Leal, Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 3 de enero de 2023, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), José Miguel Insulza Salinas, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Jaime Quintana Leal, Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 10 de enero de 2023, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), José Miguel Insulza Salinas, Javier Macaya Danús, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Jaime Quintana Leal (también en reemplazo del Honorable Senador señor Pedro Araya Guerrero), Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 17 de enero de 2023, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, José Miguel Insulza Salinas, Javier Macaya Danús, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Jaime Quintana Leal, Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 24 de enero de 2023, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, José Miguel Insulza Salinas, Javier Macaya Danús, Kenneth Pugh Olavarría (también en reemplazo del Honorable Senador señor Manuel José Ossandón Irarrázabal), Gastón Saavedra Chandía y Enrique Van Rysselberghe Herrera; 7 de marzo de 2023, con asistencia de los Honorables Senadores señores Francisco Huenchumilla Jaramillo (Presidente), Pedro Araya Guerrero, Javier Macaya Danús, Manuel José Ossandón Irarrázabal, Kenneth Pugh Olavarría, Gastón Saavedra Chandía (también en reemplazo del Honorable Senador señor José Miguel Insulza Salinas) y Enrique Van Rysselberghe Herrera; 21 de marzo de 2023, con asistencia de los Honorables Senadores señores Kenneth Pugh Olavarría (Presidente) (también en reemplazo del Honorable Senador señor Manuel José Ossandón Irarrázabal), Pedro Araya Guerrero, Luciano Cruz-Coke Carvallo, Felipe Kast Sommerhoff (también en reemplazo del Honorable Senador señor Javier Macaya Danús) y Alejandro Kuzanovic Glusevic, señora Yasna Provoste Campillay (también en reemplazo del Honorable Senador señor Iván Flores García) y señor Gastón Saavedra Chandía (en reemplazo del Honorable Senador señor José Miguel Insulza Salinas); 4 de abril de 2023, con asistencia de los Honorables Senadores señores Kenneth Pugh Olavarría (Presidente), Luciano Cruz-Coke Carvallo (también en reemplazo del Honorable Senador señor Felipe Kast Sommerhoff), Alejandro Kuzanovic Glusevic, Javier Macaya Danús y Manuel José Ossandón Irarrázabal, señora Yasna Provoste Campillay (también en reemplazo del Honorable Senador señor Iván Flores García) y señor Gastón Saavedra Chandía (en reemplazo del Honorable Senador señor José Miguel Insulza Salinas), y 18 de abril de 2023, con asistencia de los Honorables Senadores señores Kenneth Pugh Olavarría (Presidente), Pedro Araya Guerrero, Luciano Cruz-Coke Carvallo (también en reemplazo del Honorable Senador señor Felipe Kast Sommerhoff), Alejandro Kuzanovic Glusevic, Javier Macaya Danús y Manuel José Ossandón Irarrázabal, señora Yasna Provoste Campillay (también en reemplazo del Honorable Senador señor Iván Flores García) y señor José Miguel Insulza Salinas.

Valparaíso, a 20 de abril de 2023.

MILENA KARELOVIC RÍOS

Abogada Secretaria

RESUMEN EJECUTIVO

SEGUNDO INFORME DE LAS COMISIONES DE DEFENSA NACIONAL Y DE SEGURIDAD PÚBLICA, UNIDAS, RECAÍDO EN EL PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN (BOLETÍN N° 14.847-06).

I. OBJETIVO DEL PROYECTO PROPUESTO POR LAS COMISIONES UNIDAS: establecer la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, formar una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.

II. ACUERDOS: Indicaciones:

Número 1: Retirada.

Número 2: Aprobada con enmiendas (8x0).

Número 3: Aprobada con enmiendas (7x0).

Número 4: Retirada.

Número 5: Aprobada (9x0).

Número 6: Aprobada con enmiendas (7x0).

Número 7: Aprobada con enmiendas (7x0).

Número 8: Aprobada con enmiendas (8x0).

Número 9: Rechazada (8x0).

Número 10: Aprobada con enmiendas (8x0).

Número 11: Aprobada (8x0).

Número 12: Rechazada (8x0).

Número 13: Aprobada (9x0).

Número 14: Retirada.

Número 15: Aprobada (8x0).

Número 16: Aprobada (8x0).

Número 17: Aprobada (8x0).

Número 18: Aprobada (7x0).

Número 19: Retirada.

Número 20: Retirada.

Número 21: Rechazada (7x0).

Número 22: Aprobada con enmiendas (7x0).

Número 23: Aprobada (7x0).

Número 24: Aprobada con enmiendas (7x0).

Número 25: Aprobada (7x0).

Número 26: Aprobada (7x0).

Número 27: Aprobada (7x0).

Número 28: Aprobada con enmiendas (7x0).

Número 29: (referida a definiciones)

Amenaza persistente avanzada (APT): Rechazada (7x0).

Anonimización: Rechazada (8x0).

Auditorías de seguridad: Aprobada con enmiendas (8x0).

Ciberhigiene: Aprobada con enmiendas (8x0).

Confianza digital: Rechazada (8x0).

Integridad: Aprobada con enmiendas (8x0).

Interagencialidad: Aprobada con enmiendas (8x0).

interoperabilidad: Aprobada con enmiendas (8x0).

