El proyecto establece obligaciones a empresas de infraestructura crítica entendiendo por esta:

“aquella indispensable para la generación, transmisión, transporte, producción, almacenamiento y distribución de los servicios e insumos básicos para la población, tales como energía, gas, agua o telecomunicaciones; la relativa a la conexión vial, aérea, terrestre, marítima, portuaria o ferroviaria, y la correspondiente a servicios de utilidad pública, como los sistemas de asistencia sanitaria o de salud, identificados como infraestructuras críticas conforme a los criterios específicos contenidos en la presente ley”.

Este proyecto ofrece múltiples puntos de análisis, pero en este artículo me enfocaré en un aspecto clave: es necesario tener muy presente que esta ley requiere una evaluación cuidadosa por parte del Legislativo, con el fin de evitar falta de coordinación y conflictos regulatorios con la Ley Marco de Ciberseguridad. Para entender cuál es la problemática de esto, hay que ir al otro lado del Atlántico.

Al respecto, es importante recordar que el proyecto mencionado se basa, en gran medida, en la Directiva CER de la UE (Critical Entities Resilience Directive), que se tramitó de forma paralela y entró en vigencia en conjunto con la Directiva NIS2, la cual, a su vez, dio origen a la Ley Marco de Ciberseguridad.

Ambas directivas buscan regular y proteger, por un lado, la infraestructura crítica (IC) física y, por otro, parte o la totalidad (dependiendo del enfoque) de la IC digital, representada en sistemas y redes de información.

El proceso de transposición de estas directivas a la legislación interna de cada país de la Unión, (cuyo plazo venció el 17 de octubre pasado) ha evidenciado importantes desafíos, como una potencial redundancia de cargas regulatorias y la falta de alineación y coordinación efectiva entre ambas.

Lo anterior se debe, en parte, a que los respectivos entes rectores operan en distintos ámbitos, mientras que los sujetos obligados son prácticamente los mismos. Esto genera una acumulación considerable de elevadas cargas regulatorias y obligaciones de reporte que, en esencia, resultan equivalentes o similares y, en su mayoría, deben cumplirse de forma simultánea.

Una potencial falta de coherencia normativa, una superposición de funciones o una falta de integración técnica entre las autoridades involucradas, aumentan el riesgo de duplicación de esfuerzos públicos y privados, ineficiencia administrativas, conflictos interinstitucionales y, en última instancia, de la paralización de la gestión empresarial, por la falta de estándares claros y de todo una economía.

La complejidad actual de los ataques contra las infraestructuras críticas (IC), agrava aún más esta situación, ya que suelen ser híbridos (físicos y digitales) y sistémicos (de origen incierto, generalmente vinculados a la cadena de suministro fuera del perímetro de protección). Esto dificulta detectar con precisión su naturaleza y origen, además de obstaculizar el cumplimiento coordinado de normativas estrechamente relacionadas.

Por su parte, la existencia de riesgos sistémicos puede llevar a una gestión inconsistente de ciberamenazas, pues los principales cuerpos normativos se centran en las mismas áreas específicas, pudiendo dejar puntos débiles en la seguridad de IC no regulada, por ejemplo, dentro de la cadena de suministro.

La situación actual en Europa debe ser un llamado de atención para Chile, especialmente en el contexto de la tramitación del proyecto de ley sobre Protección de Infraestructura Crítica. Es crucial que esta normativa aborde los riesgos mencionados en los párrafos anteriores, con el fin de evitar choques legislativos y daños a la economía, debiendo por el contrario, garantizar su máxima eficacia. Para ello, resulta imprescindible alinearla (cual reloj suizo) con la Ley Marco de Ciberseguridad, promoviendo una coordinación intersectorial sólida y eliminando todas aquellas cargas innecesarias o desproporcionadas que para las empresas pueden resultar inasumibles.