Contacto

Ley 21663

Ley Marco de Ciberseguridad

La Ley 21663, más conocida como Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, fue promulgada en Chile y publicada en el Diario Oficial, el 8 de abril de 2024, surge como respuesta a la creciente necesidad de establecer un marco regulador claro y efectivo para la seguridad de la información digital en el país. La ley define y regula las actividades relacionadas con la ciberseguridad, aplicando tanto a entidades del Estado como a las privadas que son consideradas de importancia vital para la infraestructura nacional.

La legislación introduce definiciones clave como “activo informático” y “ciberataque”, y establece una serie de principios que deben regir la ciberseguridad en Chile, como la seguridad en el ciberespacio y una respuesta responsable y coordinada ante los incidentes de ciberseguridad. La ley también delinea las responsabilidades específicas de las instituciones, incluyendo medidas preventivas, reportes obligatorios de incidentes y la implementación de sistemas de gestión de seguridad de la información.

Central en la ley es la creación de la Agencia Nacional de Ciberseguridad (ANCI), encargada de coordinar y supervisar la implementación de la política de ciberseguridad en el país. Esta agencia será el pilar en la estructura de defensa contra los ciberataques y la gestión de incidentes de ciberseguridad, asegurando que tanto entidades públicas como privadas cumplan con los estándares establecidos.

Industrias involucradas

  • Generación, transmisión o distribución eléctrica
  • Transporte, almacenamiento o distribución de combustibles
  • Suministro de agua potable o saneamiento
  • Telecomunicaciones
  • Infraestructura digital
  • Servicios digitales y servicios de tecnología de la información gestionados por terceros
  • Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva
  • Banca, servicios financieros y medios de pago
  • Administración de prestaciones de seguridad social
  • Servicios postales y de mensajería
  • Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos
  • La producción y/o investigación de productos farmacéuticos

Aplicación legal diferenciada

La Agencia Nacional de Ciberseguridad deberá establecer medidas de seguridad diferenciadas según el tipo de organización, considerando las características y capacidades de las pequeñas y medianas empresas (PYMEs) definidas por la ley N° 20.416

Deberes específicos: Implementación de Programa y Planificación de Ciberseguridad

Los operadores de importancia vital deben implementar un sistema de gestión de seguridad de la información, realizar evaluaciones de riesgo continuas, y desarrollar planes de respuesta a incidentes. Dicho Programas o Planes serán evaluados como mínimo, cada 2 años, pero quedando a necesidad expresa de la Agencia ANCI.

La Ley 21663 establece deberes específicos relacionados con la implementación de un Programa y la Planificación Anual de Ciberseguridad para los operadores de importancia vital. Estos deberes son fundamentales para garantizar una protección adecuada contra las amenazas cibernéticas y para asegurar la integridad y disponibilidad de los sistemas críticos.

Características y requisitos del Programa o la Planificación de Ciberseguridad

  • Evaluación de Riesgos: Las entidades deben realizar evaluaciones de riesgo continuas para identificar vulnerabilidades y amenazas potenciales a sus sistemas y redes.
  • Planificación Estratégica Se requiere la formulación de un plan estratégico que detalle las acciones a llevar a cabo para mitigar los riesgos identificados. Este plan debe ser revisado y actualizado anualmente.
  • Implementación de Medidas de Seguridad: Las medidas deben incluir controles técnicos, físicos y administrativos para proteger contra accesos no autorizados, alteraciones o interrupciones de los sistemas críticos.
  • Capacitación y Concienciación: Debe existir un programa continuo de capacitación para empleados sobre prácticas de seguridad cibernética, incluyendo la gestión de incidentes y las mejores prácticas para la protección de datos y sistemas.
  • Respuesta a Incidentes y Recuperación: Los operadores deben desarrollar y mantener planes de respuesta ante incidentes que permitan una reacción rápida y efectiva en caso de seguridad cibernética. Asimismo, deben contar con estrategias de recuperación para restaurar cualquier servicio o dato afectado.

Herramientas y Recursos para Implementación

Frameworks y Protocolos

Aunque el documento no especifica un framework concreto a seguir, los operadores pueden optar por estándares reconocidos internacionalmente como ISO 27001, NIST Cybersecurity Framework, o COBIT para la gestión de sus programas de ciberseguridad. Estos frameworks ofrecen directrices detalladas sobre la evaluación de riesgos, controles de seguridad, y gestión de incidentes, que son compatibles con los requerimientos de la ley.