Registro de proveedores de servicios de seguridad: Rechazada (8x0).

Sistema de Gestión de la Seguridad y Riesgo de la Información (SGSRI): Aprobada con enmiendas (8x0).

Trazabilidad: Rechazada (8x0).

Número 30: Retirada.

Número 31: Aprobada con enmiendas (8x0).

Número 32: Aprobada con enmiendas (8x0).

Número 33: Aprobada con enmiendas (8x0).

Número 34: Aprobada con enmiendas (8x0).

Número 35: Aprobada con enmiendas (9x0).

Número 36: Aprobada (9x0).

Número 37: Rechazada (9x0).

Número 38: Aprobada (9x0).

Número 38 bis: Aprobada (10x0).

Número 39: Aprobada (9x0).

Número 40: Rechazada (9x0).

Número 41: Rechazada (9x0).

Número 42: Aprobada (9x0).

Número 42 bis: Aprobada (10x0).

Número 43:

Principio de confianza cero: Rechazado (9x0).

Principio de actualización y reutilización: Aprobado con enmiendas (9x0).

Principio de cooperación: Rechazado (9x0).

Principio de interoperabilidad: Rechazado (9x0).

Principio de no obsolescencia tecnológica): Rechazado (6x1 abstención).

Numero 43 bis: Aprobada (10x0).

Número 44: Rechazada (7x0).

Número 45: Aprobada (7x0).

Número 45: Aprobada (7x0).

Número 46: Aprobada (7x0).

Número 47: Aprobada con enmiendas (7x0).

Número 48: Retirada.

Número 49: Retirada.

Número 50: Retirada.

Número 51: Aprobada (7x0).

Número 52: Aprobada con enmiendas (7x0).

Número 53: Aprobada (7x0).

Número 54: Rechazada (7x0).

Número 55: Aprobada con enmiendas (8x0).

Número 55 bis: Aprobada (10x0).

Número 56: Aprobada (8x0).

Número 57: Aprobada con enmiendas (7x0).

Número 58: Aprobada (7x0).

Número 59: Aprobada con enmiendas (8x0).

Número 60: Aprobada (8x0).

Número 61: Aprobada (8x0).

Número 61 bis: Aprobada (10x0).

Número 62: Aprobada (8x0).

Número 63: Aprobada (8x0).

Número 64: Aprobada (8x0).

Número 65: Aprobada (8x0).

Número 66: Aprobada con enmiendas (8x0).

Número 67: Aprobada (8x0).

Número 68: Aprobada con enmiendas (8x0).

Número 69: Aprobada con enmiendas (8x0).

Número 70: Aprobada con enmiendas (8x0).

Número 71: Aprobada (8x0).

Número 72: Aprobada (8x0).

Número 73: Aprobada con enmiendas (8x0).

Número 74: Retirada.

Número 75: Rechazada (9x0).

Número 76: Aprobada (8x0).

Número 77: Rechazada (7x1 abstención).

Número 78: Aprobada con enmiendas (8x0).

Número 79: Retirada.

Número 80: Aprobada (8x0).

Número 81: Aprobada (8x0).

Número 82: Aprobada (8x0).

Número 83: Aprobada (8x0).

Número 84: Aprobada (8x0).

Número 85: Retirada.

Número 86: Aprobada (8x0).

Número 87: Aprobada con enmiendas (8x0).

Número 88: Aprobada (8x0).

Número 89: Aprobada (8x0).

Número 90: Aprobada (8x0).

Número 91: Retirada.

Número 92: Aprobada con enmiendas (8x0).

Número 93: Rechazada (10x0).

Número 94: Aprobada con enmiendas (10x0).

Número 94 bis: Aprobada (10x0).

Número 95: Aprobada con enmiendas (7x0).

Número 95 bis: Aprobada (10x0).

Número 96: Rechazada (7x0).

Número 97: Aprobada (7x0).

Número 98: Retirada.

Número 99: Letra p) propuesta: Aprobada (10x0).

Letra q) propuesta: Aprobada (10x0).

Letra r) propuesta: Aprobada (10x0).

Letra s) propuesta: Aprobada con enmiendas (10x0).

Letra t) propuesta: Aprobada (10x0).

Letra u) propuesta: Aprobada con enmiendas (10x0).

Letra v) propuesta: Aprobada (10x0).

Letra w) propuesta: Aprobada (10x0).

Número 100: Rechazada (9x0).

Número 101: Primera atribución propuesta: Aprobada (10x0).

Segunda atribución propuesta: Rechazada (10x0).

Tercera atribución propuesta: Rechazada (10x0).

Número 101 bis: Aprobada (10x0).

Número 102: Aprobada (10x0).

Número 103: Aprobada (10x0).

Número 104: Retirada.

Número 105: Aprobada con enmiendas (9x0).

Número 106: Aprobada (10x0).

Número 107: Aprobada con enmiendas (9x0).

Número 107 bis: Aprobada (10x0).

Número 108: Rechazada (8x1 abstención).

Número 109: Aprobada con enmiendas (9x0).

Número 109 bis: Aprobada (10x0).

Número 110: Aprobada (9x0).

Número 111: Aprobada (9x0).

Número 112: Retirada.

Número 113: Retirada.

