La normativa consiste en la creación de la Agencia Nacional de Ciberseguridad (ANCI), junto a cuatro equipos de la misma, lo que proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.

Lista para su promulgación quedó el proyecto de ley sobre ciberseguridad e infraestructura crítica de la información (LMC), tras ser aprobada por ambas cámaras la tarde de este martes.

En concreto, la iniciativa fue aprobada por la Cámara de Diputados y, asimismo, esta misma jornada el Senado también acogió el proyecto por 41 votos a favor y 1 en contra.

La normativa consiste en la creación de la Agencia Nacional de Ciberseguridad (ANCI); el Equipo Nacional de Respuesta a Incidentes Informáticos (Csirt Nacional); el Csirt de la Defensa Nacional; el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.

Lee también...
 Ciberataque mantiene a 72 municipios con sus sitios web comprometidos: trámites virtuales están caídos Jueves 09 Noviembre, 2023 | 10:17

Ley de ciberseguridad: creación de la ANCI

Respecto al primer punto, que trae consigo la formación de la ANCI, se trata de un servicio público cuya función será regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad.

Además, contará con un mecanismo de autorización judicial si la Agencia requiera acceder a una red o sistema informático.

La ley será aplicable a quienes sean considerados como servicios esenciales (SE) para el normal funcionamiento del país y a los operadores de importancia vital (OIV) dentro de los servicios esenciales.

  • La ley considera los siguientes Servicios Esenciales (SE):

    • – Organismos de administración del Estado y el Coordinador Eléctrico Nacional.
    – Los servicios prestados bajo concesión de servicio público.

    Aquellos prestados por instituciones privadas en los siguientes sectores:
    1. Generación, transmisión o distribución eléctrica
    2. Transporte, almacenamiento o distribución de combustibles;
    3. Suministro de agua potable o saneamiento;
    4. Telecomunicaciones; infraestructura digital; servicios digitales y tecnología de la información
    gestionados por terceros;
    5. Transporte terrestre, aéreo, ferroviario o marítimo;
    6. Banca, servicios financieros y medios de pago;
    7. Administración de prestaciones de seguridad social;
    8. Servicios postales y de mensajería;
    9. Prestación institucional de servicios de salud;
    10. Producción y/o investigación de productos farmacéuticos.

    Facultades de la Agencia Nacional de Ciberseguridad

    En detalle, tras la aprobación de la Ley de Ciberseguridad, la ANCI podrá calificar otros servicios como esenciales mediante resolución del o la Directora Nacional cuando su afectación pueda causar un grave daño a la vida o integridad física de la población o a su abastecimiento.

    Asimismo, cuando exista amenaza a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

    No obstante, cabe aclarar que dicha calificación se someterá a consulta ciudadana.

    Además, se establecen criterios generales para la identificación de Operadores de Importancia Vital (OIV):

    – Que la provisión de dicho servicio dependa de las redes y sistemas informáticos.
    – Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: la seguridad y orden público; la provisión continua y regular de servicios esenciales; en el cumplimiento de las funciones del Estado o de los servicios que éste debe proveer o garantizar.

    El proyecto faculta a la Agencia para calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos ya indicados previamente y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos.

    Del mismo modo, la ANCI también puede establecer la importancia por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

    Por lo anterior, la Agencia Nacional de Ciberseguridad tendrá la capacidad de multar a los infractores a la normativa de ciberseguridad.

    Otras agencias sectoriales también podrán hacer uso de estas infracciones siempre en coordinación con la Agencia, permitiendo con ello que ninguna conducta quede sin sanción.

    En caso de que ambas agencias tuvieran la capacidad de multar, se establece el deber de coordinarse para evitar duplicidades o sanciones menos eficaces.

    Las sanciones a aplicar por la Agencia de Ciberseguridad van de 0 a 5000 UTM (Unidades Tributarias Mensuales) en el caso de las infracciones leves para las SE y hasta 10.000 UTM para las OIV.

    En el caso de las infracciones graves, hasta 10.000 UTM para las SE y 20.000 UTM para las OIV. En tanto, en situaciones gravísimas, las multas alcanzan las 20.000 UTM para las SE, y las 40.000 UTM para los OIV.