Ley Chile - Decreto 293 (11-abr-2025) M. del Interior; Subsecretaría del Interior - Biblioteca del Congreso Nacional de Chile

APRUEBA REGLAMENTO PARA EL FUNCIONAMIENTO DE LA RED DE CONECTIVIDAD SEGURA DEL ESTADO Y LAS OBLIGACIONES ESPECIALES DE LOS ORGANISMOS DE LA ADMINISTRACIÓN DEL ESTADO

Núm. 293.- Santiago, 23 de septiembre de 2024.

Vistos:

Lo dispuesto en los artículos 32, Nº 6 y 35 de la Constitución Política de la República de Chile, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto supremo Nº 100, de 2005, del Ministerio Secretaría General de la Presidencia; en el artículo 32 del decreto con fuerza de ley Nº 1/19.653, de 2000, del Ministerio Secretaría General de la Presidencia, que fija el texto refundido, coordinado y sistematizado de la ley Nº 18.575, Orgánica Constitucional de Bases Generales de la Administración del Estado; en ley Nº 19.880 que establece las Bases de los Procedimientos Administrativos que rigen los actos de los Órganos de la Administración del Estado; en la ley Nº 20.502, que crea el Ministerio del Interior y Seguridad Pública y el Servicio Nacional para la Prevención y Rehabilitación del Consumo de Drogas y Alcohol, y modifica diversos cuerpos legales; en el literal x) del artículo 11 y en el artículo 23 de la ley Nº 21.663 Marco de Ciberseguridad; y en la resolución Nº 7, de 2019, de la Contraloría General de la República, que fija normas sobre exención del trámite de toma de razón.

Considerando:

1º. Que, con fecha 8 de abril de 2024 se publicó en el Diario Oficial la ley Nº 21.663 Marco de Ciberseguridad (en adelante indistintamente "la Ley").

2º. Que, conforme su artículo 1º, la Ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en el artículo 4º de la ley, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

3º. Que, conforme al artículo 23 de la Ley, se establece la creación de la Red de Conectividad Segura del Estado, en adelante "RCSE o la Red", que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1º de la ley, a saber los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

4º. Que, conforme a lo dispuesto en el literal x) del artículo 11 de la ley, la Agencia Nacional de Ciberseguridad tendrá entre sus atribuciones la de administrar la Red de Conectividad Segura del Estado.

5º. Que, conforme lo dispuesto en el inciso final del artículo 23 de la ley, un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará el funcionamiento de la RCS E y las obligaciones especiales de los organismos de la Administración del Estado.

6º. Que, con fecha 4 de diciembre de 2023, se publicó en el Diario Oficial la Política Nacional de Ciberseguridad 2023-2028.

7º. Que, conforme a lo dispuesto en la Política citada en el numeral anterior, se establece como un objetivo el "contar con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos", entre lo que se considera "fortalecer la resiliencia de nuestros servicios esenciales frente a incidentes de ciberseguridad".

8º. Que, teniendo en cuenta lo anteriormente señalado, y el mandato legal previsto por el artículo 23 de la ley, se hace imperativo dictar ese reglamento.

Decreto:

Artículo primero: Apruébase el reglamento que establece el funcionamiento de la Red de Conectividad Segura del Estado y las obligaciones especiales de los organismos de la Administración del Estado:

Título I

Disposiciones Generales

Artículo 1º.- Objeto. El presente reglamento tiene por objeto regular el funcionamiento de la Red de Conectividad Segura del Estado y las obligaciones especiales de los organismos de la Administración del Estado que se conecten.

Artículo 2º.- Definiciones. Para efectos del presente reglamento se entenderá por:

a. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI o Agencia.

b. Ley: Ley Nº 21.663, Marco de Ciberseguridad.

c. RCSE o Red: Red de Conectividad Segura del Estado.

Artículo 3º.- Red de Conectividad Segura del Estado. Corresponderá a la Agencia Nacional de Ciberseguridad la administración de la RCSE, la cual incluirá, al menos, los siguientes aspectos:

a. Gestión de los enlaces de conectividad a internet.

b. Operación, mantención, y actualización de los dispositivos de conectividad y de seguridad perimetral que conforman la Red.

c. Monitoreo del tráfico de red entre los integrantes de la RCSE, y entre éstas e internet.

d. Configuración de las conexiones entre las instalaciones de las organizaciones integrantes y la RCSE.

e. Administración de los contratos de servicios de telecomunicaciones, de infraestructura digital, de servicios digitales, y de servicios de tecnologías de la información gestionados por terceros necesarios para el normal funcionamiento de la RCSE, incluyendo convenios de interconexión con instituciones públicas o privadas.

