Nueva Ley Marco de Ciberseguridad e Infraestructura Crítica

El 12 de diciembre 2023, el Senado de la República aprobó las enmiendas de la Cámara de Diputados al proyecto de Ley sobre Ciberseguridad e Infraestructura Crítica de la Información, cumpliendo su tercer trámite legislativo y quedando en condiciones de ser promulgada como Ley.

Este quiere decir que se establece un nuevo marco normativo a nivel nacional para hacer frente al creciente escenario de amenazas cibernéticas. De esta forma, Chile ahora cuenta con un cuerpo legal que establece estándares mínimos que se encuentran alineados con buenas prácticas Internacionales sobre ciberseguridad.

¿Qué es lo que cambia con la nueva ley?

Uno de los principales cambios es un nuevo modelo de gobierno a nivel nacional con la creación de varias entidades, como:

Agencia Nacional de Ciberseguridad (ANCI)

Esta institución se establecerá como un servicio público descentralizado (con personalidad jurídica y patrimonio propio) que ejercerá las funciones de regular, fiscalizar y sancionar el no cumplimiento de las obligaciones. 

CSIRT de Defensa 

Se llevará la creación de un Equipo de Respuesta a Ciberataques o incidentes de Ciberseguridad para organismos del Estado, que dependerá del Ministerio de Defensa (con jurisdicción en las ramas de la defensa y los CSIRT institucionales de las ramas castrenses).

Consejo Multisectorial 

Tendrá un carácter consultivo para asesorar y recomendar a la ANCI, el cual estará presidido por el Director de la ANCI y compuesto por 6 profesionales destacados de la Ciberseguridad, que serán designados por el Presidente de la República.

Comité Interministerial

Tendrá el rol de asesorar al Presidente de la República junto con los miembros de ministerios relevantes en la materia para proponer cambios a la normativa, coordinar la implementación de la Política Nacional de Ciberseguridad, aprobar la lista de servicios esenciales propuestos por la ANCI y revisar las recomendaciones del Consejo Multisectorial.

Todos ellos tendrán el objetivo de articular las políticas y medidas que se requieren
para hacer frente a los riesgos de Ciberseguridad a nivel nacional. 

Sin embargo, se deja claro que en industrias donde ya existe una normativa sectorial, esta tiene prevalencia y estará a cargo del organismo regulador del sector, siempre y cuando las normas establecidas consideren las obligaciones que se plantean en esta ley.

¿Quiénes se ven afectos a las nuevas obligaciones?

Dependiendo de la industria y la naturaleza de los servicios que preste la empresa, se definen varios tipos de organizaciones sujetas a estas obligaciones, las cuales han sido consideradas en función de su impacto a las actividades, integridad o salud de las personas, economía, funciones del Estado o defensa nacional en caso de presentar un incidente:

• Organizaciones que presten servicios esenciales a nivel Estado como administración del Estado, Coordinador Eléctrico Nacional, Servicios prestados bajo concesión de servicio público.
• Organizaciones que presten servicios digitales o físicos esenciales a nivel privado como generación, transmisión y distribución eléctrica; transporte; almacenamiento y distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; etc.
• Administración de prestaciones de seguridad social.
• Servicios postales y de mensajería.
• Hospitales, clínicas, consultorios, centros médicos.
• Producción e investigación de productos farmacéuticos.
• Otros servicios de la agencia ANCI que pudieran llegar a afectar la vida, integridad física, abastecimiento, medioambiente, normal funcionamiento de la sociedad, seguridad y orden público.
• Empresas del Estado y sociedades donde el Estado tenga participación superior al 50% o mayoría en el directorio.
• Organizaciones específicas del Estado con un régimen especial como el Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión, los cuales tendrá la obligación de dictar sus propias normativas.
• Organizaciones consideradas como operadores de importancia vital, que cumplan algunas de estas condiciones:
  • La provisión de sus servicios depende de redes y sistemas informáticos.
  • La afectación tenga impacto significativo en la seguridad y orden público.
  • Provisión regular y continua de servicios para el efectivo funcionamiento del Estado.
  • Otros operadores según calificación formal de la ANCI que cumplan un rol critico en el abastecimiento de la población, distribución de bienes, producción de bienes importantes o por el grado de exposición a riesgos de ciberseguridad, todas ellas que tengan consecuencias sociales.

Con todo, la ANCI considerará principios de proporcionalidad en cuanto a las actividades y tamaño de las organizaciones que están involucradas.

Nuevas obligaciones: ¿Qué debemos cumplir?

Dentro de las obligaciones a las cuales estaremos sujetos podemos mencionar el siguiente listado como principal:

