APRUEBA REGLAMENTO DEL PROCEDIMIENTO DE CALIFICACIÓN DE LOS OPERADORES DE IMPORTANCIA VITAL DE LA LEY N° 21.663
Núm. 285.- Santiago, 6 de septiembre de 2024.
Vistos:
Lo dispuesto en el artículo 32, N° 6 y 35 de la Constitución Política de la República de Chile. cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto supremo N° 100, de 2005. del Ministerio Secretaría General de la Presidencia; en la ley N° 19.880, que establece las Bases de los Procedimientos Administrativos que rigen los actos de los Órganos de la Administración del Estado; en la ley N° 21.663, Marco de Ciberseguridad; en el decreto con fuerza de ley N° 1, de 2020, del Ministerio Secretaría General de la Presidencia, que establece normas de aplicación del artículo 1° de la ley N° 21.180, de transformación digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la administración del Estado que indica y las materias que les resultan aplicables; en el decreto supremo N° 4, de 2020, del Ministerio Secretaría General de la Presidencia, que aprueba el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos, en las materias que indica, según lo dispuesto en la ley N° 21.180, sobre transformación digital del Estado; en el decreto supremo N° 164, de 2023, del Ministerio del Interior y Seguridad Pública, que aprueba la Política Nacional de Ciberseguridad 2023 - 2028; y en la resolución N° 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.
Considerando:
1) Que la ley N° 21.663, marco de Ciberseguridad, se publicó en el Diario Oficial el 8 de abril de 2024.
2) Que, de conformidad a lo dispuesto en el artículo 1°, la ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en el artículo 4°, y los mecanismos de control,supervisión y de responsabilidad ante infracciones.
3) Que, el artículo 4° de la citada ley indica que se aplicará a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital, de conformidad con lo dispuesto en sus artículos 5° y 6°.
4) Que, el Director o la Directora Nacional de la Agencia Nacional de Ciberseguridad, podrá calificar como operadores de importancia vital a los prestadores de servicios esenciales que reúnan los requisitos establecidos en el artículo 5° de la referida ley. Dicho procedimiento se ajustará a lo dispuesto en su artículo 6°, cuya norma en su inciso final dispone que un reglamento expedido por el Ministerio encargado de la seguridad pública contemplará los demás aspectos del procedimiento que sean necesarios para su correcta ejecución.
5) Que, durante los días 29, 30 y 31 de julio de 2024 se realizó un proceso de diálogo público privado que contó con la participación de representantes gremiales, instituciones académicas y representantes de la sociedad civil (ONGs) con el objeto de fortalecer la elaboración del presente reglamento. Asimismo, entre los días 7 y 12 de agosto de 2024 se publicó el borrador del presente reglamento en el sitio web de la Coordinación Nacional de Ciberseguridad con el objeto de que los interesados en su elaboración pudieren formular observaciones.
6) Que, las observaciones y comentarios recogidos durante las instancias mencionadas en el numeral anterior, fueron ponderados y utilizados como insumo para la elaboración de la versión final del presente reglamento.
7) Que. teniendo en cuenta lo anteriormente señalado,
Decreto:
Apruébase el "Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital de la ley N° 21.663", cuyo texto es el siguiente:
TÍTULO I
DISPOSICIONES GENERALES
Artículo 1°.- Ámbito de aplicación. El presente reglamento tiene por objeto regular el procedimiento de calificación de los operadores de importancia vital de la ley N° 21.663, marco de Ciberseguridad.
Artículo 2°.- Definiciones. Para efectos del presente reglamento se entenderá por:
a) Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.
b) Dependencia: relación entre dos operadores en la que uno de ellos no puede proveer su servicio si no recibe un bien o servicio del otro.
c) Ley: ley N° 21.663, Marco de Ciberseguridad.
d) Monoprovisión: característica de un servicio esencial en la que existe un único proveedor.
e) Redundancia: condición en la que una persona natural o jurídica puede reemplazar de manera inmediata la provisión de un servicio esencial, en caso de que este sea afectado o interrumpido.
Artículo 3°.- Principios. El procedimiento dispuesto en el presente reglamento deberá instruirse bajo los principios orientadores establecidos en el artículo 3° de la ley.