Procesos de Cumplimiento

Los procesos deben incluir auditorías regulares, tanto internas como externas, para verificar el cumplimiento con el programa de ciberseguridad y la efectividad de las medidas implementadas. Además, debe haber un mecanismo para la mejora continua del programa, basado en los resultados de las evaluaciones de riesgos y las auditorías de seguridad.

Estos elementos forman parte esencial de los deberes específicos que deben cumplir los operadores de importancia vital según la ley, asegurando no solo el cumplimiento legal, sino también la protección efectiva de la infraestructura crítica frente a las amenazas cibernéticas emergentes.

Actividades Recomendadas
Prevención (Antes de un ciberataque)
  • Diseño, redacción e implementación de estrategias y normativas para ciberseguridad
  • Capacitación en ciberseguridad y medición de adherencia o cumplimiento
  • Penetration Testing as a Service (PTaaS)
  • VDP (Vulnerability Disclosure Program)
  • CVD (Coordinated Vulnerability Disclosure)
  • BBP (Bug Bounty Program)
  • Desarrollo Seguro (SDLC, DevOps y DevSecOps)
  • Servicios tradicionales de pentesting, ethical hacking, red teaming, y assessment de vulnerabilidades
Respuesta (Durante de un ciberataque)
  • Diseño, redacción e implementación de estrategias para respuesta y recuperación
  • Gestión de backup y cadena de custodia
  • Análisis forense situacional
  • Reporte de infiltración, y exfiltración de datos
  • Análisis de malware y reverse engineering
  • Desencriptación de datos y rollback de sistemas
  • Monitoreo de la superficie de ataque y Dark Web
Continuidad (Después de un ciberataque)
  • Diseño, redacción e implementación de estrategia para continuidad operacional
  • Implementación de SOC o CSIRT 24/7
  • Help desk para ciberseguridad
  • Awareness corporativo para Q1, Q2, Q3 y Q4
  • Setup y administración de dispositivos
  • Assessment de vulnerabilidades a los entornos de red privada
  • Monitoreo y alertas de la red privada
  • Monitoreo y alertas de la superficie de ataque
  • Remediación de vulnerabilidades en desarrollo y arquitectura

Deber de reportar incidentes de Ciberseguridad

Todas las instituciones mencionadas en el artículo 4° deben reportar al CSIRT Nacional cualquier ciberataque o incidente de ciberseguridad que pueda tener efectos significativos, siguiendo un esquema de reporte específico establecido en la ley. La gestión del reporte de incidentes de ciberseguridad según la Ley 21663, se establece de forma detallada para garantizar una respuesta rápida y eficaz ante cualquier incidente. La obligación de reportar se activa tan pronto como las instituciones públicas y privadas señaladas en el artículo 4° tengan conocimiento de un ciberataque o incidente de seguridad informática que pueda tener efectos significativos. La estructura del reporte se divide en varias etapas con tiempos específicos:

  • Alerta Temprana Debe enviarse dentro de las primeras tres horas desde que se detecta el incidente. Esta alerta debe informar sobre la ocurrencia del evento y proporcionar detalles preliminares disponibles.
  • Actualización del Informe: Tras la alerta inicial, las entidades tienen un plazo máximo de 72 horas para proporcionar una actualización que incluya una evaluación inicial del incidente, su gravedad, impacto y cualquier indicador de compromiso disponible.
  • Informe Final: Debe presentarse dentro de los 15 días siguientes al envío de la alerta temprana. Este informe debe contener una descripción detallada del incidente, el tipo de amenaza, las medidas de mitigación aplicadas y en curso, y cualquier repercusión transfronteriza si aplica.

En caso de que el incidente persista más allá del periodo para presentar el informe final, las entidades deben reemplazar este informe por otro que describa la situación en curso hasta que se gestione completamente el incidente. Este informe final actualizado también debe entregarse dentro de un plazo de 15 días desde la gestión del incidente .

Estos requisitos subrayan la importancia de mantener un protocolo de comunicación eficiente y oportuno con las autoridades, ayudando a mitigar los efectos de los incidentes de ciberseguridad y garantizando una recuperación más efectiva y ordenada.