Número 114: Retirada.

Número 115: Aprobada (9x0).

Número 116: Todo el artículo 16 propuesto, con excepción de la oración final de su inciso segundo: Aprobado con enmiendas (10x0). Oración final del inciso segundo del artículo propuesto: Rechazada (7x3 a favor).

Número 117: Aprobada (10x0).

Número 118: Aprobada con enmiendas (7x0).

Número 119: Aprobada con enmiendas (10x0).

Número 119 bis: Aprobada (10x0).

Número 120: Aprobada con enmiendas (10x0).

Número 121: Aprobada con enmiendas (10x0).

Número 122: Retirada.

Número 123: Aprobada con enmiendas (10x0).

Número 124: Retirada.

Número 125: Retirada.

Número 126: Aprobada (10x0).

Número 127: Aprobada (10x0).

Número 128: Aprobada (9x1 en contra).

Número 129: Retirada.

Número 130: Retirada.

Número 131: Aprobada (10x0).

Número 132: Aprobada (10x0).

Número 133: Retirada.

Número 134: Retirada.

Número 135: Aprobada (10x0).

Número 136: Aprobada (10x0).

Número 137: Retirada.

Número 138: Retirada.

Número 139: Aprobada (10x0).

Número 140: Aprobada con enmiendas (8x0).

Número 140 bis: Aprobada (10x0).

Número 141: Aprobada con enmiendas (8x0).

Número 141 bis: Aprobada (10x0).

Número 142: Retirada.

Número 143: Aprobada con enmiendas (8x0).

Número 144: Aprobada con enmiendas (7x0).

Número 145: Retirada.

Número 146: Retirada.

Número 147: Aprobada (8x0).

Número 148: Aprobada (8x0).

Número 149: Rechazada (8x0).

Número 150: Aprobada (8x0).

Número 151: Aprobada (8x0).

Número 152: Aprobada (8x0).

Número 153: Aprobada con enmiendas (8x0).

Número 154: Aprobada (8x0).

Número 155: Aprobada (8x0).

Número 156: Aprobada (8x0).

Número 157: Aprobada con enmiendas (8x0).

Número 158: Aprobada (8x0).

Número 159: Aprobada con enmiendas (8x0).

Número 160: Rechazada (8x0).

Número 161: Aprobada con enmiendas (8x0).

Número 162: Retirada.

Número 163: Aprobada con enmiendas (9x0).

Número 164: Artículo 35 propuesto: Aprobado con enmiendas (9x0).

Artículo 36 propuesto: Aprobado con enmiendas (10x0).

Artículo 37 propuesto: Aprobado con enmiendas (10x0).

Número 165: Aprobada (10x0).

Número 166: Retirada.

Número 167: Aprobada (10x0).

Número 168: Rechazada (10x0).

Número 169: Aprobada (10x0).

Número 170: Rechazada (10x0).

Número 171: Aprobada (10x0).

Número 172: Aprobada (10x0).

Número 173: Aprobada (10x0).

Número 174: Aprobada con enmiendas (8x0).

Número 174 bis: Aprobada (10x0).

Número 175: Aprobada con enmiendas (7x0).

Número 176: Retirada.

Número 177: Aprobada (7x0).

Número 178: Artículo 46, N° 1: Aprobado con enmiendas (9x0).

Artículo 46, N° 2: Aprobado (9x0).

Artículo 47: Aprobado (9x0).

Artículo 48: Aprobado (9x0).

Número 179: Aprobada con enmiendas (9x0).

Número 180: Rechazada (9x0).

Número 181: Retirada.

Número 182: Aprobada (9x0).

Número 183: Retirada.

Número 184: Aprobada (9x0).

Número 185: Aprobada con enmiendas (9x0).

III. ESTRUCTURA DEL PROYECTO APROBADO POR LA COMISIÓN: consta de 48 artículos permanentes y de 8 disposiciones transitorias.

IV. NORMAS DE QUÓRUM ESPECIAL:

A. Normas orgánicas constitucionales:

1) Según el artículo 38 de la Constitución Política de la República, en relación con el artículo 66, inciso segundo, del mismo Texto Supremo:

- Artículos 1, inciso segundo; 8; 9 letras a), b), c), d), e), i), m), n), ñ), v); x); 10; 13; 14; 16 (su inciso tercero en virtud de lo dispuesto en el artículo 8°, inciso tercero de la Carta Fundamental); 20; 21; 25; 26; 34; 36; 37; 39; 40; 41; 44 y 45.

- Artículos segundo; quinto y sexto de las disposiciones transitorias.

2) Según el artículo 99, inciso final, de la Carta Fundamental:

- Artículo 4, inciso final y artículo octavo de las disposiciones transitorias.

3) Según el artículo 77 de la Constitución Política de la República:

- Artículo 35.

B. Normas de quórum calificado, de conformidad al artículo 8°, inciso segundo, y 66, inciso segundo, ambos de la Carta Fundamental:

Artículos 29; 30; 31 y 42.

