La Ley N.º 21.663 fue publicada el día 8 de abril del 2024, denominada «Ley Marco de Ciberseguridad», que viene a crear la Agencia Nacional de Ciberseguridad e Infraestructura Crítica de la Información (ANCI) y otros órganos colegiados, como el Comité Interministerial de Ciberseguridad y el Comité Multisectorial; además de la creación de un equipo ante respuesta de incidentes a nivel nacional (CSIRT, por sus siglas en inglés) y otro del sector de defensa, nos coloca a Chile como el primer país en Latinoamérica en contar con una regulación que toma varios elementos de las regulaciones europeas, especialmente la Directiva Europea de Ciberseguridad «NIS2».
La normativa tiene un ámbito de aplicación limitado, en particular, a los servicios esenciales y aquellos denominados operadores de importancia vital. Los primeros son aquellos servicios provistos por los organismos de la Administración del Estado y el Coordinador Eléctrico Nacional, como aquellos prestados por privados respecto de la generación, transmisión o distribución eléctrica; transporte; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionado por terceros; banca, servicios financieros y medios de pago; prestación de salud, entre otros. Además, reconoce a los operadores de importancia vital, que son aquellos servicios esenciales así calificados por la ANCI, teniendo en cuenta criterios de la dependencia en las redes y sistemas informáticos, como que la afectación, interceptación, interrupción o destrucción tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de los servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
Un punto importante de destacar es que la normativa tiene deberes diferenciados, que grosso modo, en el caso de los servicios esenciales, se refiere a aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad, pudiendo ser medidas de diversa índole, tales como tecnológicas, organizativas, físicas o informativas. En el caso de los operadores de importancia vital, los deberes son específicos, particularmente la implementación de un sistema de gestión de seguridad de la información, evaluando constantemente la probabilidad e impacto de los incidentes de ciberseguridad, aplicando medidas concretas que conforman este tipo de sistemas y, entre ellas, la designación de un delegado de ciberseguridad.
Acorde al artículo 9 de la ley, el deber de reporte de incidentes de ciberseguridad es transversal para aquellas instituciones públicas o privadas que prestan servicios esenciales, y, por ende, puedan ser declaradas operadores de importancia vital. Los plazos que señala la norma son diferenciados, a saber: aquellos incidentes de impactos significativos—determinados en base a criterios como el número de personas afectadas, duración del incidente y extensión geográfica de la zona afectada, acorde al artículo 27º—deben ser notificados dentro de las 3 horas desde el conocimiento de su ocurrencia como una «alerta temprana». Posterior a una evaluación inicial del incidente, su gravedad e impacto, se debe enviar una actualización dentro de las 72 horas que, en el caso de los operadores de importancia vital, se modifica a 24 horas. Finalmente, se debe enviar un informe de situación dentro de 15 días corridos desde el primer reporte.
Esto es bastante interesante a nivel nacional, considerando que actualmente contamos con diversas normativas a nivel sectorial que establecen diferentes tiempos de reportes en industrias reguladas, como financiera, telecomunicaciones, eléctrica, pensiones y seguros, entre otras. Se debe conversar sobre la obligación de reporte de vulnerabilidades que se espera obtener en la pronta normativa sobre protección de datos personales. Finalmente, en el caso de incumplimiento de este deber, se podría configurar una infracción grave o gravísima. En el caso de los servicios esenciales, podría ser de hasta 20.000 UTM (unidad tributaria mensual) mientras en el caso de los operadores de importancia vital, hasta 40.000 UTM.
Para concluir, si bien la ley ya fue publicada, aún no entra en vigor. La normativa incluye varios artículos transitorios. Entre las materias que aborda, se encuentra la facultad del presidente de la república para dictar una serie de reglamentos que indica la norma, dentro del plazo de 180 días desde su publicación (6 meses), además que, dentro de 1 año desde su publicación, dicte una serie de decretos con fuerza de ley (DFL), por ejemplo, indicar la fecha de inicio de las actividades de la Agencia Nacional de Ciberseguridad como la entrada en vigor de varias de sus normas.
Ahora bien, a nivel nacional y especialmente desde el sector privado, existe una alta expectativa de las definiciones que deberá realizar la ANCI, particularmente en cuanto a la coordinación regulatoria con normativa sectorial que ya existe, más el proceso de implementación de los deberes para aquellas organizaciones que prestan servicios esenciales, como el procedimiento en que se declare operador de importancia vital. En ciertos sectores económicos, hasta la fecha, no rige alguna obligación específica en materia de seguridad de la información y/o ciberseguridad, y solo se ha guiado en base al «apetito por riesgo» y las buenas prácticas (ej. ISO o NIST CSF), a fin de mantener seguros los datos de los clientes y, por ende, los sistemas informáticos que los procesan.