Artículo 4º.- Integrantes de la RCSE. Deberán integrar la RCSE, los Ministerios, las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa. Asimismo, deberán integrarse a la RCSE, las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.

El Director o Directora de la Agencia, mediante resolución fundada, podrá exceptuar de esta obligación a aquellas in stituciones que, por razones técnicas, requieran de una conexión directa a internet o que por disponibilidad de recursos o capacidades técnicas no puedan integrarse a la RCSE. Con todo, las instituciones que sean exceptuadas de esta obligación deberán cumplir de manera obligatoria las instrucciones generales o particulares que dicte la Agencia, de conformidad a lo dispuesto en el literal b) del artí culo 11 de la ley.

Los órganos autónomos constitucionales, de conformidad con lo dispuesto en el artículo 53 de la ley no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia. Sin perjuicio de ello, dichas entidades podrán convenir mecanismos de colaboración que permitan la interconexión con la RCSE. Dichos convenios regularán las obligaciones particulares que permitan un correcto funcionamiento de dicha Red no siendo aplicable lo dispuest o en el Título II siguiente.

Artículo 5º.- Protocolo de Conexión. El Director o Directora de la Agencia aprobará mediante resolución un Protoc olo de conexión a la RCSE, el que especificará las condiciones y requisitos técnicos para la conexión, el cual será de cumplimiento obligatorio para los organismos que integren la RCSE, de conformidad a lo dispuesto en el literal b) del artículo 11 de la ley.

Los órganos de la Administración del Estado deberán designar un delegado de ciberseguridad que actuará como contraparte técnica de la Agencia e informará al jefe superior del respectivo Servicio, en los términos del literal i) del artículo 8º de la ley, sobre el estado de la red, incidentes de ciberseguridad, cambios en proveedores, entre otros, que determine la Agencia.

Título II

De las obligaciones de los integrantes

Artículo 6º.- Obligaciones de los integrantes de la red. Los organismos que integren la RCSE deberán informar semestralmente a la Agencia de todos los contratos vigentes con servicios de telecomunicaciones, servicios de transmisión de datos o de acceso a internet, infraestructura digital, servicios digitales y servicios de tecnología de la información y almacenamiento de datos.

Las modificaciones contractuales relacionadas a materias tratadas en el inciso anterior, deberán ser informadas a la Agencia en el plazo de quince días corridos, desde la total tramitación del acto administrativo que apruebe la respectiva modificación.

Artículo 7º.- Tráfico de red. Los integrantes de la Red deberán permitir a la Agencia el monitoreo del tráfico de red, inhibiendo las medidas que impidan su materialización.

Artículo 8º.- Deber de utilizar el dominio .gob.cl. Los integrantes de la RCSE deberán hacer uso de un subdominio de .gob.cl, registrándolo previamente ante la Agencia, y en el sitio electrónico http://nic.gob.cl o el que lo reemplace.

Asimismo, los integrantes de la Red deberán registrar el mismo sitio web usando el dominio ".cl" en el sitio electrónico http://nic.cl o el que lo reemplace, esto último, con la única finalidad de que el referido sitio redireccione al sitio .gob.cl correspondiente.

De igual modo, los sitios web deberán registrar en sus servicios de nombres las tablas reversas de la o las direcciones IP asociadas al dominio .gob.cl correspondiente. Se deberá evitar informar al público un nombre distinto al asociado a .gob.cl. Sin embargo, en caso de hacerlo ese nombre deberá de todos modos redireccionar al dominio .gob.cl.

Las organizaciones integrantes de la RCSE deberán informar a la Agencia de cualquier nombre de dominio completamente calificado (Fully Qualified Domain Name) fuera del dominio gob.cl asociados a activos de información, servicios, sitios o sistemas web expuestos a internet.

Título III

Administración y seguridad de la Red

Artículo 9º.- Infraestructura de Red. La Agencia deberá proveer a todas las organizaciones integradas a la RCSE una infraestructura de red resiliente, que permita intercambiar información entre ellas, de forma confidencial e íntegra, con un nivel mínimo de disponibilidad garantizada, y con servicios de seguridad continuos.

