1. ¿Cuál es el objetivo principal de la Ley Marco de Ciberseguridad de Chile?

Establecer la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado, así como entre éstos y los particulares. También busca establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad, así como las atribuciones y obligaciones de los organismos del Estado, los deberes de las instituciones y los mecanismos de control, supervisión y responsabilidad ante infracciones.

2. ¿Cuándo se publicó la Ley Marco de Ciberseguridad?

La Ley N° 21.663, que establece la Ley Marco de Ciberseguridad, se publicó en el Diario Oficial el 8 de abril de 2024.

3. ¿Cuándo entra en vigencia la Ley Marco de Ciberseguridad?

El inicio de la vigencia de la ley está supeditado a la dictación por el Presidente de la República de uno o más decretos con fuerza de ley que determinarán el periodo de entrada en vigor de las normas, el cual no podrá ser inferior a seis meses desde su publicación.

4. ¿Qué es la Agencia Nacional de Ciberseguridad (ANCI)?

Es un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado. Su objetivo es asesorar al Presidente de la República en materias de ciberseguridad.

5. ¿Cuáles son las funciones de la ANCI?

La ANCI tiene múltiples funciones, entre las que se incluyen:

• Asesorar al Presidente: en la elaboración y aprobación de la Política Nacional de Ciberseguridad, así como de los planes y programas para su implementación.
• Dictar protocolos y estándares: obligatorios para las instituciones públicas y privadas.
• Coordinar y supervisar: al CSIRT Nacional y los demás CSIRT de la Administración del Estado.
• Calificar servicios esenciales: y operadores de importancia vital.
• Fiscalizar el cumplimiento: de la ley y sus reglamentos.
• Sancionar infracciones: e incumplimientos.
• Administrar la Red de Conectividad Segura del Estado (RCSE).

6. ¿Qué es un operador de importancia vital?

Un operador de importancia vital es un prestador de servicios esenciales cuya afectación, interceptación, interrupción o destrucción puede tener un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de otros servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.

7. ¿Qué requisitos debe cumplir una entidad para ser calificada como operador de importancia vital?

• La provisión del servicio debe depender de redes y sistemas informáticos.
• La afectación del servicio debe tener un impacto significativo en la seguridad y el orden público, la provisión de servicios esenciales o el cumplimiento de las funciones del Estado.

8. ¿Qué es el CSIRT Nacional?

El Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional) es un organismo dependiente de la ANCI. Su función principal es responder ante ciberataques o incidentes de ciberseguridad de efecto significativo.

9. ¿Cuáles son las funciones del CSIRT Nacional?

• Responder a ciberataques o incidentes de ciberseguridad de efecto significativo.
• Coordinar a los CSIRT de la Administración del Estado.
• Servir de punto de enlace con CSIRT extranjeros.
• Prestar colaboración o asesoría técnica a los CSIRT de la Administración del Estado.
• Supervisar incidentes a escala nacional.
• Realizar entrenamiento en materia de ciberseguridad.
• Requerir información anonimizada de incidentes de ciberseguridad.
• Difundir alertas tempranas.
• Elaborar un informe con los criterios para determinar las categorías de incidentes eximidos de notificación.

10. ¿Qué es la Red de Conectividad Segura del Estado (RCSE)?

La RCSE es una red que provee servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado.

11. ¿Qué es un incidente de ciberseguridad de efecto significativo?

Se considera que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, o afectar sistemas informáticos que contengan datos personales.

12. ¿Qué criterios se utilizan para determinar la importancia de los efectos de un incidente de ciberseguridad?

• El número de personas afectadas.
• La duración del incidente.
• La extensión geográfica con respecto a la zona afectada por el incidente.

13. ¿Qué información debe incluirse en el reporte de un incidente de ciberseguridad?

El reglamento de la ley establece la información específica que debe incluirse en los reportes, incluyendo:

• Descripción del incidente.
• Tipo de amenaza.
• Medidas de mitigación.
• Repercusiones transfronterizas.
• Evaluación inicial del incidente.
• Gravedad e impacto.
• Indicadores de compromiso.

14. ¿Qué plazos se establecen para reportar un incidente de ciberseguridad?

• Alerta temprana: dentro de las tres horas siguientes a tomar conocimiento del incidente.
• Actualización de la información: dentro de las 72 horas siguientes.
• Informe final: dentro de los 15 días corridos siguientes al envío de la alerta temprana.

15. ¿Qué obligaciones tienen los proveedores de servicios de tecnología de la información?

Deben compartir información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado.

16. ¿Qué tipo de información se considera secreta o reservada?

• Antecedentes, datos, informaciones y registros que obren en poder de la Agencia, los CSIRT o su personal.
• Información contenida en los sistemas de gestión de seguridad de la información.
• Matrices de riesgos de ciberseguridad.
• Planes de continuidad operacional y planes ante desastres.
• Planes de acción y mitigación de riesgos de ciberseguridad.

17. ¿Quiénes están obligados a guardar secreto?

Los funcionarios de la Agencia, los CSIRT y cualquier persona que tome conocimiento de información secreta o reservada en el desempeño de sus funciones.

18. ¿Cuáles son las sanciones por infringir el deber de reserva?

Las sanciones se establecen en el Código Penal, artículos 246, 247 y 247 bis.

19. ¿Qué se entiende por «dependencia» en el contexto de la Ley Marco de Ciberseguridad?

Se refiere a la relación entre dos operadores en la que uno de ellos no puede proveer su servicio si no recibe un bien o servicio del otro.

20. ¿A quiénes se aplica el Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital?

Se aplica a los operadores de importancia vital, es decir, aquellos que prestan servicios esenciales y cuya afectación puede tener un impacto significativo en la seguridad y el orden público o en la provisión de otros servicios esenciales.