El 8 de abril, se publicó en Chile la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, que muchos consideran como un paso importante para que la nación genere un marco normativo integral en materia de ciberseguridad que, además, sirva como guía para la mejora de los estándares de seguridad de los entes públicos y privados, especialmente porque esta ley crea a la Agencia Nacional de Ciberseguridad (Anci), institución que surge con el objetivo de regular, fiscalizar y sancionar a todos los organismos que presten servicios esenciales para el funcionamiento del país.
La ley, cuya entrada en vigencia será determinada mediante Decretos con Fuerza de Ley (DFL) en máximo un año desde su publicación en el Diario Oficial, clasifica como servicios esenciales la producción e investigación de:
- Productos farmacéuticos.
- Servicios de salud y sanitarios.
- Servicios digitales y de tecnología de la información.
- Telecomunicaciones.
- Banca y servicios financieros.
- Generación, transmisión y distribución eléctrica.
- Transporte de combustibles.
- Mercadería y personas.
- El saneamiento y distribución de agua potable, entre otros.
La meta es que estas empresas esenciales verifiquen y ajusten todas las herramientas necesarias para proteger los derechos, seguridad, datos e intimidad de las personas en el ciberespacio y eviten delitos informáticos como la suplantación de identidad, la distribución de malwares, el phishing o el carding.
De interés: ByteDance es obligada a venderse en Estados Unidos: ¿Qué viene ahora para TikTok?
El aspecto más relevante de esta ley marco es que crea la Anci, como se mencionó al inicio, además de otras instituciones encargadas de velar por su cumplimiento y correcta aplicación, como el CSIRT de Defensa (siglas que en español refieren a un Equipo de Respuesta a Incidentes de Seguridad), el Consejo Multisectorial y el Comité Interministerial, hecho destacable en vista de que Chile no contaba con alguna institución estatal encargada de velar por la ciberseguridad, como explica Eugenio Gormáz, socio de propiedad intelectual, Tech y Data de Albagli Zaliasnik.
Tampoco había una estructura orgánica para el correcto funcionamiento de los activos informáticos y su protección, pues lo que había eran “diversas normas difuminadas a través de distintos cuerpos legales”. Por lo tanto, esta ley es novedosa, en términos de que no actualiza un cuerpo legal previo, crea la categoría de servicios esenciales y establece obligaciones de reportar ciertos eventos de ciberseguridad, como apunta José Ignacio Mercado, director de Carey.
La institucionalidad creada por la normativa, y conformada por Anci, el CSIRT y el Comité Interministerial, establece un estándar mínimo de prevención y deberes ante incidencias de una variedad amplia de industrias que serán sujetos obligados a la debida gestión de riesgos.
"Respecto de los deberes, el de reportar incidencia hoy solo aplica a determinadas industrias, sin embargo, con la ley marco, se extiende a todos los sujetos obligados, lo que es un cambio relevante en el mercado, teniendo presente el daño reputacional que puede significar para una empresa que el mercado conozca la vulneración", destaca Macarena Gatica, socia de Alessandri.
Para leer: Asipi: 60 años de consolidación y crecimiento
La ley inserta una capa adicional de diligencia
El nuevo cuerpo regulatorio busca estructurar y coordinar todas las acciones dirigidas a garantizar la ciberseguridad de los entes, independientemente de si su naturaleza es pública o privada.
Su fin ulterior es establecer una institucionalidad mínima para la prevención, contención y respuesta a los incidentes de ciberseguridad dentro de las operadores de importancia vital (OIV) que, en opinión de Gatica, es “un gran avance” debido a la exigencia de mayor resguardo de las redes y sistemas y no solo de la información personal, además porque se ajusta a los criterios contemplados en NIS 2, norma europea que entró a regir el 16 de enero 2023.
José Ignacio Mercado refiere que es necesario considerar que si bien la ley tiene algunos puntos de conexión que modifican la Ley de Protección de Datos Personales, en realidad protege bienes jurídicos diferentes, por lo que constituye una capa diferente de protección dentro del ecosistema normativo en Chile.
No te pierdas: ¿El uso de la IA en la invención aumentará los litigios de Propiedad Intelectual?
Entonces, mientras el Proyecto de Ley que modifica la Ley de Protección de Datos Personales busca garantizar la privacidad, la Ley de Ciberseguridad busca establecer un estándar de diligencia para actividades esenciales para el funcionamiento de Chile.
"Por lo tanto, más que referirse a las fuentes que la inspiraron, lo relevante durante la discusión parlamentaria fue cómo generar un marco normativo que converse adecuadamente con las normas sectoriales existentes, así como generar niveles de diligencia y facultades de intrusión por parte de las autoridades que no afectaran la calificación del país como “jurisdicción adecuada” bajo los estándares GDPR".
