La reciente Ley Marco sobre Ciberseguridad e Infraestructura Crítica, obliga a las empresas a cumplir con ciertos deberes para proteger la infraestructura crítica de información.
¿A quiénes aplica?
La nueva legislación trae obligaciones a los prestadores de “servicios esenciales” y “operadores de importancia vital”, señalando de manera general:
Servicios públicos
Telecomunicaciones
Salud
Energía
Transporte
Finanzas
Servicios Digitales
Servicios de Tecnología de la información Gestionados por Terceros.
La Agencia Nacional de Ciberseguridad será el organismo establezca que es lo que debe cumplir cada empresa y como las va a fiscalizar.
¿Qué obligaciones trae esta nueva ley?
- Tener implementado un Sistema de Gestión de Seguridad de la Información. Sistemas robustos para identificar y mitigar riesgos, garantizando la seguridad continua de las redes y sistemas informáticos.
- Mantener Planes de Continuidad Operacional y Ciberseguridad. Protocolos que aseguran la resiliencia operativa de su empresa frente a incidentes de ciberseguridad.
- Implementar protocolos para la rápida identificación y notificación de ciberataques o incidentes de seguridad, asegurando una comunicación efectiva con los afectados y las autoridades pertinentes.
Sanciones:
- Infracciones Leves: Pueden resultar en multas de hasta 5.000 Unidades Tributarias Mensuales (UTM).
- Infracciones Graves: Pueden acarrear multas de hasta 10.000 UTM.
- Infracciones Gravísimas: Estas infracciones pueden conllevar multas de hasta 20.000 UTM, y el doble para Operadores de Importancia Vital, llegando hasta 40.000 UTM.
Algunas recomendaciones:
Algunas de estas obligaciones están directamente relacionadas con el cumplimiento de la normativa de Compliance, aproveche de considerar estos aspectos cuando actualice su modelo a la Ley 21.595.
Establecer internamente cuales son los activos de información que necesito proteger y como lo
voy a hacer (sistemas de ciberseguridad, respaldo, etc.).
Haga que su área de TI se prepare en materias de ciberseguridad, que se prepare para los ciberataques más comunes, implemente un sistema Zero Trust y utilice MITRE ATT&CK que es una base de conocimientos de acceso universal y continuamente actualizada sobre los comportamientos de los ciberdelincuentes, que refleja las diversas fases del ciclo de vida del ataque de un adversario y las plataformas a las que se sabe que apuntan.
Utilice como base para organizar su sistema de ciberseguridad normativas internacionales como
la ISO 27001 O NIS 2.
¿Cuándo entra en vigor esta nueva ley?
Si bien la ley ya fue publicada el día de hoy, es necesario que el presidente establezca mediante decretos con fuerza de ley una serie de regulaciones para su implementación para lo cual se le da un plazo de 1 año. Entre estas regulaciones se encuentra la creación de la Agencia Nacional de Ciberseguridad.
Sebastián Izquierdo Bascuñán
Abogado Socio
