La presente ley tiene por objeto regular la normativa general aplicable a las acciones de ciberseguridad de los organismos del Estado, ya sea entre ellos o con entidades privadas. Asimismo, establece los requisitos mínimos para enfrentar incidentes de ciberseguridad, las atribuciones y obligaciones de los organismos del Estado, los deberes de las instituciones determinadas en la ley, como asimismo los mecanismos de control, supervisión y responsabilidad frente a infracciones. En miras de lo anterior, la ley define qué se debe entender por activo informático, auditorias de seguridad, ciberataque, ciberseguridad, e incidente de ciberseguridad, entre otras. Del mismo modo, establece principios rectores claves para su objeto, entre los que destacan; el principio de control de daños, el principio de cooperación con la autoridad, el principio de coordinación, y el principio de seguridad en el ciberespacio, por mencionar algunos de ellos. En ese orden de ideas, se crea la Agencia Nacional de Ciberseguridad (la Agencia), un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo principal objeto será asesorar al Presidente de la Republica en materias propias de ciberseguridad. No obstante, goza de diversas atribuciones, tales como; dictar protocolos y estándares de ciberseguridad, aplicar e interpretar administrativamente las disposiciones legales y reglamentarias de esta materia, coordinar y supervisar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) y los demás pertenecientes a la Administración del Estado, y crear y administrar un Registro Nacional de Incidentes de Ciberseguridad. Por otro lado, la ley estatuye su ámbito de aplicación, señalando que se aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en su articulado. Dentro de aquellos servicios se comprende a los provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y los provistos por instituciones privadas que realicen las actividades señaladas en la norma. Sin perjuicio de lo señalado, se permite que la Agencia califique mediante resolución fundada de su Director Nacional otros servicios como esenciales cuando su afectación puedan causar daños importantes a la integridad de las personas, al normal funcionamiento de la sociedad y/o de la Administración del Estado, al medioambiente, a la defensa nacional, o a la seguridad y el orden público, entre otras graves afectaciones calificas por la ley. Del mismo modo, se establece que lo dispuesto también será aplicable a aquellas instituciones calificadas como operadores de importancia vital, según lo establezca el o la Directora Nacional de la Agencia. Para aquello, se regula el procedimiento pertinente para tal calificación; siendo necesario que la provisión de sus servicios dependan de las redes y sistemas informáticos, y que la perturbación de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión de servicios esenciales, y el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer. En línea con lo anterior, se fijan deberes específicos para los operadores de importancia vital, dentro de los que se encuentran, el implementar un sistema de gestión de la información continuo, elaborar e implementar planes de continuidad operacional y ciberseguridad, y realizar continuamente operaciones de revisión, adoptar medidas oportunas y expeditas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad. Con todo, se prescriben deberes generales para las instituciones obligadas por la presente ley, obligando de manera general a aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad. En complemento de la Agencia, se crea el Consejo Multisectorial sobre Ciberseguridad (el Consejo), un órgano de carácter consultivo que tiene como objeto asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas. Asimismo se crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional) encargado, entre otras funciones, de responder a ciberataques o incidentes de ciberseguridad cuando éstos sean de efecto significativo, supervisar incidentes a escala nacional, y realizar entrenamiento, educación y capacitación en materia de ciberseguridad. Además, se constituye el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (CSIRT de la Defensa Nacional), órgano dependiente del Ministerio de Defensa Nacional encargado de la vigilancia de las redes y sistemas del mencionado Ministerio y de los servicios esenciales para la defensa nacional, sin perjuicio de las demás tareas encomendadas para resguardar la defensa y seguridad nacional. Además, se crea el Comité Interministerial sobre Ciberseguridad (el Comité) que tiene por objeto asesorar al Presidente de la Republica en materias de ciberseguridad relevantes para el funcionamiento del país y la Red de Conectividad Segura del Estado (RCSE) encargada de proveer servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados por la ley. Por otro lado, se establece que los antecedentes, datos e información en poder de la Agencia y los CSIRT, ya sea de nivel Nacional o de Defensa, así como los de otros organismos estatales o su personal, se considerarán secretos y de circulación restringida. Estatus que también se aplicará a la información que el personal de estos organismos adquiera en el ejercicio de sus funciones, a las matrices de riesgos de ciberseguridad, planes de continuidad operaciones y de desastres, entre otras hipótesis. Las infracciones a estas