V. URGENCIA: discusión inmediata.

VI. ORIGEN INICIATIVA: Senado. Mensaje de S.E. el ex Presidente de la República, señor Sebastián Piñera Echenique.

VII. TRÁMITE CONSTITUCIONAL: primero.

VIII. INICIO TRAMITACIÓN EN EL SENADO: 15 de marzo de 2022.

IX. TRÁMITE REGLAMENTARIO: segundo informe.

XI. LEYES QUE SE MODIFICAN O QUE SE RELACIONAN CON LA MATERIA: 1.- Constitución Política de la República. 2.- Código del Trabajo. 3.- Código Penal. 4.- Decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.834, sobre Estatuto Administrativo. 5.- Decreto con fuerza de ley N° 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado. 6.- Ley N° 20.502, que crea el Ministerio del Interior y Seguridad Pública y el Servicio Nacional para la Prevención y Rehabilitación del consumo de drogas y alcohol, y modifica diversos cuerpos legales. 7.- Decreto 2.421, de 1964, del Ministerio de Hacienda, que fija el texto refundido de la ley de organización y atribuciones de la Contraloría General de la República. 8.- Ley N° 20.416, que fija normas especiales para las empresas de menor tamaño. 9.- Ley N° 21.000, que crea la Comisión para el Mercado Financiero. 10.- Ley N° 21.105, que crea el Ministerio de Ciencia, Tecnología, Conocimiento e Innovación. 11.- Ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional. 12.- Ley N° 21.180, sobre transformación digital del Estado. 13.- Ley N° 20.285, sobre acceso a la información pública. 14.- Ley N° 19.882, que regula nueva política de personal a los funcionarios públicos que indica. 15.-Ley N° 19.628, sobre protección de la vida privada. 16.- Ley N° 19.974, sobre el sistema de inteligencia del Estado y crea la Agencia Nacional de Inteligencia. 17.- Ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado. 18.- Ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses. 19.- Ley N° 7.401, que reprime las actividades que vayan contra la seguridad exterior del estado. 20.- Decreto con fuerza de ley N° 1, de 1993, del Ministerio de Hacienda, fija el texto refundido, coordinado y sistematizado de la ley orgánica del Consejo de Defensa del Estado. 21.- Decreto con fuerza de ley N° 262, de 1977, del Ministerio de Hacienda, que aprueba el reglamento de viáticos para el personal de la administración pública. 22.- Decreto supremo N° 1, de 1991, del Ministerio de Hacienda, que fija monto de viáticos en dólares para el personal que debe cumplir comisiones de servicio en el extranjero. 23.- Decreto ley N° 1.263, de 1975, de administración financiera del Estado. 24.- Decreto N° 83, de 2017, del Ministerio de Relaciones Exteriores, que promulga el Convenio sobre la Ciberdelincuencia (Convenio de Budapest). 25.- Ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest. 26.- Ley N° 21.113, que declara el mes de octubre como el de la ciberseguridad. 27.- Ley N° 18.168, general de telecomunicaciones. 28.- Decreto N° 533, de 2015, del Ministerio del Interior y Seguridad Pública, que crea el Comité Interministerial sobre Ciberseguridad. 29.- Instructivo Presidencial 1/2017, de 27 de abril de 2017, que aprueba e instruye la implementación de la Política Nacional de Ciberseguridad. 30.- Decreto N° 3, de 2018, del Ministerio de Defensa Nacional, que aprueba la Política de Ciberdefensa. 31.- Ley N° 21.130, que moderniza la legislación bancaria. 32.- Ley N° 20.453, que consagra el principio de neutralidad en la red para los consumidores y usuarios de internet. 33.- Decreto N° 60, de 2012, del Ministerio de Transportes y Telecomunicaciones, reglamento para la interoperación y difusión de mensajería de alerta, declaración y resguardo de la infraestructura crítica de telecomunicaciones e información sobre fallas significativas en los sistemas de telecomunicaciones. 34.- Decreto supremo N° 83, promulgado en 2004 y publicado en 2005, del Ministerio Secretaría General de la Presidencia, que aprueba norma técnica para los órganos de la Administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos.

Valparaíso, a 20 de abril de 2023.

MILENA KARELOVIC RÍOS

Abogada Secretaria

INFORME DE LA COMISIÓN DE HACIENDA, recaído en el proyecto de ley, en primer trámite constitucional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.

BOLETÍN N° 14.847-06

HONORABLE SENADO:

La Comisión de Hacienda tiene el honor de emitir su informe acerca del proyecto de ley de la referencia, en primer trámite constitucional, originado en Mensaje de Su Excelencia el ex Presidente de la República, señor Sebastián Piñera Echenique, con urgencia calificada de “discusión inmediata”.

- - -

Cabe señalar que, de acuerdo a lo autorizado por la Sala del Senado con fecha 18 de octubre de 2022, el proyecto de ley fue considerado previamente en particular por las comisiones de Defensa Nacional y de Seguridad Pública, unidas.

A la Comisión de Hacienda, en tanto, le correspondió pronunciarse sobre los asuntos de su competencia, de conformidad con lo prescrito en el artículo 17 de la Ley Orgánica Constitucional del Congreso Nacional y a lo dispuesto por la Sala del Senado con fecha 15 de marzo de 2022.

- - -

A la sesión en que la Comisión analizó esta iniciativa de ley, asistieron, además de sus miembros, las siguientes personas:

Del Ministerio del Interior y Seguridad Pública, el Subsecretario, señor Manuel Monsalve; el Coordinador Nacional de Ciberseguridad, señor Daniel Álvarez, y la Jefa de la División Jurídica, señora Camila Barros.

