¿Será mi institución sujeto obligado de la nueva Ley de Ciberseguridad e Infraestructura Crítica?

/en , /por

Escrito por Catherine Muñoz

La próxima promulgación de la nueva Ley de Ciberseguridad e Infraestructura Crítica ha generado preguntas fundamentales para las organizaciones que operan en sectores clave de la economía. Este artículo proporciona una guía simplificada para comprender si su institución se encuentra entre los sujetos obligados bajo lo dispuesto en su proyecto de ley.

Dentro de estas hay una subcategoría de sujetos obligados con cargas regulatorias reforzadas (artículo 8) que se denominan «Operadores de Importancia Vital».

La ley identifica como sujetos obligados a aquellas instituciones que prestan servicios considerados esenciales para el funcionamiento de la sociedad y la economía. Estos servicios son los prestados por:

1. Los organismos de la Administración del Estado

2. El Coordinador Eléctrico Nacional.

3. Los prestados bajo concesión de servicio público,

4. Los proveídos por instituciones privadas que realicen las siguientes actividades:

  • Generación, transmisión o distribución de energía eléctrica.

  • Transporte, almacenamiento o distribución de combustibles.

  • Suministro de agua potable y saneamiento.

  • Telecomunicaciones e infraestructura digital.

  • Servicios digitales y tecnologías de la información gestionadas por terceros.

  • Transporte terrestre, aéreo, ferroviario o marítimo y operación de infraestructuras relacionadas.

  • Banca, servicios financieros y sistemas de pago.

  • Administración de prestaciones de seguridad social.

  • Servicios postales y de mensajería.

  • Prestación de servicios de salud por entidades como hospitales, clínicas, consultorios y centros médicos, incluyendo la producción e investigación farmacéutica.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada, sometida a consulta pública.

La Agencia Nacional de Ciberseguridad identificará, mediante resolución exenta, las infraestructuras, procesos o funciones específicas que serán calificadas como esenciales dentro de las instituciones nombradas.

III. Calificación de Instituciones como Operadores de Importancia Vital:

La Agencia puede clasificar dentro de las instituciones anteriores, a aquellos considerados operadores de importancia vital por:

  • Dependen críticamente de redes y sistemas informáticos para la prestación de sus servicios.

  • Cuyas interrupciones tendrían un impacto significativo en la seguridad y el orden público, la continuidad de servicios esenciales, el cumplimiento de funciones estatales o la provisión de servicios garantizados por el Estado.

Además, instituciones privadas que no provean servicios esenciales pero que cumplan con los criterios mencionados y sean consideradas críticas para el abastecimiento y producción de bienes estratégicos, o que presenten un alto riesgo de incidentes de ciberseguridad, también podrían ser calificadas como tales.

IV. Procedimiento de Clasificación de Operadores de Importancia Vital

  1. Identificación Inicial:La Agencia Nacional de Ciberseguridad identifica las infraestructuras, procesos o funciones que podrían calificarse como Instituciones que presten servicios calificados como esenciales según el punto II. Además, se debe tener presente que la ley le da facultad a la Agencia para determinar como operadores de importancia vital a instituciones privadas con roles críticos, que no clasificadas inicialmente como prestadores de servicios esenciales.

  2. Consulta a Organismos Competentes:La Agencia solicita informes a los organismos públicos sectoriales para identificar posibles operadores de importancia vital.

  3. Elaboración de la Nómina Preliminar:La Agencia elabora una nómina preliminar de instituciones que podrían ser calificadas como operadores de importancia vital.Plazo: 30 días corridos para la elaboración de esta nómina.

  4. Consulta Pública:4.1. Instituciones privadas: Sometimiento a consulta pública durante 30 días corridos.4.2. Instituciones públicas: Requerimiento de informe al Ministerio de Hacienda.

  5. Elaboración del Informe Final:Una vez finalizado el proceso de consulta pública y recibido el informe del Ministerio de Hacienda, la Agencia dispone de 30 días corridos para preparar el informe final.

  6. Resolución de la Agencia:La Agencia, mediante resolución fundada por su Director o Directora Nacional, determina la nómina final de los operadores de importancia vital.

  7. Revisión y Actualización:La Agencia revisa y actualiza la lista de operadores de importancia vital al menos cada tres años.

  8. Recursos Legales:Contra la resolución emitida, se pueden interponer los recursos que establece la ley N° 19.880, proporciona la opción de un procedimiento de reclamación judicial, según lo especificado en el artículo 46 de la ley correspondiente.

V. Importante

Si su institución se encuentra dentro de las categorías mencionadas o realiza actividades que son fundamentales para la infraestructura crítica de la nación, es crucial evaluar su cumplimiento con la nueva ley. La ciberseguridad ya no es solo una cuestión de IT, sino un imperativo estratégico y legal que garantiza la continuidad de servicios esenciales para la sociedad.

#ciberseguridad #compliance #ciberseguridadindustrial #cybersecurity