Digital
Con la amplia mayoría, el Senado despachó a ley el proyecto que creará la Agencia Nacional de Ciberseguridad, el Equipo Nacional de Respuesta a Incidentes Informáticos, entre otros importantes avances.
La ley, que complementará la Política nacional de ciberseguridad 2023-2028, está lista para ser promulgada bajo el nombre de “Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información”.
Este proyecto permite que se cree la Agencia Nacional de Ciberseguridad (ANCI); el Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT Nacional); el CSIRT de la Defensa Nacional; el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado. Esta última, proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.
En palabras de la ministra del Interior, Carolina Tohá, “este proyecto nos va a poner a la vanguardia en la región latinoamericana en esta materia. Vamos a tener una agencia encargada de este tema que va a definir estándares tanto para los servicios esenciales como para los operadores que tienen funciones vitales”.
En octubre del año pasado, el Comité Asesor de la Hoja de Ruta de Ciberseguridad, impulsada por Microsoft y el Centro de Innovación UC Anacleto Angelini, emitió un comunicado alertando sobre la necesidad de actuar desde la urgencia de institucionalizar la ciberseguridad, recomendando una institucionalidad con liderazgo y base técnico-tecnológica.
“Esta política pública surge de esfuerzos colaborativos, trasciende gobiernos y nos une como país. En la Hoja de Ruta de Ciberseguridad, las distintas industrias, la academia y el sector público se alinearon para mejorar la ciberseguridad del país”, afirma Francisca Yáñez, national technology officer de Microsoft y Chair de la Hoja de Ruta de Ciberseguridad.
Por su parte, Ramón Molina, director ejecutivo del Centro de Innovación UC y Co- chair de la iniciativa, destaca que “esta ley plantea de forma explícita la necesidad de mecanismos de colaboración público-privados e interinstitucionales. Además, la Agencia Nacional de Ciberseguridad que creará esta ley tendrá un rol de fomento del I+D+i. Todos estos son ámbitos que desarrollamos ampliamente en la Hoja de Ruta, que ya tienen resultados escalables”.
La Agencia Nacional de Ciberseguridad tiene como objetivo principal asesorar al Presidente de la República en dichas materias, y además, podrá calificar otros servicios como esenciales, mediante resolución del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento.
Los criterios generales para la identificación de los Operadores de Importancia Vital -que tendrán la obligación de prevenir, reportar y resolver incidentes de ciberseguridad-, son que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: la seguridad y orden público, la provisión continua y regular de servicios esenciales en el cumplimiento de las funciones del Estado o de los servicios que este debe proveer o garantizar.
Lo anterior supone desafíos tecnológicos, de talentos y organizacionales. En particular, estos deberán adicionalmente asegurar, entre otras cosas, la certificación de sus planes y programas de capacitación continua a sus equipos.
La ley considera Servicios Esenciales a los organismos de administración del Estado y el Coordinador Eléctrico Nacional; y los servicios prestados bajo concesión de servicio público.
En cuanto al mundo privado, son considerados servicios esenciales los que provean: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o
saneamiento; telecomunicaciones, infraestructura digital, servicios digitales y tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de servicios de salud; y producción y/o investigación de productos farmacéuticos.
También se destaca que la agencia podrá multar a los infractores de la normativa de ciberseguridad, donde las sanciones se categorizan en leves, que van entre 0 a 5000 UTM para los Servicios Esenciales (SE) y hasta 10.000 UTM para los Operadores de Importancia Vital (OIV).
