Los retos de la implementación de la Ley Marco de Ciberseguridad

Los ciberataques han ido en aumento en los últimos años, afectando a organismos públicos y privados. Sólo en el primer semestre de este año, Chile se posicionó como el quinto país de la región en recibir más intentos de ciberataques, con 4.000 millones, según Fortinet. Esta situación, y la aceleración de la transformación digital, llevó a que el Congreso despachara en tiempo récord el proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica el martes pasado.

La futura normativa, que fue aprobada en forma unánime en ambas cámaras, busca robustecer al país en materia de ciberseguridad, establece una nueva institucionalidad y diferentes principios para la estructuración, regulación y coordinación de las acciones de ciberseguridad de los organismos del Estado.

La iniciativa también determina obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.

“También reconocemos la necesidad de educar y concientizar a los trabajadores sobre prácticas seguras y fomentar la innovación de manera segura” Francisco Guzmán, presidente de ACTI

En materia de institucionalidad, crea la Agencia Nacional de Ciberseguridad (ANCI), la cual tendrá facultades regulatorias, fiscalizadoras y sancionatorias para los organismos de la administración del Estado y las instituciones privadas; el Comité Multisectorial sobre Ciberseguridad; y el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional (Csirt Nacional).

Respecto del cronograma de implementación, desde la Subsecretaría del Interior respondieron por escrito las consultas de DF y señalaron que este considera varias etapas a partir de la publicación de la ley en el Diario Oficial.

Primero se deben crear los nuevos servicios, como la ANCI o el Csirt Nacional, a través de uno o más decretos (la cantidad dependerá del Presidente, ya que la norma lo faculta). Luego se les traspasa a los nuevos organismos los bienes y recursos repartidos en otros organismos del Estado. Las agencias sólo podrán comenzar a ejercer sus funciones pasados seis meses desde que se firmaron los decretos.

“Hay que definir los perfiles profesionales y el proceso de instalación de las capacidades tecnológicas que se requieren. Todo esto debiera tomar al menos los primeros seis meses”, respondió la subsecretaría.

Añadió que, en primera instancia, el principal desafío será instalar y fortalecer las capacidades de respuesta a incidentes de ciberseguridad, enfocándose en medidas preventivas.

Desafíos y obligaciones para las empresas

El presidente de la Asociación Chilena de Empresas de Tecnologías de Información (ACTI), Francisco Guzmán, señaló que las compañías del sector TI tendrán retos importantes para implementar los cambios que trae la nueva regulación.

“Cumplir con la normativa va más allá de una obligación formal; es un compromiso con el país donde la continuidad de los servicios esenciales es fundamental para mantener una economía saludable y un flujo ininterrumpido de información y transacciones”.

Entre los principales desafíos para el sector, Guzmán destacó que las empresas deberán ajustarse a los nuevos requisitos mínimos, cumplir con la normativa y colaborar con la ANCI, así como otras entidades. “También reconocemos la necesidad de educar y concientizar a los trabajadores sobre prácticas seguras y fomentar la innovación de manera segura”, dijo.

Guzmán enfatizó en la importancia de mantener un canal abierto para la comunicación y colaboración entre las instituciones y la ANCI. “Con una colaboración sólida y un enfoque proactivo, generaremos una hélice virtuosa y superaremos estos retos, avanzando hacia un panorama digital más protegido y resiliente para Chile”, agregó.

En tanto, el abogado socio de Magliona Abogados y experto en protección de datos, Claudio Magliona, señaló que, tras la implementación de la ley, los operadores vitales y prestadores de servicios esenciales deberán comunicar a la ANCI cualquier ciberataque o riesgo de ciberseguridad, cuyos plazos dependerán de la gravedad del incidente.

“Esta no es una ley de aplicación general, es una ley de aplicación limitada a quienes prestan servicios esenciales y quienes sean operadores vitales”, dijo.

La lista de empresas e instituciones públicas y privadas que entran en esta categoría, las definirá la ANCI una vez que inicie operaciones.

Magliona señaló que estas entidades, además de informar las amenazas, deberán desarrollar un modelo de seguridad, que contemple prevención, detección y control de daños.

Añadió que,en las entidades privadas, las multas por faltas a la ley comprenden desde las 20.000 a las 40.000 UTM, las cuales fluctuarán según si son leves, graves o gravísimas, dependiendo del incumplimiento.

Las obligaciones entrarán en vigencia a partir de seis meses desde el o los decretos que emita el Presidente de la República.