Ley Marco de Ciberseguridad 21663: Una obligación legal y una ventaja estratégica para las organizaciones en Chile

La Ley Marco de Ciberseguridad 21.663, promulgada en marzo de 2024, marca un hito significativo en la protección de infraestructuras críticas y la información sensible en Chile. En un entorno cada vez más digitalizado, donde los sistemas informáticos y las telecomunicaciones se han convertido en componentes fundamentales del funcionamiento de los sectores económico, social y político, esta ley establece las bases para una ciberseguridad robusta y efectiva en el país. A continuación, se exploran las claves de esta legislación y cómo impacta en las empresas y sectores claves.

El propósito central de la Ley 21.663 es ofrecer un marco legal para prevenir, detectar y responder de manera efectiva ante incidentes de ciberseguridad. La norma tiene un enfoque integral, buscando proteger tanto las infraestructuras críticas del Estado como los sectores privados de alto impacto, garantizando la continuidad operativa ante ciberamenazas. Esta ley responde a la creciente necesidad de proteger activos digitales vitales para el desarrollo nacional, desde el sector público hasta los servicios esenciales privados.

La Ley Marco de Ciberseguridad concentra su aplicación en dos grupos fundamentales de actores: Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV). Estos actores están directamente involucrados en la operación de sectores esenciales para la vida nacional y deben implementar medidas de seguridad estrictas para proteger sus infraestructuras digitales.

Entre los sectores que se consideran servicios esenciales se incluyen:

• Energía y suministro eléctrico
• Telecomunicaciones
• Transporte
• Servicios financieros
• Salud
• Infraestructura digital y servicios de tecnología de la información

Estos sectores son fundamentales para la estabilidad y el funcionamiento diario de la sociedad chilena. Si bien no todas las entidades dentro de estos sectores son clasificadas como OIV, las que sí lo sean deben cumplir con requisitos más estrictos en términos de ciberseguridad, como la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) y planes de continuidad operativa.

Los OIV, que pueden incluir a entidades de mayor impacto dentro de los sectores esenciales, son los actores sujetos a obligaciones adicionales. Estas entidades deben cumplir con:

1. Implementación de un SGSI conforme a estándares internacionales, como los de la familia ISO 27000.
2. Elaboración e implementación de planes de continuidad operativa y ciberseguridad.
3. Revisión continua de la seguridad informática a través de simulacros, auditorías y análisis de redes.
4. Certificaciones de ciberseguridad que serán definidas por la Agencia Nacional de Ciberseguridad (ANCI).

Una de las grandes innovaciones de la Ley 21.663 es la creación de la Agencia Nacional de Ciberseguridad (ANCI), un organismo autónomo encargado de regular, supervisar y coordinar todas las actividades relacionadas con la ciberseguridad en Chile. La ANCI tiene una amplia gama de responsabilidades, que incluyen la definición de estándares, la evaluación de riesgos, y la supervisión del cumplimiento de las obligaciones por parte de los actores clave.
Entre sus funciones más relevantes, la ANCI tiene el poder de calificar a ciertos actores como OIV en función del impacto que la interrupción de sus servicios pueda tener en la seguridad y el orden público. Además, coordina la respuesta a incidentes a través del Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).

La Ley 21.663 establece una serie de obligaciones para los sectores involucrados, y les otorga un plazo de 12 meses a partir de la promulgación de la ley para cumplir con los requisitos. Esto significa que hasta abril de 2025, las entidades que se encuentren dentro de los sectores clave deberán tener implementadas las políticas y procedimientos necesarios para garantizar la ciberseguridad y la protección de sus infraestructuras críticas.

Infracciones y Sanciones

Una parte fundamental de la ley son las sanciones por incumplimiento, que varían según la gravedad de la infracción. Se definen tres tipos de infracciones:

1. Infracciones leves: Aquellas que implican negligencia sin efectos significativos en la operación.
2. Infracciones graves: Relacionadas con fallas más serias en la implementación de medidas de ciberseguridad, que pueden afectar la continuidad de los servicios.
3. Infracciones gravísimas: Las cuales involucran una amenaza real y grave para la seguridad nacional y la integridad de los servicios críticos.

Las sanciones económicas para las infracciones graves van desde las 5.000 UTM hasta las 40.000 UTM, lo que equivale aproximadamente a entre 260,000 y 330,000 euros. Las sanciones se determinarán en función de varios criterios, como las medidas adoptadas, la probabilidad de ocurrencia de los incidentes, la gravedad de los efectos, y el tamaño de la entidad infractora.

Además de la creación de la ANCI, la ley establece una serie de órganos y estructuras de coordinación para garantizar la eficacia en la implementación de la ciberseguridad. Entre estos se encuentran:

• El Consejo Multisectorial sobre Ciberseguridad (CMC):Un órgano consultivo encargado de asesorar a la ANCI sobre aspectos estratégicos y operacionales relacionados con la ciberseguridad.
• El Comité Interministerial sobre Ciberseguridad: Una instancia de coordinación entre diversos ministerios para coordinar políticas públicas de ciberseguridad.

Una de las obligaciones clave de los actores involucrados es la implementación de planes de continuidad operativa y ciberseguridad. Estos planes deben prever posibles incidentes de seguridad y establecer las acciones necesarias para garantizar que los servicios puedan seguir operando sin interrupciones, incluso en caso de un ataque cibernético.

Además, la ley exige a las organizaciones la notificación de incidentes cibernéticos al CSIRT Nacional dentro de las 3 horas posteriores al evento. Esto implica que las empresas deben tener un equipo de respuesta a incidentes capaz de reaccionar rápidamente y de forma efectiva para mitigar los daños de cualquier ciberataque.

Relevancia y Desafíos para las Empresas

Para las empresas, especialmente aquellas dentro de los sectores clave como telecomunicaciones, salud, energía y transporte, la Ley 21.663 no solo representa un desafío regulatorio, sino también una oportunidad para fortalecer su infraestructura digital y su capacidad de respuesta ante ciberincidentes. La implementación de la ley exige inversiones en tecnología, formación y auditorías, pero también brinda beneficios como:

• Mayor confianza de los clientes al demostrar un compromiso con la seguridad y la protección de los datos.
• Mayor resiliencia frente a ciberataques, lo que mejora la continuidad de las operaciones.
• Acceso a mercados internacionales, especialmente aquellos con requisitos de ciberseguridad estrictos.