En el año 2018, se aprobó la Ley N.º 21.113 que declaró en Chile a octubre como el mes de la ciberseguridad. Ello se ve reflejado en la recientemente aprobada—y aún no vigente—Ley Marco de Ciberseguridad (Ley N.º 21.663) que crea la Agencia Nacional de Ciberseguridad. Dentro de las funciones de la ANCI, se encuentra la coordinación anual de ejercicios nacionales para comprobar las capacidades que tenemos como país en esta materia. Esto, siempre entendiendo que la ciberseguridad no solo se debe abordar desde un enfoque técnico sino también desde uno estratégico y de cultura.

Considerando que Chile es uno de los países pioneros en la región latinoamericana en materia de ciberseguridad, y que el último Global Cybersecurity Index de la ITU nos colocó dentro de un nivel Tier—3 “Establishing” (‘estableciéndose’), acorde a los pilares que conforman la evaluación del mencionado índice, las medidas legales, técnicas, organizativas, de desarrollo de capacidades y de cooperación nos marca como un país que demuestra un compromiso básico en materia de ciberseguridad con el fin de cubrir la evaluación, establecimiento o implementación de medidas aceptadas en ciberseguridad en los pilares evaluados. Por ende, nos encontramos en una posición bastante sólida.

Uno de los puntos clave ha sido el avance legislativo en el país, especialmente si se toma en cuenta la Ley de Delitos Informáticos (Ley N.º 21.459), en el cual Chile fue uno de los primeros países en adecuar su legislación interna al Convenio sobre Ciberdelincuencia (Budapest Convention), y la recientemente aprobada Ley Marco de Ciberseguridad, que toma como referencia la Directiva Europea NIS2. Esta directiva tiene como objetivo aumentar el nivel en materia de ciberseguridad en los estados miembros de la Unión Europea. Además, el 17 de octubre de 2024, acorde al artículo 41, se deberían adoptar y publicar las medidas necesarias para cumplir con la regulación a través del proceso de transposición a sus ordenamientos jurídicos internos; algo que se ha basado en las regulaciones más actualizadas en la materia.

ADVERTISEMENT

Cassie IAPP Leaderboard - AI Checklist-041024-WP

A nivel nacional, uno de los puntos interesantes dice que, en relación con la existencia de diversos regímenes sectoriales, como el sector financiero, eléctrico o de telecomunicaciones, entre otros, ya han avanzado en la adopción de estándares de ciberseguridad, especialmente en lo que dice con relación al reporte de incidentes de ciberseguridad u operacionales que afecten a los sistemas informáticos críticos o datos informáticos, entre ellos, los de carácter personal. Además, considerando que, si bien la ley ya se encuentra publicada, pero su vigencia—entre varios aspectos—está supeditada a la dictación de una serie de reglamentos, se presentó a inicios de octubre una serie de reglamentos para la toma de razón en la Contraloría General de la República, en detalle:

  1. Decreto N.º 276, que trata sobre el funcionamiento del Consejo Multisectorial sobre Ciberseguridad. Este Consejo tiene por finalidad: ser un órgano consultivo que asesora y formula recomendaciones a la Agencia en cuanto a la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y propone medidas para abordarlas. Su composición permitirá representar a los sectores público, privado, y academia.
  1. Decreto N.º 285, que trata sobre el procedimiento de calificación de los operadores de importancia vital, indica las diversas etapas del procedimiento, que incluye una consulta pública y la posibilidad de presentar recursos en contra de la calificación que realice el director de la ANCI. Este tema es de suma relevancia, considerando que la normativa indica que dentro de los sectores señalados como esenciales, siempre existirá la posibilidad de que, por el carácter estratégico y crítico que adquiera—sin ser de aquellas que prestan servicios esenciales—, pueda ser declarada operador de importancia vital mediante resolución del director.
  1. Decreto N.º 292, que trata sobre el Registro de Entidades Certificadoras, que tiene por finalidad establecer los requisitos para las entidades certificadoras, debiendo ser personas jurídicas nacionales o extranjeras, públicas o privadas, domiciliadas en Chile, que cumplan requisitos que se establezcan en el reglamento. Lo relevante de este reglamento es la posibilidad de homologar ciertos estándares internacionales en materia de sistemas de gestión de seguridad de la información, tales como ISO 27.001, y que son altamente utilizados en la industria para efectos de gestionar los riesgos de una organización y, en particular, para el cumplimiento de los deberes específicos de aquellas organizaciones que sean declaradas operadores de importancia vital.
  1. Decreto N.º 293, que aprueba el funcionamiento de la Red de Conectividad Segura del Estado y las obligaciones especiales de los organismos de la administración del Estado. Es importante indicar que la RCSE ya existía a nivel reglamentario. La Ley Marco de Ciberseguridad ahora reconoce legalmente su existencia. Además, establece la obligatoriedad de que determinados órganos de la administración del Estado se conecten a ella. En ese sentido, es importante mencionar lo indicado por el Decreto N.º 273 de 2022, que establece la obligación de reportar incidentes de ciberseguridad de los órganos de la administración centralizada y descentralizada del Estado, especialmente de aquellos que se encuentran conectados a la mencionada Red.
  1. Decreto N.º 295, que establece el reporte de incidentes de ciberseguridad para aquellas instituciones públicas y privadas que presten servicios calificados como esenciales y aquellas que hubieren sido calificadas como operadores de importancia vital, especialmente, en cuando se trata de aquellos ciberataques e incidentes de ciberseguridad que pueden tener efectos significativos. Además de clasificar al incidente, quienes presentan informes a nivel de alerta temprana, deberán enviarlos tanto de avance como de cierre del incidente.

Finalmente, la Ley Marco de Ciberseguridad aún no entra en vigor y se debe esperar la dictación de los decretos con fuerza de ley que indican las disposiciones transitorias, ya que la ley ha provocado mucho interés en los diversos sectores, especialmente el privado. En particular, en un entorno en el cual han surgido muchas regulaciones de índole tecnológica (p. ej. open finance), algunas, como aquellas relacionadas con la protección de datos personales, están pronto a ser publicadas. Para cumplir con las exigencias que un entorno dinámico de amenazas cibernéticas nos presenta, la promoción del trabajo interdisciplinario entre áreas que usualmente no han tenido que trabajar en conjunto, será fundamental, considerando que las organizaciones deberán priorizar recursos para abordar el cumplimiento de esta normativa con enfoques integrales ante el riesgo.

Juan Pablo González Gutiérrez es el abogado y académico en Derecho y Nuevas tecnologías.