TÍTULO II
DE LA CALIFICACIÓN DE LOS OPERADORES DE IMPORTANCIA VITAL
Artículo 4°.- Operadores de Importancia Vital. La Agencia podrá calificar a los prestadores de servicios esenciales como operadores de importancia vital cuando estos reúnan los siguientes requisitos:
1. Que la provisión del servicio dependa de redes y sistemas informáticos, y
2. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
Para determinar el impacto significativo mencionado en el numeral 2 del inciso precedente, la Agencia deberá considerar uno o más de los siguientes criterios:
a) El número de potenciales afectados, incluyéndose en esta categoría a aquellos que dependan directa o indirectamente de un prestador de servicios esenciales.
Para efectos de determinar el número de potenciales de afectados, la Agencia deberá considerar la magnitud de la afectación, interceptación, interrupción o destrucción del servicio, de acuerdo con la naturaleza del mismo y las características del operador, tomando en cuenta factores tales como cobertura territorial o naturaleza del mercado. Para efectos de determinar la cobertura territorial, la Agencia deberá considerar la implicancia local, comunal, provincial, regional o nacional del prestador de servicio esencial de que se trate.
b) La redundancia del servicio. Para tales efectos, la Agencia deberá considerar la disponibilidad de proveedores alternativos que puedan asumir la provisión del servicio esencial sin interrupciones. Si existieren uno o más proveedores alternativos, deberán además verificarse las siguientes condiciones: i) la capacidad técnica y operativa de los proveedores alternativos para cubrir la demanda del servicio esencial; ii) el tiempo de respuesta necesario para que un proveedor alternativo comience a operar en caso de falla o interrupción del proveedor principal, y iii) los costos asociados con el cambio a un proveedor alternativo, tanto en términos financieros como operativos.
c) La monoprovisión del servicio. Para efectos de determinar la monoprovisión, la Agencia deberá considerar la existencia de un único proveedor del servicio esencial; las barreras legales, económicas o técnicas que impidan la entrada de nuevos proveedores al mercado; la existencia de sustitutos o alternativas viables que puedan satisfacer la misma necesidad, y el impacto que tendría la ausencia del único proveedor en la continuidad del servicio esencial.
d) La dependencia de los servicios proveídos entre sí o con otros servicios esenciales. Para efectos de determinar la dependencia, la Agencia deberá considerar la interdependencia entre servicios, evaluando: i) cómo la provisión de un servicio esencial depende de la provisión de otro; ii) el efecto en la cadena de suministro que la interrupción de un servicio puede tener sobre otros servicios relacionados; iii) la criticidad del servicio dependiente, especialmente si su interrupción afecta la seguridad, la salud pública o el bienestar general de la población, y iv) la resiliencia del o los servicios dependientes para mantenerse operativo ante la falta temporal o permanente del servicio del que depende.
e) La relevancia de la institución que pudiera verse afectada y su incidencia directa o indirecta en la protección de los bienes jurídicos señalados en el numeral 2 de este artículo.
Artículo 5°.- Calificación como operadores de importancia vital a entidades privadas que no posean la calidad de prestadores de servicios esenciales. La Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales conforme al artículo 4° de la ley, reúnan los requisitos indicados en el inciso segundo del artículo 5° de la ley y cuya calificación sea indispensable por haber adquirido un rol crítico para el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
Se entenderá que una institución ha adquirido un rol crítico cuando la afectación, interceptación, interrupción o destrucción de sus servicios pueda generar un impacto en la continuidad operativa de los servicios que dicha institución provee.
Artículo 6°.- Inicio del proceso. La Agencia deberá revisar y actualizar, si fuere pertinente, la calificación de operadores de importancia vital al menos cada tres años. El inicio del proceso de calificación siguiente deberá iniciarse al menos ciento ochenta días antes del vencimiento del plazo de tres años señalado.
Sin perjuicio de lo dispuesto en el inciso anterior, la Agencia podrá iniciar un nuevo proceso de calificación en el periodo intermedio, cuando circunstancias sobrevinientes así lo justifiquen, lo cual deberá constar en la resolución que dé inicio al procedimiento de calificación.
En cualquiera de los casos señalados precedentemente la Agencia deberá publicitar en su sitio web institucional el inicio del procedimiento de calificación.
Artículo 7°.- Informe técnico de los organismos sectoriales. Para efectos exclusivos de realizar el estudio de calificación, conforme al inciso segundo del artículo 6° de la ley, la Agencia deberá requerir informe fundado de los organismos públicos con competencia sectorial que, en virtud de una ley, contaren con facultades específicas de regulación, supervisión, coordinación, administración o fiscalización en el sector económico en el que desarrolla su actividad la entidad respectiva. El contenido de dicho informe deberá referirse a los criterios identificados en los literales a) a e) del artículo 4° del presente Reglamento.