La norma es un complemento de la legislación de datos personales (Ley 19.628), recuerda Eugenio Gormáz, por ende, si a través de un ciberataque un hacker adquiere un listado de datos bancarios de personas, ese solo hecho calificará para gatillar las acciones y mecanismos de la Ley 19.628 y toda la protección de la Ley de Ciberseguridad, a través de la intervención del CSIRT.
Para el especialista, esto trae nuevos desafíos que están siendo asimilados poco a poco por los actores involucrados, “de ahí que se difiera la entrada en vigencia de la ley, para dar el mayor tiempo para asimilar todos los cambios”.
Comenta que uno de los principales desafíos es técnico, porque las OIV deberán implementar mecanismos para prevenir incidentes de ciberseguridad, lo que presenta un reto desde el punto de vista técnico y tecnológico, con los consecuentes gastos y desembolsos en que las empresas deberán incurrir para su implementación.
Otro de los retos es la implementación de una cultura corporativa dentro de cada OIV para fomentar el cumplimiento de las obligaciones impuestas por la regulación.
"Esto es especialmente relevante, ya que el incumplimiento acarrea la imposición de multas, por lo que es un tema que los gobiernos corporativos de las distintas empresas afectadas deben estar interiorizando".
Recomendamos: NFT Auge, caída y evolución
El impacto va más allá de las OIV
Tomando en cuenta esto, la obligación de acomodar los procedimientos y estándares internos a las disposiciones legales y a la futura normativa que emane de la Anci podría ser un proceso más sencillo para las empresas que hoy son parte de sectores regulados, para las que probablemente es más relevante cómo hacer conversar e integrar las obligaciones emanadas del regulador sectorial con el marco general aplicable, enfatiza José Ignacio Mercado.
Aunque sean las OIV las que están obligadas a ajustarse, en realidad la ley podría impactar indirectamente a otras empresas, por ejemplo, a aquellas que prestan servicios a las OIV y que pueden verse sujetas a la elevación de estándares contractuales de seguridad, para permitirle al receptor del servicio resguardar toda la cadena de servicios.
"Adicionalmente, como esta ley es una capa más de un ecosistema en desarrollo con un tejido muy complejo, habrá que ver cómo confluye esta norma con disposiciones legales, sectorial y autoridades que tienen también competencia en la materia (por ejemplo, Ley Fintech, sector eléctrico, futura Agencia Nacional de Datos Personales, Comisión para el Mercado Financiero, Servicio Nacional del Consumidor, entre otros)".
Macarena Gatica recuerda que muchas empresas –e incluso pymes– serán calificadas como servicios digitales y servicios de tecnología, por lo que se les exigirá un estándar técnico que será costoso y eventualmente imposible de cumplir, “lo que incluso podría afectar la provisión de determinados servicios de este tipo que no tengan alternativas”, a lo que se le suma, desde el punto de vista legal, el hecho de que la norma adolece de una falta de claridad de criterios y de obligaciones y establece un ámbito de aplicación amplio y que la Agencia precisará.
Lo que afecta a las organizaciones, sus presupuestos e inversiones, sin perjuicio de que hoy actúen preventivamente en el cuidado de su infraestructura tecnológica, el estándar legal puede ser mayor al que hoy apliquen.
Eugenio Gormáz precisa que no debe perderse de vista que la ley incluye, en su artículo 4°, a las empresas privadas que realizan producción e investigación de productos farmacéuticos en la lista de empresas de servicios esenciales, así como a las empresas privadas que se dedican al suministro de servicios digitales y tecnología de la información gestionadas por terceros, con lo cual ambas, a pesar de su carácter privado, quedan obligadas a cumplir con las disposiciones de la ley.
Para las empresas de investigación y producción farmacéutica, ser incluidas en la lista de OIV significa una mayor carga regulatoria, que, señala Macarena Gatica, las obligará a tener que cumplir deberes adicionales como contar con un sistema de gestión de seguridad de la información e implementar un plan de continuidad operacional y ciberseguridad que contemple, entre otras cosas, ejercicios, simulacros y análisis de las redes; contar con certificaciones y programas de capacitación y designar un delegado de ciberseguridad.
La abogada recuerda que el cumplimiento de los estándares fijados por la ley generarán mayor seguridad en los consumidores, sumado a que autoridades como el Ministerio de Transportes y Telecomunicaciones o el Instituto de Salud Pública también podrán complementar su regulación y adecuarla a la ley.
"Todo esto al final mejora un aspecto esencial: la correcta protección de los activos informáticos, cuya vulneración podría crear grandes perjuicios a la población (por ejemplo, la filtración de información relativa a medicamentos o las conexiones digitales de una vivienda)".
}
Add new comment