El 15 de marzo de 2022 ingresó al Congreso el Proyecto de Ley que Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Proyecto de Ley – Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información
Antecedentes
El 15 de marzo de 2022 ingresó al Congreso el Proyecto de Ley que Establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
El proyecto (Boletín 14847-06) se funda en la importancia de la ciberseguridad en todo el proceso de adaptabilidad a la sociedad digital, aplicación y desarrollo de tecnologías, en la generación de servicios, y en los procesos productivos. La cultura de la ciberseguridad debe concretarse en su institucionalización, a través de un órgano especializado que se dedique a proteger los bienes y activos de la sociedad digital.
En concreto, el proyecto busca establecer el marco regulatorio necesario para el desarrollo de la ciberseguridad, tanto en su dimensión operativa como regulatoria.
Disposiciones generales
El objeto del proyecto es establecer la institucionalidad, principios y normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los órganos de la Administración del Estado, estableciendo mínimos para prevención, contención, resolución y respuesta de incidentes de ciberseguridad; además de establecer atribuciones, obligaciones y deberes de instituciones públicas y privadas.
Se enumeran principios rectores que guían el proyecto de ley, incluyendo, entre otros, los principios de responsabilidad, protección integral, confidencialidad de los sistemas de información y control de daños.
Infraestructura Crítica de la Información
El Consejo Técnico de la Agencia Nacional de Ciberseguridad determinará cada dos años, los sectores o instituciones que posean una infraestructura de la información calificada como crítica.
Factores para determinar si una institución o un sector contiene Infraestructura Crítica:
(i) el impacto de una interrupción o mal funcionamiento de sus componentes,capacidad del sistema o infraestructura para ser reparado o sustituido en un corto plazo,
(ii) capacidad del sistema o infraestructura para ser reparado o sustituido en un corto plazo,
(iii) si una falla o ausencia de servicio puede suponer pérdidas financieras relacionadas al PIB, o
(iv) la afectación relevante del funcionamiento del Estado y sus órganos.
Se entiende que todos los Órganos del Estado, incluidas municipalidades, entidades fiscales autónomas, empresas del Estado o aquellas en que el Fisco tiene intervención por aportes de capital, tienen infraestructura crítica.
Las instituciones con infraestructura crítica deben cumplir con deberes generales de medidas de seguridad tecnológicas, organizacionales, físicas e informativas para prevenir, reportar y resolver incidentes de ciberseguridad. El proyecto señala, además, deberes específicos, tales como la implementación de un sistema de gestión de riesgo permanente, un registro de acciones que compongan el sistema de gestión de riesgo, entre otros.
Agencia Nacional de Ciberseguridad
La Agencia Nacional de Ciberseguridad es un servicio público funcionalmente descentralizado, cuyo objeto será asesorar al Presidente en materias de ciberseguridad, colaborar en la protección de intereses nacionales en el ciberespacio, coordinar el actuar de instituciones con competencia en materia de ciberseguridad, y regular y fiscalizar las acciones de las instituciones que no se encuentren sometidas a la competencia de un regulador o fiscalizador sectorial y que posea infraestructura de la información calificada como crítica. Puede dictar normas técnicas de carácter general, establecer estándares mínimos de ciberseguridad, coordinar con los CSIRT, fiscalizar y sancionar.
La Agencia estará a cargo de un Director Nacional, electo de acuerdo a la ley 19.882.
La Agencia tendrá bajo su responsabilidad el Registro Nacional de Incidentes de Ciberseguridad, en donde se ingresarán los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio, que se regulará en un reglamento del Ministerio del Interior.
Finalmente, se crea el Consejo Técnico de la Agencia Nacional de Ciberseguridad, que asesorará y apoyará técnicamente a la Agencia, y elaborará el informe bianual sobre infraestructura de la información crítica.
Equipos de Respuesta a Incidentes de Seguridad Informáticos (“CSIRT”)
1.- Nacional
Sus funciones son responder ante incidentes de ciberseguridad, coordinar a los CSIRT sectoriales, servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes, prestar asesoría técnica, entre otros.
2.- Sectorial
Los reguladores sectoriales podrán constituir CSIRT sectoriales para dar respuesta a incidentes de ciberseguridad que pongan en riesgo los sistemas, equipos y servicios de sus respectivos sectores.
La Agencia informará a los CSIRT sectoriales cualquier tipo de vulnerabilidades que existan o sean detectadas en los Órganos de la Administración del Estado o en instituciones privadas que se haya determinado que tienen una infraestructura de la información crítica, y a su vez, es deber de los CSIRT sectoriales informar a estos últimos; además, deben informar de forma anónima a su sector regulado los reportes de incidentes de ciberseguridad.
Por otra parte, cada institución que posea infraestructura crítica debe informarle a su respectivo CSIRT los reportes de incidentes de ciberseguridad en un plazo no superior a 24 horas. Los CSIRT deben informar a la Agencia, a más tardar una hora después, cualquier tipo de incidente de ciberseguridad que haya tenido un impacto
significativo. Se entiende como significativo si: (a) afecta a una gran cantidad de
usuarios; (b) la interrupción es de larga duración; (c) afecta sistemas de información que contengan datos personales; o (d) afecta la integridad física, la salud, o la vida cotidiana de las personas de manera significativa.
3.- De Gobierno
CSIRT sectorial especial, responsable de la prevención, contención, protección, detección, recuperación de los sistemas y respuesta, asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de tecnología de la información del Estado.
4.- De Defensa
CSIRT sectorial especial, dependiente del Ministerio de Defensa Nacional, responsable de la coordinación y protección de la infraestructura crítica, y de los recursos digitales del sector defensa, además de cumplir las tareas que le sean encomendadas para resguardar la seguridad nacional.
Reserva de información en el sector público
e considerarán secretos y de circulación restringida los antecedentes y registros que obren en poder de los CSIRT, o de su personal. Esta reserva solo puede levantarse con autorización del Director Nacional de la Agencia. La infracción de la reserva será sancionada en la forma prevista en el Código Penal, en lo concerniente a publicación de información secreta o reservada por empleados públicos, pudiendo incurrir desde multas hasta penas privativas de libertad, independiente de la responsabilidad administrativa que además procediere.
Infracciones y sanciones
Son infracciones: (a) Retardar o entregar fuera de plazo señalado la información a la autoridad habilitada para requerirla; (b) Negar injustificadamente información a la autoridad habilitada para requerirla; (c) Entregar maliciosamente información falsa o manifiestamente errónea, e (d) Incumplir con los deberes generales y específicos que tienen los órganos del Estado y las instituciones con infraestructura crítica. Las multas serán de entre 10 y 20.000 Unidades Tributarias Mensuales, conforme a si es una falta gravísima, grave, o leve.
Las sanciones serán impuestas por resolución del Director de la Agencia, y el procedimiento sancionatorio deberá fundarse en un procedimiento racional y justo, establecido en un reglamento que emita el Ministerio del Interior y Seguridad Pública.
Comité Interministerial de Ciberseguridad
El Comité Interministerial de Ciberseguridad será presidido por el Subsecretario del Interior, y tendrá como función asesorar al Ministro del Interior y Seguridad Pública en materias de Ciberseguridad relevantes para el funcionamiento de los Órganos de la Administración del Estado y de servicios esenciales. Las normas de funcionamiento del Comité se encontrarán en un reglamento que emita el Ministerio del Interior y Seguridad Pública.