obligaciones serán sancionadas según las respectivas normas del Código Penal. Al respecto, la autoridad sectorial será la competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones según la normativa sobre ciberseguridad que hubiere dictado. Fuera de dichos casos, le corresponderá a la Agencia dicho rol ante las infracciones a la presente ley. En ese sentido, la norma consagra que las infracciones en comento pueden ser leves, graves o gravísimas, y que sus respectivas sanciones, que se gradúan según la escala antes mencionada, varían entre 5.000 a 40.000 UTM, según sea su gravedad. Para la aplicación de aquello, se regula además el procedimiento correspondiente en esta materia. Como régimen especial se estatuye que los órganos autónomos constitucionales, como el Senado, la Cámara de Diputadas y Diputados, el Poder Judicial, Contraloría, entre otros, no se encuentran sujetos a la regulación, fiscalización o supervigilancia de la Agencia. Por su parte, se introducen modificaciones a la ley N° 20.424, estatuto del Ministerio de Defensa Nacional y a la ley N°21.459, que establece normas sobre delitos informáticos. Finalmente, se señala que el Presidente de la Republica deberá dictar, en el plazo de un año contado desde su publicación en el Diario Oficial, las normas necesarias para determinar, entre otras cosas, el periodo para la entrada en vigencia de las normas establecidas por la presente ley, el que no podrá ser inferior a seis meses desde su publicación.
    Artículo 11. Atribuciones. Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:
     
    a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.
    b) Dictar los protocolos y estándares que señala el artículo 7°; las instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley, y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos.
    c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.
    d) Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado, y requerir de éstos la información que sea necesaria para el cumplimiento de sus fines.
    e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, y respecto a las materias que serán objeto de intercambio de información.
    f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.
    g) Calificar, mediante resolución fundada y en la forma prevista en los artículos 4°, 5° y 6° a los servicios esenciales y a los operadores de importancia vital.
    h) Requerir a las entidades obligadas por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia, conforme lo dispuesto en el literal g) del artículo 8º.
    i) Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad.
    j) Requerir a los organismos de la Administración del Estado y a las instituciones privadas señaladas en el artículo 4º acceso a la información estrictamente necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o para gestionar uno que ya hubiera ocurrido. Para lo anterior, podrá requerir la entrega del registro de actividades de las redes y sistemas informáticos que permitan comprender detalladamente los incidentes de ciberseguridad que puedan haber ocurrido.
    Para el ejercicio de esta atribución, la instrucción siempre tendrá carácter particular, y deberá especificarse la información solicitada y fundarse debidamente. Cuando la información referida en el párrafo anterior incluya datos personales, éstos deberán ser anonimizados, siempre que ello sea posible sin entorpecer la gestión de incidentes. En cualquier caso, los datos personales sólo podrán ser tratados con estricto cumplimiento de lo dispuesto en la ley N° 19.628, sobre protección de la vida privada y, en particular, al principio de finalidad, sin perjuicio de lo que define la presente ley y sus reglamentos.
    Con todo, para efectos de lo dispuesto en esta ley no se considerará la dirección IP como un dato personal.
    k) Requerir, mediante instrucción de su Director o Directora, en casos de incidentes de impacto significativo cuya gestión lo haga imprescindible, el acceso a redes y sistemas informáticos. Este requerimiento deberá notificarse sin demora al requerido a través de la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad con lo establecido en el reglamento. Una vez notificado, el requerido deberá proporcionar todas las facilidades de acceso que sean necesarias. En el caso de que el requerido sea una institución privada de las señaladas en el artículo 4º, podrá oponerse. Formulada la oposición, la Agencia sólo podrá acceder previa autorización judicial conforme lo dispuesto en los párrafos siguientes y no procederá el reclamo establecido en el artículo 46.
    Corresponderá a un Ministro de la Corte de Apelaciones de Santiago conocer del requerimiento. Anualmente, el Presidente de la Corte de Apelaciones de Santiago deberá designar, por sorteo, a dos de sus miembros para cumplir esta labor. Si ninguno de los ministros estuviere en funciones, corresponderá otorgar la autorización al Presidente de la Corte o a quien lo subrogue. La autorización deberá solicitarse por escrito y fundarse en hechos específicos que justifiquen la necesidad del requerimiento. Para tales efectos, todos los días y horas se entenderán hábiles.
    La resolución que autorice o deniegue el acceso a las redes y sistemas deberá dictarse previa audiencia, la que tendrá lugar en el más breve plazo, y en la que se escuchará a las partes.