1. Mantener medidas para prevenir, resolver y reportar incidentes de ciberseguridad: podrán ser de carácter tecnológico, organizacional, físico o informativa.
2. Cumplimiento de los estándares que emita la ANCI: se dictarán requisitos
   específicos que convivirán con las actuales normativas sectoriales (probablemente se tomen estándares internacionales como base), teniendo prevalencias los dictámenes sectoriales.
3. Implementación de un Sistema de Gestión de Seguridad de
   Información (SGSI): es un muy buen camino para la creación de procesos que permitan la mantención de medidas efectivas y de demostración de cumplimiento. Se considerarán los entes internos/externos, procesos y activos que son parte de los servicios esenciales o de importancia vital.
4. Elaboración de planes de continuidad operacional y ciberseguridad: se refiere a la creación de roles, responsabilidades, actividades de preparación, prueba y lecciones aprendidas, que necesitarán ser más formales para demostrar cumplimiento.
5. Realización de revisiones, ejercicios, simulacros, análisis sobre de
   redes y sistemas: formalizar la implementación de programas para fortalecer las capacidades de detección, así como auditorías, escaneos, pentest, ejercicios red/blue team, threat hunting, inteligencia de amenazas, ethical phishing, entre otros. A esto se suma la obligación de comunicación de estas medidas al CSIRT Nacional.
6. Adoptar medidas para reducir impacto: cuando nos enfrentamos a un
   riesgo que se debe mitigar, se deben implementar medidas que bajen la probabilidad
   de ocurrencia y medidas que disminuyan el impacto en caso de ocurrir.
7. Obligación de informar a los afectados: esta obligación nos lleva a fortalecer nuestros programas de comunicación con la identificación adecuada de afectados durante el ciclo de vida de los incidentes.
8. Programas de capacitación, formación y educación: se tendrá que formalizar y construir esta capacidad con procesos formales, recurrentes con un responsable, que permitan entregar las herramientas a nuestros colaboradores. Obligación que dictamina la
   actualización de las materias que se impartirán, así como también algún tipo
   de segmentación de contenidos por tipos de usuarios para ser efectivas.
9. Obligación de reportar: en base a los protocolos que establezca la ANCI,
   CSIRT Nacional y CSIRT Defensa, las organizaciones privadas deberán reportar incidencias bajo un preiodo de tiempo establecido: 3 horas desde la toma de conocimiento, actualizaciones periódicas de estado (ejemplo 72 horas) y plazo para entrega de informe final (15 días). Esto obligará a los responsables de la coordinación de la respuesta a incidentes a manejar procesos y SLA para poder cumplir con estos tiempos.
10. Designar una contraparte: para efectos de coordinación y comunicaciones con la ANCI.
11. Informar vulnerabilidades e incidentes: proveedores de servicios TI del estado deberán informar vulnerabilidades e incidentes que puedan afectar a los organismos del
    Estado.

Mencionado lo anterior, el SGSI y los planes de continuidad operacional y de ciberseguridad, deberán cumplir con certificaciones que podrían ser de organizaciones acreditadas por la ANCI o certificaciones formales internacionales.

Sanciones por incumplimiento

Se establecen importantes sanciones a las organizaciones privadas por incumplimiento con montos que van desde 1 a 40.000 UTM, dependiendo si la infracción se tipifica como leve, grave o gravísima. 

Las sanciones son atribuciones de la Agencia donde existe posibilidad de aceptar o impugnar los cargos realizados por incumplimiento, incluyendo procedimiento abreviado para pago y descuento.

Recomendaciones generales

Aquellas organizaciones afectas por esta Ley, que en la actualidad ya se encuentra reguladas por una normativa sectorial, tienen buena parte del camino recorrido con las medidas que esas normas a nivel país pide implementar, solo quedará ver las directrices específicas de la ANCI.

Por otra parte, aquellas que actualmente no están afectas a una regulación de ciberseguridad, tendrán desafíos importantes de cumplimiento con plazos de implementación que no podrán ser inferiores a 6 meses y un plazo de 1 año desde la publicación en el diario oficial.

Con todo, las recomendaciones iniciales que se pueden señalar son las siguientes:

1. Si su organización ya está regulada por una norma de ciberseguridad
   sectorial, se recomienda esperar el desarrollo de las directrices y protocolos
   que dictará la ANCI. Se asume que a día de hoy, todas estas empresas ya cuentan con procesos, soluciones y servicios formales medidos.
2. En caso de que su organización no este afecta a una regulación específica, deberá identificar si cae dentro de las definiciones de servicio esencial o importancia vital (por ejemplo, que afecte la infraestructura crítica), para identificar las brechas de medidas que se exigen en esta Ley para implementarlas.
   1. Nombrar a la contraparte ANCI y otorgar la responsabilidad y autoridad para
      comenzar a orquestar el cumplimiento.
   2. Establecer una organización para la seguridad dentro de su compañía que esté aprobada por la alta dirección u directorio, logrando su compromiso.
   3. Buscar soporte de servicios digitales y soluciones especializadas que le ayuden en su
      camino al cumplimiento. Recuerde que 12 meses para cumplir con las obligaciones es un periodo muy corto.
   4. Realizar un análisis de brechas de su organización en base, existen varios
      estándares y frameworks internacionales que le ayudarán en el “qué”, los
      “cuáles” que sin duda serán considerados por la ANCI en la regulación específica.

Prepárate para la nueva ley de ciberseguridad nacional

En resumen, se crearán múltiples entidades para establecer nuevos estándares de seguridad para proteger la infraestructura crítica del país. Contexto donde las organizaciones con cumplimientos sectoriales ya establecidos no tendrán grandes complicaciones, sin embargo, aquellas que no tengan protocolos predefinidos tendrán un gran desafío, sobre todo por el corto plazo que requieren para implementar estas medidas, por lo que tendrán que apoyarse en expertos en servicios TI.

En cualquier contexto, este paso refuerza la capacidad del país para afrontar riesgos cibernéticos, estableciendo estándares, responsabilidades y promoviendo la seguridad digital a nivel nacional.