Sanciones económicas

Las infracciones a los preceptos de esta ley pueden resultar en la imposición de multas a beneficio fiscal, con escalas especificadas en el artículo 40 de la ley. Las sanciones especificadas en la Ley 21663, se estructuran en función de la gravedad de la infracción y se miden en Unidades Tributarias Mensuales (UTM). Según el documento, las multas varían según la categoría del incumplimiento:

  • Infracciones Leves: Pueden llegar hasta 100 UTM.
  • Infracciones Graves: Pueden ser sancionadas con multas de hasta 500 UTM.
  • Infracciones Muy Graves: Las multas pueden alcanzar hasta 1,000 UTM.

Para contextualizar estas cifras en términos monetarios, considerando que el valor de la UTM en abril de 2024 es aproximadamente CLP$60,000 (este valor puede variar mes a mes), las sanciones serían aproximadamente:

  • Infracciones Leves: Hasta CLP$6,000,000.
  • Infracciones Graves: Hasta CLP$30,000,000.
  • Infracciones Muy Graves: Hasta CLP$60,000,000.

Resumen de la Ley 21663: Ley Marco de Ciberseguridad

La Ley 21663 de Chile instituye un marco regulatorio que enfatiza la importancia de la resiliencia y la respuesta rápida a incidentes cibernéticos, garantizando que las entidades afectadas puedan continuar operando post-incidente y recuperar sus capacidades completamente. Establece, además, un esquema detallado de reporte de incidentes que obliga a las instituciones a informar al CSIRT Nacional sobre ciberataques, con plazos específicos para las alertas iniciales, actualizaciones y informes finales.

La creación de la Agencia Nacional de Ciberseguridad (ANCI) como entidad coordinadora proporciona un punto focal para la supervisión y el cumplimiento de las normativas de ciberseguridad en el país. La ANCI también tiene el mandato de calificar y recategorizar servicios esenciales y operadores de importancia vital, asegurando que la ley se adapte a la evolución de las amenazas y tecnologías.

Finalmente, la ley también contempla la educación y formación en ciberseguridad como fundamentales para fortalecer la cultura de seguridad en el país. Se enfoca en promover una comprensión amplia sobre la importancia de la seguridad cibernética a través de campañas de sensibilización y formación continuada para profesionales del sector, complementando las medidas técnicas y organizativas establecidas.

Los Artículos más importantes de la Ley

  • Artículo 1° – Objeto de la ley: Define el propósito de la ley, que es establecer un marco para la ciberseguridad en Chile, incluyendo la regulación, coordinación y supervisión de las actividades relacionadas. Este artículo es crucial porque sienta las bases de toda la legislación.
  • Artículo 2° – Definiciones: Proporciona las definiciones clave que se utilizan en toda la ley, como “ciberseguridad”, “activo informático” y “ciberataque”. Establecer definiciones claras es fundamental para asegurar que todos los actores entiendan los términos de manera uniforme.
  • Artículo 4° – Ámbito de aplicación: Especifica qué entidades están sujetas a la ley, incluyendo aquellas que manejan infraestructuras críticas. Este artículo es importante porque define el alcance y asegura que las entidades relevantes cumplan con los requisitos necesarios.
  • Artículo 7° – Deberes generales: Detalla las responsabilidades generales de las entidades cubiertas bajo la ley, incluyendo la obligación de mantener un adecuado nivel de seguridad y reportar incidentes de ciberseguridad. Este artículo es esencial para garantizar una gestión de ciberseguridad activa y responsable.
  • Artículo 9° – Deber de reportar: Obliga a las entidades a reportar ciberataques o incidentes de seguridad informática al CSIRT Nacional dentro de plazos específicos. Este artículo es crítico para la respuesta rápida y efectiva a incidentes, ayudando a mitigar daños potenciales.
  • Artículo 10 – Creación de la Agencia Nacional de Ciberseguridad (ANCI): Establece la ANCI como la entidad encargada de coordinar y supervisar la implementación de la ley. La creación de este organismo es clave para centralizar y eficientizar la gestión de ciberseguridad en Chile.
  • Artículo 28 – Certificación de cumplimiento: Requiere que los operadores de importancia vital obtengan certificaciones que demuestren su cumplimiento con los estándares de ciberseguridad. Este artículo es importante porque formaliza el cumplimiento y asegura que las medidas de seguridad sean verificadas y validadas.
  • Artículo 31 – Sanciones: Define las sanciones por incumplimiento de la ley, que pueden incluir multas, sanciones administrativas o incluso sanciones penales. Este artículo es crucial para asegurar el cumplimiento efectivo de la ley mediante la disuasión de conductas negligentes o malintencionadas.
Ley Marco de Ciberseguridad