La asesora del Honorable Senador Coloma, señora Carolina Infante.

El asesor del Honorable Senador Edwards, señor Ignacio Pinto.

El asesor del Honorable Senador García, señor José Miguel Rey.

Los asesores del Honorable Senador Insulza, señora Lorena Escalona y señor Carlos Fernández.

El asesor del Honorable Senador Lagos, señor Reinaldo Monardes.

El asesor del Honorable Senador Núñez, señor Elías Mella.

De la Biblioteca del Congreso Nacional, el analista, señor Samuel Argüello.

- - -

NORMAS DE QUÓRUM ESPECIAL

En lo relativo a las normas de quórum especial, la Comisión de Hacienda se remite a lo consignado en el segundo informe de las comisiones de Defensa Nacional y de Seguridad Pública, unidas.

- - -

NORMAS DE COMPETENCIA DE LA COMISIÓN DE HACIENDA

De conformidad con su competencia, la Comisión de Hacienda se pronunció respecto de las siguientes disposiciones del proyecto de ley: artículo 6, inciso primero, en sus letras a), b) c), d), g) y h), artículo 8, inciso primero, artículo 9, letras f) e i), artículo 10, artículo 11, letra e), artículo 12, artículo 14, incisos quinto, sexto, séptimo, octavo noveno y final, artículo 19, inciso primero, artículo 21, inciso cuarto, artículo 25, artículo 32, artículo 33, incisos primero y quinto, artículo 36, incisos tercero y cuarto, y artículo 42, inciso segundo, permanentes; y artículos primero, segundo, tercero y séptimo transitorios. Lo hizo en los términos en que fueron aprobados por las comisiones de Defensa Nacional y de Seguridad Pública, unidas, como reglamentariamente corresponde de acuerdo con lo dispuesto en el artículo 41 del Reglamento de la Corporación.

- - -

Se deja constancia de que la Comisión de Hacienda no introdujo enmiendas al texto despachado por las comisiones de Defensa Nacional y de Seguridad Pública, unidas.

- - -

DISCUSIÓN

Previo a la consideración de los asuntos de competencia de la Comisión de Hacienda, en sesión de 25 de abril de 2023, se escuchó primeramente al Coordinador Nacional de Ciberseguridad del Ministerio del Interior y Seguridad Pública, señor Daniel Álvarez, quien refirió que el proyecto de ley objeto de estudio forma parte de la agenda de seguridad del Gobierno, por lo que existe un compromiso político para su despacho por el Congreso Nacional dentro de un plazo definido.

Asimismo, subrayó que se trata de una iniciativa que forma parte de la Política Nacional de Ciberseguridad y que se diseñó en el año 2017 durante el Gobierno de la ex Presidenta de la República, señora Michelle Bachelet, continuando, como parte de una política de Estado, en el Gobierno del ex Presidente de la República, señor Sebastián Piñera. Precisó que fue durante los últimos días de la Administración de este último mandatario que el proyecto de ley fue ingresado al Senado.

Relató que como actual Ejecutivo tomaron la decisión, considerando que se trataba de una política de Estado, de recoger la estructura que ya proponía el proyecto de ley e incluirle mejoras mediante indicaciones presentadas tanto por el Gobierno, como por los señores Senadores integrantes de las comisiones de Defensa Nacional y de Seguridad Pública, unidas.

Señaló que la iniciativa establece un modelo de gobernanza, creando la Agencia Nacional de Ciberseguridad como un órgano técnico a cargo de la ciberseguridad del país, con competencias sobre el sector público y privado, y con facultades normativas, fiscalizadoras y sancionadoras.

Refirió que también se incluyen otros ámbitos novedosos en la mencionada Agencia, como el de promover la educación, formación y generación de capacidades en materia de ciberseguridad, en coordinación con los otros órganos que componen la Administración del Estado.

Subrayó que uno de los cambios que se hicieron al modelo de gobernanza propuesto en su oportunidad es el de simplificarlo. Explicó que el proyecto de ley en su origen creaba mucha institucionalidad, no obstante, luego de que el actual Ejecutivo reuniese más información, tanto con el sector público como privado, se advirtió una carencia importante de profesionales o expertos en materia de ciberseguridad en el país. Precisó que son cerca de 38.000 especialistas los que faltan por año.

Por lo anterior, sostuvo que crear demasiada institucionalidad derivaría en un problema importante de dotación.

Finalmente, expresó que el consenso al que se arribó en las comisiones de Defensa Nacional y de Seguridad Pública, unidas, fue avanzar en un modelo organizacional como el que se propone tras los acuerdos alcanzados.

Luego, el Subsecretario del Ministerio del Interior y Seguridad Pública, señor Manuel Monsalve, en conjunto con el señor Álvarez, procedieron a efectuar una presentación, en formato ppt, del siguiente tenor:

Proyecto de ley marco sobre ciberseguridad e infraestructura crítica de la información (Boletín 14847)

IMPORTANCIA DE LA CIBERSEGURIDAD

- El Estado tiene el deber de proteger la información que las personas le entregan, cuidando así la confianza de la ciudadanía.

