La presente ley tiene por objeto regular la normativa general aplicable a las acciones de ciberseguridad de los organismos del Estado, ya sea entre ellos o con entidades privadas. Asimismo, establece los requisitos mínimos para enfrentar incidentes de ciberseguridad, las atribuciones y obligaciones de los organismos del Estado, los deberes de las instituciones determinadas en la ley, como asimismo los mecanismos de control, supervisión y responsabilidad frente a infracciones. En miras de lo anterior, la ley define qué se debe entender por activo informático, auditorias de seguridad, ciberataque, ciberseguridad, e incidente de ciberseguridad, entre otras. Del mismo modo, establece principios rectores claves para su objeto, entre los que destacan; el principio de control de daños, el principio de cooperación con la autoridad, el principio de coordinación, y el principio de seguridad en el ciberespacio, por mencionar algunos de ellos. En ese orden de ideas, se crea la Agencia Nacional de Ciberseguridad (la Agencia), un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo principal objeto será asesorar al Presidente de la Republica en materias propias de ciberseguridad. No obstante, goza de diversas atribuciones, tales como; dictar protocolos y estándares de ciberseguridad, aplicar e interpretar administrativamente las disposiciones legales y reglamentarias de esta materia, coordinar y supervisar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y los demás pertenecientes a la Administración del Estado, y crear y administrar un Registro Nacional de Incidentes de Ciberseguridad. Por otro lado, la ley estatuye su ámbito de aplicación, señalando que se aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en su articulado. Dentro de aquellos servicios se comprende a los provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y los provistos por instituciones privadas que realicen las actividades señaladas en la norma. Sin perjuicio de lo señalado, se permite que la Agencia califique mediante resolución fundada de su Director Nacional otros servicios como esenciales cuando su afectación puedan causar daños importantes a la integridad de las personas, al normal funcionamiento de la sociedad y/o de la Administración del Estado, al medioambiente, a la defensa nacional, o a la seguridad y el orden público, entre otras graves afectaciones calificas por la ley. Del mismo modo, se establece que lo dispuesto también será aplicable a aquellas instituciones calificadas como operadores de importancia vital, según lo establezca el o la Directora Nacional de la Agencia. Para aquello, se regula el procedimiento pertinente para tal calificación; siendo necesario que la provisión de sus servicios dependan de las redes y sistemas informáticos, y que la perturbación de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión de servicios esenciales, y el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer. En línea con lo anterior, se fijan deberes específicos para los operadores de importancia vital, dentro de los que se encuentran, el implementar un sistema de gestión de la información continuo, elaborar e implementar planes de continuidad operacional y ciberseguridad, y realizar continuamente operaciones de revisión, adoptar medidas oportunas y expeditas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad. Con todo, se prescriben deberes generales para las instituciones obligadas por la presente ley, obligando de manera general a aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad. En complemento de la Agencia, se crea el Consejo Multisectorial sobre Ciberseguridad (el Consejo), un órgano de carácter consultivo que tiene como objeto asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas. Asimismo se crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional) encargado, entre otras funciones, de responder a ciberataques o incidentes de ciberseguridad cuando éstos sean de efecto significativo, supervisar incidentes a escala nacional, y realizar entrenamiento, educación y capacitación en materia de ciberseguridad. Además, se constituye el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT de la Defensa Nacional), órgano dependiente del Ministerio de Defensa Nacional encargado de la vigilancia de las redes y sistemas del mencionado Ministerio y de los servicios esenciales para la defensa nacional, sin perjuicio de las demás tareas encomendadas para resguardar la defensa y seguridad nacional. Además, se crea el Comité Interministerial sobre Ciberseguridad (el Comité) que tiene por objeto asesorar al Presidente de la Republica en materias de ciberseguridad relevantes para el funcionamiento del país y la Red de Conectividad Segura del Estado (RCSE) encargada de proveer servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados por la ley. Por otro lado, se establece que los antecedentes, datos e información en poder de la Agencia y los CSIRT, ya sea de nivel Nacional o de Defensa, así como los de otros organismos estatales o su personal, se considerarán secretos y de circulación restringida. Estatus que también se aplicará a la información que el personal de estos organismos adquiera en el ejercicio de sus funciones, a las matrices de riesgos de ciberseguridad, planes de continuidad operaciones y de desastres, entre otras hipótesis. Las infracciones a estas obligaciones serán sancionadas según las respectivas normas del Código Penal. Al respecto, la autoridad sectorial será la competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones según la normativa sobre ciberseguridad que hubiere dictado. Fuera de dichos casos, le corresponderá a la Agencia dicho rol ante las infracciones a la presente ley. En ese sentido, la norma consagra que las infracciones en comento pueden ser leves, graves o gravísimas, y que sus respectivas sanciones, que se gradúan según la escala antes mencionada, varían entre 5.000 a 40.000 UTM, según sea su gravedad. Para la aplicación de aquello, se regula además el procedimiento correspondiente en esta materia. Como régimen especial se estatuye que los órganos autónomos constitucionales, como el Senado, la Cámara de Diputadas y Diputados, el Poder Judicial, Contraloría, entre otros, no se encuentran sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Por su parte, se introducen modificaciones a la ley N° 20.424, estatuto del Ministerio de Defensa Nacional y a la ley N°21.459, que establece normas sobre delitos informáticos. Finalmente, se señala que el Presidente de la Republica deberá dictar, en el plazo de un año contado desde su publicación en el Diario Oficial, las normas necesarias para determinar, entre otras cosas, el periodo para la entrada en vigencia de las normas establecidas por la presente ley, el que no podrá ser inferior a seis meses desde su publicación.
    Artículo 8º. Deberes específicos de los operadores de importancia vital. Todos los operadores de importancia vital deberán:
     
    a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.
    Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.
    b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento.
    c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse en conformidad al artículo 28, y someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.
    Con todo, la Agencia podrá instruir a uno o más operadores de importancia vital, fundadamente y por motivos sobrevinientes graves, la certificación de sus planes de continuidad operacional o ciberseguridad en un plazo menor al indicado en el párrafo precedente; sin embargo, la Agencia sólo podrá ejercer esta facultad, respecto de cada operador de importancia vital, siempre que la certificación tenga, al menos, un año de vigencia.
    d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.
    e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.
    f) Contar con las certificaciones que señala el artículo 28.
    g) Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.
    h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.
    i) Designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.