Ley Marco de Ciberseguridad: cómo y a qué empresas afecta

Este año entró en vigencia la Ley Marco de Ciberseguridad y la Infraestructura Crítica de la Información, una norma que regula, fiscaliza y sanciona las acciones de ciertas empresas en esta materia. Junto con esto, comenzó a funcionar la Agencia Nacional de Ciberseguridad (ANCI).

No obstante, la normativa establece una serie de pasos que se irán cumpliendo durante los próximos meses y que irán haciendo efectiva la norma en general.

En este sentido, el ex subsecretario de Telecomunicaciones y docente del Centro de Ciberseguridad de la Universidad Mayor, Pedro Huichalaf, estima que este año ya estará operativa la ley.

Cuando suceda esto, las empresas deberán cumplir con los estándares de ciberseguridad que establece la normativa, sino se enfrentarán a importantes sanciones. Las infracciones “leves” tendrán multas desde las 5 mil UTM, aunque en los casos “gravísimos” se castigará hasta con 40 mil UTM.

¿Qué empresas tienen que cumplir las obligaciones que establece la Ley Marco de Ciberseguridad?

Huichalaf afirma que “la ley se aplica a instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital (OIV)”.

Junto a ello, el Ingeniero en Plataformas, Carlos Thompson, explica que las empresas afectadas por esta ley son “todas las públicas y aquellas que trabajen bajo modalidad de concesión de servicios públicos e instituciones privadas en general“.

Los servicios escenciales

La ley menciona que como servicios escenciales se considerarán las empresas públicas y privadas que trabajen en áreas de: electricidad, agua y saneamiento, salud, transporte, combustibles, telecomunicaciones, infraestructura digital, servicios de información, servicios financieros, entre otras.

Asimismo, el Huichalaf precisa que la ANCI podrá incluir en este grupo a “otras instituciones cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento”. Lo anterior también incluye a sectores económicos, medioambientales, la Administración del Estado, defensa nacional, entre otros.

Los operadores de importancia vital

La agencia también será la que defina qué empresas se considerarán operadores de importancia vital. En este caso, Huichalaf menciona en este grupo se incluirán las empresas cuando “la provisión de dicho servicio depende de redes y sistemas informáticos, y si la afectación, interceptación, interrupción o destrucción de sus servicios tiene un impacto significativo en la seguridad y el orden público“, en los servicios esenciales, las funciones del Estado y sus propios servicios.

Además, la ley menciona que la ANCI puede considerar una empresa como operadores de importancia cuando tengan un “rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país“.

Las pymes

Walter Macuada, líder regional de Ciberseguridad de TSOFT Global, menciona que “las pequeñas y medianas empresas también deberán adoptar medidas de seguridad adecuadas para proteger los datos personales que manejan”.

“En resumen, todas las empresas son afectas a este marco legal, las cuales igualmente se deberán revisar para entender el nivel de cobertura y excepciones que pudiesen llegar a aplicar“, explica el experto de TSOFT Global.

¿Cuáles serán las nuevas obligaciones para las empresas?

Huichalaf menciona que “las empresas que sean identificadas como prestadoras de servicios esenciales u operadores de importancia vital estarán sujetas a las obligaciones de la ley”.

En este sentido, menciona que tendrán que “implementar medidas permanentes para la prevención, reporte y resolución de incidentes de ciberseguridad“.

La normativa menciona que estas acciones deberán considerar los estándares y protocolos que defina el mismo reglamento de la ANCI (que fiscalizará a estas empresas), y los que establezcan las leyes y normas de su sector respectivo.

Estos reglamentos de la ANCI “aún no están definidos porque aún no están claro los servicios esenciales”, menciona el exsubsecretario de telecomunicaciones. “Hay decretos que se deben sacar para hacer exigibles las obligaciones a las instituciones“, afirma Huichalaf.

En este sentido, el experto señala que “no hay fecha exacta para eso porque dependerá que pasen por Contraloría“.

Macuada afirma que “en la ley existen ya definidas sanciones, los tipos de infracciones (leves, graves y gravísimas), así como atenuantes y agravantes. La ley impone sanciones para las empresas que incumplan la normativa, con multas que pueden alcanzar hasta el 4% de los ingresos anuales por ventas y servicios“.

De todas formas, en marzo la ANCI tiene que definir cuáles son los servicios esenciales y los operadores de importancia vital, los que tendrán que cumplir con las obligaciones que impone la ley.

Supervisión, control y tecnología

Macuada afirma que, entre los cambios más relevantes para las empresas se encuentra “el consentimiento explícito e informado, indicar para qué se utilizarán los datos, por qué se necesitan y obtener aprobación para su almacenamiento y uso (…) o incluso solicitar su eliminación”.

Por su parte, Huichalaf afirma que también habrá una “mayor supervisión y control por parte de la Agencia Nacional de Ciberseguridad” sobre las empresas designadas.

Además, los cambios en esta ley buscan alinear la legislación chilena con estándares internacionales, tales como el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, lo cual, según Macuada, elevan “el nivel de protección de datos personales y fortalecen la confianza de los ciudadanos sobre el uso de sus datos”.

Por otra parte, tanto servicios como operadores deben reportar al CSIRT (Equipo Nacional de Respuesta a Incidentes de Seguridad Informática) los ciberataques e incidentes de ciberseguridad en tres etapas: informe previo (en máximo 3 horas), evaluación inicial (en 72 o 24 horas, dependiendo del caso) y un informe final (en 15 días de corrido).

“Todo esto se acompaña con requisitos tecnológicos que ayuden a cumplir con los nuevos estándares de seguridad. Esto puede implicar la implementación de sistemas avanzados de gestión de identidades y accesos, automatización de procesos y cualquier otra tecnología que ayude a mitigar riesgos asociados al tratamiento de datos personales”, menciona Macuada.

Los deberes de los operadores de importancia vital

Por otra parte, en el caso de los operadores de importancia vital, la Ley Marco de Ciberseguridad establece una serie de deberes específicos:

• Sistema de gestión de seguridad: Identificar y evaluar riesgos en redes, sistemas y datos para garantizar continuidad operacional.
• Registro de acciones: Mantener un registro documentado de todas las medidas de seguridad implementadas.
• Planes de continuidad: Elaborar, certificar y revisar cada dos años planes de ciberseguridad y continuidad operacional.
• Revisiones y simulacros: Realizar análisis, pruebas y comunicar amenazas al CSIRT Nacional.
• Medidas de mitigación: Tomar acciones rápidas para reducir el impacto y la propagación de incidentes.
• Certificaciones: Contar con las certificaciones exigidas en el artículo 28 de la ley.
• Notificación de incidentes: Informar a los afectados sobre ciberataques que comprometan su información.
• Capacitación continua: Implementar programas de formación en ciberseguridad y ciberhigiene.
• Delegado de ciberseguridad: Designar un responsable como enlace con la agencia y la organización.