- Cuando el Estado no actúa en materia de ciberseguridad, las personas, sus derechos, patrimonio y seguridad se ven afectadas.

- Hoy es importante tener presente que no estamos protegiendo computadores, estamos protegiendo a las personas y a la sociedad en su conjunto.

- Los ataques al SERNAC, Estado Mayor Conjunto, Comisión Nacional de Acreditación, Ministerio de Justicia y al Poder Judicial dan cuenta de la urgencia e importancia legislar.

CIBERSEGURIDAD COMO POLÍTICA DE ESTADO

- La Política Nacional de Ciberseguridad, elaborada en el gobierno de la presidenta Michelle Bachelet, fijó los lineamientos políticos del Estado de Chile para el resguardo de la seguridad de las personas y de sus derechos en el ciberespacio.

- En el gobierno del presidente Sebastián Piñera, se confirmó la PNCS como una política de Estado, avanzando en su implementación, incluyendo la presentación de este proyecto de ley marco sobre ciberseguridad que hoy comenzamos a revisar.

- El programa del presidente Gabriel Boric propuso la implementación robusta de la Política Nacional de Ciberseguridad, que debe necesariamente estar orientada hacia la protección de los derechos fundamentales de las personas.

PROYECTO DE LEY MARCO SOBRE CIBERSEGURIDAD

- Crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad, para mejorar la prevención, contención, resolución y respuesta de incidentes y ciberataques.

- El modelo se basa en un sistema de colaboración público-privada, con obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.

- Crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias, y crea el Consejo Multisectorial sobre Ciberseguridad.

- Crea un Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), habilita la creación de CSIRT Sectoriales, crea el CSIRT de la Defensa Nacional.

Agencia Nacional de Ciberseguridad (ANCI)

- Su función será gestionar los incidentes de ciberseguridad, regular, fiscalizar y sancionar las acciones de los organismos de la Administración del Estado y de las instituciones privadas en materia de ciberseguridad.

- Se relacionará con el Presidente de la República a través del Ministerio del Interior y Seguridad Pública.

- Dirección y administración superior a cargo de un Director o Directora Nacional, designado conforme a las normas del Sistema de Alta Dirección Pública.

- Personal se regirá por el Código del Trabajo, con aplicación de derechos, obligaciones y prohibiciones del Estatuto Administrativo, que sean pertinentes.

CSIRT Nacional

Organismo técnico creado al interior de la ANCI, responsable de:

- Responder a incidentes de seguridad informática cuando sean de impacto significativo;

- Coordinar a los CSIRT Sectoriales;

- Prestar colaboración o asesoría técnica a los CSIRT Sectoriales

- Supervisar incidentes a escala nacional;

- Realizar entrenamiento, educación y capacitación en materia de ciberseguridad;

- Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad; entre otras.

Servicios esenciales – operadores de importancia vital

- LMC incorpora los conceptos de “servicios esenciales” y “operadores de importancia vital” para establecer un régimen de obligaciones de ciberseguridad y sanciones diferenciado según el riesgo para la vida de las personas y el impacto en el normal funcionamiento del país.

- Los deberes específicos de alto estándar se aplicarán a los organismos del Estado con competencias específicas sobre servicios esenciales y a las instituciones privadas calificadas como operadores de importancia vital.

- Los demás protocolos y estándares que establezca la ANCI, deberán ser diferenciados según el tipo de organización de que se trate y su relación con la prestación de servicios calificados como esenciales, teniendo especialmente en consideración las características y necesidades de las pequeñas y medianas empresas.

Al término de la presentación, el Honorable Senador señor Edwards manifestó que, si la Agencia Nacional de Ciberseguridad cuenta con facultades regulatorias, fiscalizadoras y sancionatorias, a su entender debiesen existir medios impugnatorios para los afectados, como podría ser reclamar ante alguna Corte de Apelaciones o ante la propia Agencia. Pidió aclarar este punto.

En segundo término, solicitó que se diera ejemplos de servicios esenciales y operadores de importancia vital, así como también de los deberes específicos que menciona la iniciativa legal.

Finalmente requirió mayor información sobre los recursos del Banco Interamericano de Desarrollo (BID) destinados a este proyecto de ley.

El señor Subsecretario se refirió a la última de las tres preguntas del Senador Edwards. Informó que en lo que respecta a la inversión inicial, que supone la dotación de equipamiento y tecnología para entregar respuestas ante incidentes de seguridad informática, una posibilidad para aquello es hacer uso de los recursos del crédito BID. Recordó que el mencionado crédito asciende a cerca de US$ 100 millones, que opera en un régimen mixto, ya que una mitad de los fondos es proporcionada por el BID y la otra mitad por el Estado.

Puntualizó que, pese a que se está pagando el crédito BID y tales recursos podrían ser utilizados para mejorar las capacidades informáticas, así como los equipamientos en materia de investigación policial, se trata de un crédito que ha tenido un muy bajo nivel de ejecución. Mencionó que en el año 2021 su ejecución fue cercana a cero, mientras que en el año 2022 fue de aproximadamente $5.000 millones. Agregó que, en base a la historia de ejecución del crédito en los años anteriores, el Ministerio de Hacienda determinó para el año 2023, por concepto de gasto para el Ministerio del Interior y Seguridad Pública, la suma de $7.500 millones cargada al crédito BID, por lo que refirió que sigue subsistiendo un margen bastante amplio para poder hacer uso del mencionado crédito.

