El 8 de abril fue publicada en el Diario Oficial la ley 21.663 sobre ciberseguridad, la cual tiene como objetivo la creación de las instituciones, principios y normas generales que permitan estructurar, regular y coordinar las políticas sobre ciberseguridad de las distintas instituciones públicas y de los particulares que prestan servicios esenciales para el funcionamiento del país.
Conforme a lo anterior, la ley se aplicará a las instituciones públicas y privadas que presten servicios calificados como esenciales.
Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional, los prestados bajo concesión de servicio público y por aquellas instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; y prestación institucional de salud por entidades tales como hospitales y clínicas.
La Agencia Nacional de Ciberseguridad (ANCI) podrá establecer mediante resolución dictada por el Director o la Directora Nacional, a los prestadores de servicios esenciales que sean calificados como Operadores de Importancia Vital, a quienes se les impone deberes específicos para aumentar su seguridad de sus sistemas informáticos.
Con la dictación de la nueva ley se busca establecer un modelo de gobernanza en ciberseguridad, para lo cual quienes se vean afectos a ella deberán aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad.
El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la ANCI. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes puedan tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes o sistemas informáticos, de conformidad con lo prescrito en la presente ley.
Cabe destacar que los servicios esenciales tendrán dos obligaciones: el deber de adoptar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad: protocolos y estándares de la ANCI o sectoriales; y el deber de reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.
La entrada en vigencia de la Ley Marco de Ciberseguridad, se encuentra supeditada a la dictación por el Presidente de la República de uno o más decretos con fuerza de ley que determinarán el periodo de entrada en vigor de las normas de la ley, el que no podrá ser inferior a seis meses desde su publicación.