Si la institución a calificar es clasificada como empresa de menor tamaño, de acuerdo con lo dispuesto en el artículo 2° de la ley N° 20.416, la Agencia deberá requerir informe del Ministerio de Economía, Fomento y Turismo.
Los informes regulados en este artículo deberán ser evacuados y valorados en la forma prescrita en el artículo 37 bis de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.
Artículo 8°.- Plazo para remitir el informe. Los organismos públicos cuyo informe se solicite deberán evacuarlo dentro del plazo de treinta días corridos, contados desde la fecha en que hubieren recibido el requerimiento a que se refiere el artículo precedente.
Los informes técnicos deberán referirse individualmente a cada una de las instituciones públicas y privadas que correspondan al ámbito de competencia del respectivo organismo público con competencia sectorial.
Asimismo, el informe deberá indicar si la provisión del servicio de que se trate depende de redes y sistemas informáticos, y si su afectación, interceptación, interrupción o destrucción pudiere tener un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que debe proveer o garantizar.
Artículo 9°.- Antecedentes voluntarios. La Agencia podrá solicitar a las instituciones privadas antecedentes voluntarios para elaborar la nómina preliminar, señalándoles un plazo que no podrá ser inferior a diez días corridos. En ningún caso se entenderá que dicha instancia reemplaza la notificación contemplada en el articulo 13° y el derecho a presentar observaciones durante la consulta pública.
Artículo 10°.- Nómina preliminar. La Agencia deberá elaborar la nómina preliminar de operadores de importancia vital dentro del plazo de treinta días corridos desde el vencimiento del plazo señalado en el articulo 8° del presente Reglamento.
De conformidad a lo dispuesto en el artículo 38° de la ley N° 19.880, el contenido de los informes de los organismos públicos será facultativo y no vinculante para la decisión que adopte la Agencia. Asimismo, el contenido de dichos informes revestirá el carácter de secreto y de circulación restringida cuando la información contenida en él tenga tal calidad en virtud de una norma legal o cuando se trate de la información señalada en los incisos cuarto o quinto del artículo 33 de la ley.
La nómina preliminar de operadores de importancia vital será aprobada por resolución del Director o Directora Nacional y publicada en el Diario Oficial o en un diario de circulación nacional.
TÍTULO III
DE LA CONSULTA PÚBLICA A INSTITUCIONES PRIVADAS Y NÓMINA FINAL DE CALIFICACIÓN
Artículo 11°.- Consulta. La nómina preliminar respecto de las instituciones privadas deberá ser sometida a consulta pública, la cual se regirá por los principios de máxima divulgación posible, igualdad de trato, imparcialidad, transparencia y efectividad.
El objetivo de la Consulta Pública será indagar activamente en las opiniones de los grupos interesados en el proceso de calificación de los operadores de importancia vital.
Artículo 12°.- Apertura del proceso de Consulta. Se dará inicio al proceso de consulta mediante una resolución de apertura, dictada por el Director o Directora de la Agencia, la cual dispondrá un periodo de difusión y promoción que no podrá ser inferior a diez días corridos contados desde la publicación de la resolución que aprueba la nómina preliminar a la que se refiere el artículo 10° del presente reglamento.
Artículo 13°.- Notificación a las instituciones preliminarmente calificadas. Durante el plazo de diez días dispuesto en el artículo anterior, las instituciones incluidas en la nómina preliminar deberán ser notificadas conforme lo dispuesto en el decreto supremo N° 4, de 2020, del Ministerio Secretaría General de la Presidencia, que aprueba el reglamento que regula la forma en que los procedimientos administrativos deberán expresarse a través de medios electrónicos o la norma que lo reemplace.
En dicha notificación deberá constar el derecho a presentar observaciones y acompañar todos los documentos y antecedentes que estimen conveniente, en la forma dispuesta en el artículo siguiente.
Artículo 14°.- De las observaciones. La Agencia deberá poner a disposición una plataforma electrónica que permita la participación en la consulta pública. Cualquier persona natural o jurídica podrá realizar observaciones al listado preliminar propuesto por la Agencia.
En el caso de las personas naturales, serán admisibles aquellas observaciones en que esté debidamente señalado el nombre, cédula de identidad y domicilio o correo electrónico, según corresponda, de quien las formula.
Para la admisibilidad de las observaciones de las personas jurídicas, se requerirá además que estas sean realizadas por su representante legal, lo que deberá acreditarse mediante la presentación de un certificado de vigencia de la persona jurídica y de vigencia de poderes de esta, cuya fecha de emisión no exceda de noventa días.