Reiteró que se trata de una inversión inicial, la que puede ser financiada mediante el uso del crédito BID.

El señor Álvarez, recogiendo las demás preguntas del señor Senador, informó que con ocasión de las sanciones se establece un procedimiento reglado en el proyecto de ley, el cual cuenta con mucho más detalle que otros procedimientos similares. Puso de relieve que en materia sancionatoria se consagra el principio non bis in ídem, considerando que se trata de una normativa que debe ser complementada con otras regulaciones, tanto sectoriales como generales.

En cuanto a las posibilidades de reclamación, observó que existe un recurso de reposición ante la misma autoridad que dicta la sanción, pero de igual manera se contempla un reclamo de ilegalidad ante la Corte de Apelaciones respectiva.

Enseguida, sobre ejemplos de operadores de importancia vital, refirió que originalmente el proyecto de ley utilizaba la expresión de “infraestructura crítica”, lo que estaba muy asociado a un elemento físico, no obstante, precisó que el énfasis debía estar puesto en los servicios digitales. Acotó que un ejemplo de estos operadores es lo que ocurre en el sector eléctrico, pues explicó que en la matriz eléctrica la generación, transporte y distribución están a cargo de grandes operadores, como son las hidroeléctricas. Con todo, señaló que también se encuentran los pequeños operadores, como podría ser una central solar o una central eólica.

Dicho lo anterior, informó que la ley establece criterios específicos para determinar cuáles de estos operadores deben ser considerados un servicio esencial que, por cierto, lo será el sector eléctrico, no obstante, expresó que será necesario distinguir, dentro de ese servicio esencial, cuáles de sus operadores son clave para que el país no deje de funcionar.

Resaltó que la gracia de este modelo, en contraposición al de infraestructura crítica que se consideró en su oportunidad, es que es dinámico, ya que pueden ir cambiando las condiciones y dar el espacio para detectar que un nuevo operador de importancia vital entró a funcionar.

Manifestó que esta lógica también aplica para el sector público. Al respecto explicó, siguiendo con el ejemplo del sector eléctrico, que al determinarse aquel como servicio esencial y establecidas como operadoras de importancia vital las generadoras, transmisoras y distribuidoras de energía, las autoridades sectoriales vinculadas a esos servicios también serán consideradas operadoras de importancia vital.

En respuesta a la consulta de cuáles son los deberes específicos de los operadores de importancia vital y las medidas que deben adoptar, señaló que el artículo 6 del proyecto de ley se hace cargo de esta materia, mencionando, entre otras medidas, las de planificar su capacidad de ciberseguridad y que cuenten con un modelo de gestión de riesgos. Asimismo, agregó que deben mantener un registro de las acciones que hacen en materia de ciberseguridad, elaborar e implementar planes de continuidad operacional y ciberseguridad, entre otras.

Finalizó su intervención señalando que los estándares establecidos son los mismos que ya se fijaron en la regulación europea.

El Honorable Senador señor Pugh resaltó el trabajo realizado por las comisiones de Defensa Nacional y de Seguridad Pública, unidas, para incorporar la última normativa de la Directiva NIS2 y considerar la regulación belga sobre la materia. Puso de relieve que Chile, con el presente proyecto de ley, se sitúa en la vanguardia en temas de ciberseguridad y valoró que, tratándose de una política de Estado que trasciende a los gobiernos de turno, como país se avanza en acuerdos para contar con una institucionalidad con un nuevo ecosistema.

Manifestó su interés por la posibilidad de trasladar la institucionalidad tecnológica y de conocimiento fuera de Santiago hacia las regiones y, específicamente, a Valparaíso, pues refirió que es esencial no solo desarrollar conocimiento, sino que también descentralizarlo. Cito el caso de Rumania dentro de la Unión Europea y su posicionamiento en materia de ciberseguridad.

El Honorable Senador señor Insulza destacó la importancia y urgencia del proyecto de ley. Apuntó que lo normal es que un país cree la institucionalidad respectiva y luego suscriba los convenios internacionales y dicte leyes de delitos cibernéticos, pero advirtió que en el caso chileno se procedió a la inversa, en el entendido de que primero suscribieron el convenio de Budapest sobre Ciberdelincuencia, en un momento posterior se aprobó la ley de delitos cibernéticos y en esta instancia se está creando la Agencia Nacional de Ciberseguridad. Con todo, pidió agilizar la tramitación del proyecto de ley.

Recogiendo las inquietudes del Senador Edwards por los créditos del BID, sostuvo que los socios más cumplidores piden préstamos al BID para mejorar su ranking internacional. Agregó que es normal que se ocupen estos créditos, tal como se ha realizado en gobiernos anteriores.

Recordó que son pocos los países que pueden pedir créditos en materia de seguridad, lo que demuestra la confianza que el BID tiene respecto de Chile.