La Agencia establecerá, mediante resolución de su Director o Directora, un protocolo de uso de la RCSE, el que considerará, al menos, reglas para la configuración de dispositivos de seguridad perimetral, de herramientas de filtrado automatizado de tráfico o gestión de tráfico en caso de eventos o incidentes.

Artículo 10.- Capacitación. La Agencia deberá brindar capacitación continua sobre el funcionamiento de la RCSE a los encargados de ciberseguridad de los integrantes de la Red. Dichas capacitaciones deberán realizarse al menos dos veces dentro de un año calendario.

Artículo 11.- Bloqueo de tráfico malicioso o inseguro. La Agencia podrá bloquear el tráfico de red considerado como malicioso o inseguro con el objetivo de proteger la Red de eventuales ciberataques o incidentes de ciberseguridad. Dicha decisión será adoptada considerando informes o alertas emitidas por el CSIRT Nacional o por otro organismo internacional relacionado con ciberseguridad.

Artículo 12.- Listado de Integrantes de la Red. La Agencia deberá enviar anualmente a la Dirección de Presupuestos del Ministerio de Hacienda un listado de todos los órganos de la Administración del Estado adscritos a la RCSE y de los convenios de interconexión que se suscriban con instituciones privadas, con indicación de los servicios de seguridad asociados que reciben.

Título IV

Características Técnicas y de Seguridad

Artículo 13.- Redes interconectadas. Las redes interconectadas deberán operar basadas en protocolos y estándares abiertos para redes de paquetes, debiendo ser compatibles con las normas y estándares de internet tales como Internet Protocol (IP) tanto en su versión 4 como su versión 6, o aquellas versiones que las reemplacen en el futuro.

Todas las redes interconectadas deberán cumplir con las recomendaciones de estándares internacionales emitidos por ISO/IEC, IEEE, NIST, y los estándares técnicos que emita la Agencia, de conformidad a lo dispuesto en el literal b) del artículo 11 de la ley.

Artículo segundo: Derógase el decreto supremo Nº 5.996, de 1999, del Ministerio del Interior y Seguridad Pública, que crea la Red Interna (Intranet) del Estado y entrega su implementación, puesta en marcha, administración, coordinación y supervisión al Ministerio del Interior, en el momento que el presente reglamento comience a regir.

Artículo tercero: Derógase el decreto supremo Nº 1.299, de 2004, del Ministerio del Interior y Seguridad Pública, que establece nuevas normas que regulan la Red de Conectividad del Estado que administra el Ministerio del Interior y fija los procedimientos, requisitos y estándares tecnológicos para la incorporación a dicha red de instituciones públicas, en el momento que el presente reglamento comience a regir.

DISPOSICIONES TRANSITORIAS

Primero.- El presente reglamento comenzará a regir desde la fecha de su publicación en el Diario Oficial.

Segundo.- Las organizaciones integrantes de la Red de Conectividad del Estado definidas en los decretos supremos Nº 5.996, de 1999 y Nº 1.299 de 2004, ambos del Ministerio del Interior y Seguridad Pública, pasarán automáticamente a ser integrantes de la Red de Conectividad Segura del Estado.

Tercero.- Las instituciones que a la fecha de dictación del presente reglamento no sean integrantes de la Red de Conectividad del Estado deberán incorporarse a la RCSE conforme el cronograma que defina la Agencia, el cual será aprobado mediante resolución del Director o Directora y visado previamente por la Dirección de Presupuestos del Ministerio de Hacienda. Dicha resolución deberá ser dictada en el plazo de un año, contado desde la publicación de este Reglamento.

Cuarto.- Los órganos de la Administración del Estado tendrán un plazo de un año contado desde la fecha de entrada en vigor del presente reglamento para comenzar a utilizar un subdominio de gob.cl, conforme a lo dispuesto en el artículo 8º de este Reglamento.

Anótese, tómese razón y publíquese.- CAROLINA TOHÁ MORALES, Vicepresidenta de la República.- Manuel Monsalve Benavides, Ministro del Interior y Seguridad Pública (S).- Mario Marcel Cullell, Ministro de Hacienda.

Lo que transcribo a Ud. para su conocimiento.- Atentamente, Andrés Santander Ortega, Subsecretario del Interior (S).