Las observaciones deberán formularse por escrito, contener sus fundamentos y referirse al proceso de calificación de los operadores de importancia vital. El plazo para presentar dichas observaciones será de treinta días corridos, desde la publicación de la resolución dispuesta en el artículo 10°.
Artículo 15°.- Resumen ejecutivo de la Consulta Pública. La Agencia deberá pronunciarse sobre las observaciones ciudadanas que se relacionen directamente con el proceso de calificación respectivo.
La Agencia pondrá a disposición del público el resumen ejecutivo y el contenido de la Consulta Pública en el sitio web institucional treinta días corridos después del vencimiento del plazo para presentar observaciones, señalado en el artículo anterior.
Artículo 16°.- De la calificación final de instituciones privadas como operadores de importancia vital. La Agencia elaborará la nómina final de instituciones privadas calificadas como operadores de importancia vital. Para ello contará con un plazo de treinta días corridos contados desde la publicación del resumen ejecutivo al que se refiere el artículo anterior.
La nómina de instituciones calificadas como operadores de importancia vital indicará nombre, rol único tributario (RUT) y domicilio legal de la entidad. Dicha nómina final será aprobada mediante resolución fundada de su Director o Directora y publicada en el Diario Oficial o en un diario de circulación nacional.
Artículo 17°.- Recursos. En contra de la resolución señalada en el artículo precedente podrán deducirse aquellos recursos a que se refiere la ley N° 19.880, sin perjuicio de ejercer la reclamación judicial establecida en el artículo 46° de la ley.
TÍTULO IV
DE LA CALIFICACIÓN DE INSTITUCIONES PÚBLICAS COMO OPERADORES DE IMPORTANCIA VITAL
Artículo 18°.- Estudio de calificación de instituciones públicas. La Agencia realizará el estudio de calificación de las instituciones públicas en el plazo dispuesto en el artículo 6°, conforme los criterios dispuestos en el artículo 4° del presente reglamento.
Articulo 19°.- Informes técnicos. La Agencia deberá confeccionar una nómina preliminar de instituciones y solicitar los informes técnicos de conformidad al artículo 7° del presente Reglamento.
Asimismo, la Agencia deberá requerir informe del Ministerio de Hacienda.
Artículo 20°.- Comunicación a las instituciones públicas. La Agencia deberá comunicar al órgano previamente calificado de conformidad a lo dispuesto en el artículo 19° de la ley N° 19.880, quien deberá evacuar su informe conforme lo establecido en el artículo anterior.
Artículo 21°.- Nómina final de las instituciones públicas calificadas como Operadores de Importancia Vital. La nómina de órganos de las instituciones públicas calificadas como operadores de importancia vital será aprobada mediante resolución fundada de su Director o Directora y publicada en el Diario Oficial o en un diario de circulación nacional.
DISPOSICIONES TRANSITORIAS
Artículo primero.- La primera calificación de operadores de importancia vital deberá iniciarse en el plazo de 90 días contados desde la entrada en vigencia de los artículos 5°, 8°, 9° y Título VII de la ley, establecida en el artículo 2° del decreto con fuerza de ley N° 1-21.663, de 2024, del Ministerio del Interior y Seguridad Pública.
Artículo segundo.- Las notificaciones electrónicas dispuestas en el presente reglamento comenzarán a practicarse de conformidad a las reglas de gradualidad dispuestas en el decreto con fuerza de ley N° 1, de 2020, del Ministerio Secretaría General de la Presidencia, que establece normas de aplicación del artículo 1° de la ley N° 21.180, de transformación digital del Estado, respecto de los procedimientos administrativos regulados en leyes especiales que se expresan a través de medios electrónicos y determina la gradualidad para la aplicación de la misma ley, a los órganos de la administración del Estado que indica y las materias que les resultan aplicables. En tanto no entrare en vigencia dicho régimen, las notificaciones serán practicadas por carta certificada al domicilio de la respectiva institución conforme lo dispuesto en la legislación vigente.
Anótese, tómese de razón y publíquese.- CAROLINA TOHÁ MORALES, Vicepresidenta de la República.- Manuel Monsalve Benavides, Ministro del Interior y Seguridad Pública (S).- Mario Marcel Cullell, Ministro de Hacienda.- Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo.
Lo que transcribo a Ud. para su conocimiento.- Atentamente, Luis Cordero Vega, Subsecretario del Interior.