- - -

Como se señaló con anterioridad, de conformidad con su competencia, la Comisión de Hacienda se pronunció respecto de las siguientes disposiciones del proyecto de ley: artículo 6, inciso primero, en sus letras a), b) c), d), g) y h), artículo 8, inciso primero, artículo 9, letras f) e i), artículo 10, artículo 11, letra e), artículo 12, artículo 14, incisos quinto, sexto, séptimo, octavo noveno y final, artículo 19, inciso primero, artículo 21, inciso cuarto, artículo 25, artículo 32, artículo 33, incisos primero y quinto, artículo 36, incisos tercero y cuarto, y artículo 42, inciso segundo, permanentes; y artículos primero, segundo, tercero y séptimo transitorios.

A continuación, se da cuenta de las disposiciones del proyecto de ley, así como de los acuerdos adoptados por la Comisión.

Artículo 6

En su inciso primero, refiere que todos los organismos del Estado con competencias específicas sobre servicios esenciales y las instituciones privadas calificadas como operadores de importancia vital, tendrán los deberes que ahí se indican.

Letra a)

Dispone el deber de implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y cuáles afectarían la continuidad operacional del servicio. Agrega que dicho sistema debe contar con la capacidad de estimar tanto la probabilidad como el impacto de las consecuencias de un incidente de ciberseguridad.

Letra b)

Establece el deber de mantener un registro de las acciones ejecutadas que compongan el sistema de seguridad de la información, de conformidad a lo que señale el reglamento. Lo anterior incluirá el registro del cumplimiento de la normativa sobre ciberseguridad y del conocimiento por los empleados, dependientes y proveedores de los protocolos de ciberseguridad y la aplicación de los mismos, tanto durante el funcionamiento regular como en caso de haber sufrido un incidente de ciberseguridad.

Letra c)

Fija el deber de elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados por un centro de certificación acreditado o por la Agencia, según sea el caso. Dichos planes deberán ser actualizados y certificados periódicamente.

Letra d)

Preceptúa el deber de realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según correspondiere, en la forma que determine el reglamento.

Letra g)

Refiere al deber de informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus redes y sistemas informáticos, en los siguientes casos: cuando se vean expuestos datos personales y no exista otra ley que obligue su notificación; o cuando generar conciencia pública sea necesario para evitar un incidente o para gestionar uno que ya hubiera ocurrido. Todo lo anterior, conforme a las instrucciones generales y particulares que al efecto dicte la Agencia.

Letra h)

Establece el deber de contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

--En votación el artículo 6, inciso primero, en sus letras a), b), c), d), g) y h), fueron aprobadas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 8

En su inciso primero, crea la Agencia Nacional de Ciberseguridad, como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propios, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

--En votación el artículo 8, inciso primero, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 9

Señala las atribuciones de la Agencia Nacional de Ciberseguridad para dar cumplimiento a su objetivo.

En su letra f) contempla la atribución de crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

En su letra i) considera la atribución de diseñar e implementar, en coordinación con el Ministerio de Educación, cuando corresponda, planes y acciones de educación, formación ciudadana, investigación, innovación, entrenamiento, fomento y difusión, destinados a promover el desarrollo nacional de una cultura de ciberseguridad.

--En votación el artículo 9 en sus letras f) e i), fueron aprobadas por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 10

Establece que la dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

--En votación el artículo 10, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 11

Fija las atribuciones del Director o Directora Nacional de la Agencia.

En su letra e) dispone la atribución de ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. Añade que, en el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza

--En votación el artículo 11, letra e), fue aprobada por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 12

Prescribe, textualmente, lo siguiente:

“Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores; y

g) Los demás aportes que perciba en conformidad a la ley.”.

--En votación el artículo 12, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 14

Referente al personal de la Agencia.

En su inciso quinto establece que en el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Dichos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

En su inciso sexto prescribe que el Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado en 2004 y publicado en 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Agrega que, para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, de 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, de 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

En su inciso séptimo dispone que la Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Añade que, para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

En su inciso octavo señala que una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

En su inciso noveno refiere que un reglamento expedido por el ministerio encargado de la seguridad pública, determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por el decreto con fuerza de ley N° 1, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

En su inciso final establece que la Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, de 1975, de administración financiera del Estado.

--En votación el artículo 14, incisos quinto, sexto, séptimo, octavo, noveno y final, fueron aprobados por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 19

En su inciso primero crea la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a Internet a los organismos de la Administración del Estado señalados en el artículo 1 de la ley.

--En votación el artículo 19 inciso primero, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 21

En su inciso cuarto preceptúa que el incumplimiento de las instrucciones que imparta la Agencia para la respuesta coordinada de incidentes acarreará responsabilidad funcionaria de la autoridad o jefatura del Equipo de Respuesta a Incidentes de Seguridad Informática Sectorial respectivo, la que podrá ser sancionada conforme lo dispuesto en los artículos 33 y 34.

--En votación el artículo 21 inciso cuarto, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 25

Es del siguiente tenor:

“Artículo 25. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional. Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.”.

--En votación el artículo 25, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 32

Señala que la infracción a las obligaciones dispuestas en el Título VI de la ley, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

--En votación el artículo 32, fue aprobado por la unanimidad de los miembros de la Comisión, Honorables Senadores señores Edwards, Insulza, Lagos, Núñez y Pugh.

Artículo 33

En su inciso primero se refiere a las sanciones a las infracciones cometidas por instituciones privadas.

En su letra a) dispone que las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. Añade que, en caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.