    En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago. Dicha Corte podrá resolver la apelación en cuenta sin más trámite. Los autos se agregarán de manera extraordinaria y con preferencia a la tabla del día siguiente; pero si éste fuere inhábil, deberá el tribunal funcionar extraordinariamente para el solo conocimiento del recurso. Si producto de la interposición de recusaciones o implicancias no hubiere tribunal, los autos serán conocidos el día siguiente, según las reglas precedentes.
    En caso de que se requiriera la restricción del acceso o uso de redes o sistemas informáticos se estará a lo dispuesto en este literal. No obstante, la Agencia deberá actuar conjuntamente con la autoridad sectorial correspondiente.
    El procedimiento dispuesto en los párrafos precedentes también será aplicable a los requerimientos de acceso a redes y sistemas informáticos a que se refiere el párrafo tercero del literal ñ) del presente artículo.
    l) Cooperar con organismos públicos e instituciones privadas, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado.
    La Agencia servirá de punto de contacto con las autoridades nacionales de ciberseguridad extranjeras o sus homólogos y con los organismos internacionales con competencia en materia de ciberseguridad.
    Cuando se trate de la cooperación con Estados y organizaciones internacionales, dicha actividad deberá realizarse en coordinación con el Ministerio de Relaciones Exteriores, en conformidad con lo previsto en el inciso primero del artículo 2 de la ley N° 21.080, que modifica diversos cuerpos legales con el objeto de modernizar el Ministerio de Relaciones Exteriores.
    m) Prestar, cuando sus recursos humanos, técnicos y financieros así lo permitan, asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación. En estos casos, deberá cautelar siempre los deberes de reserva de información que esta ley le impone, así como los consagrados en la ley N° 19.628.
    n) Colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.
    ñ) Fiscalizar el cumplimiento de las disposiciones de esta ley y sus reglamentos, y de los protocolos, estándares técnicos e instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.
    Para el cumplimiento de su función fiscalizadora, la Agencia podrá realizar inspecciones, e instruir de manera particular auditorías por sí o mediante terceros autorizados y análisis de seguridad basados en criterios de evaluación de riesgos objetivos, los cuales deberán ser equitativos, transparentes y no discriminatorios. La entidad fiscalizada deberá cooperar en todo momento con los funcionarios de la Agencia o con los terceros autorizados por ella, según corresponda.
    Asimismo, la Agencia podrá requerir el acceso a sistemas informáticos, datos, documentos y demás información que fuere necesaria para el desempeño de sus funciones de supervisión y fiscalización, e instruir de manera particular a los sujetos obligados que realicen pruebas que demuestren la implementación de los planes de continuidad operacional y ciberseguridad, referidos en la letra c) del artículo 8°. Adicionalmente, podrá citar a declarar, respecto de hechos cuyo conocimiento estime necesario para el cumplimiento de sus funciones, a los socios, directores, administradores, representantes, empleados y cualquier persona que, a cualquier título, preste o haya prestado servicios para las personas o entidades fiscalizadas, así como a toda persona que hubiere ejecutado o celebrado con ellas actos o convenciones de cualquier naturaleza. No obstante, no estarán obligadas a concurrir a declarar las personas indicadas en el artículo 361 del Código de Procedimiento Civil, a las cuales la Agencia, para los fines expresados en el párrafo precedente, deberá pedir declaración por escrito.
    Para el ejercicio de esta atribución podrá establecer la forma, plazos y procedimientos para que las entidades fiscalizadas cumplan la obligación de presentar los antecedentes e informaciones referidos en los párrafos precedentes.
    o) Instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la presente ley respecto de sus disposiciones y reglamentos y de las instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, en los términos señalados en el literal n), entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. La declaración podrá tomarse presencialmente o por otros medios que aseguren su integridad y fidelidad.
    p) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los Ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.
    q) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.
    r) Informar al CSIRT de la Defensa Nacional y a los CSIRT de los organismos de la Administración del Estado los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector que considere relevantes. Al respecto, podrá sugerir determinados planes de acción.
    s) Determinar, conforme al informe técnico que el CSIRT Nacional  elabore  para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.
    t) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.
    u) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.
    v) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.
    w) Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales.
    x) Administrar la Red de Conectividad Segura del Estado.
    y) Coordinar anualmente, durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113, que declara el mes de octubre como el mes nacional de la ciberseguridad.
    z) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.