Nueva ley marco de ciberseguridad: Su eventual impacto en los servicios financieros prestados por entidades privadas y sus procedimientos sancionatorios
1. Introducción
Con la publicación de la ley N°21.663 en el Diario Oficial el día 08 de abril de 2024, se estableció un nuevo marco normativo de gobernanza en materias de ciberseguridad para el país. Definiendo, por medio de esta, la institucionalidad, principios y normativas que regirán las acciones de ciberseguridad de los órganos de la Administración del Estado por una parte y los requisitos mínimos para enfrentar las contingencias en el sector público y privado por otra, así como también las atribuciones y obligaciones que nacerán para ambos sectores, los cuales estarán sujetos a un sistema de infracciones y sanciones, del que nacerá inevitablemente la imperiosa necesidad de conocer sus alcances, efectos y aplicación, particularmente para las empresas dedicadas a la prestación de servicios financieros y de banca en línea.
2. La creación de nuevas instituciones
Al tratarse de la primera ley de la materia en cuestión, esta sentará las bases necesarias para cumplir con los objetivos pretendidos en la misma, razón por la cual se crean (junto a otras instituciones que no se verán en el presente análisis con profundidad) dos instituciones sumamente relevantes y con funciones claramente delimitadas como se verá a continuación:
2.1 La Agencia Nacional de Ciberseguridad (en adelante, ANCI)
Esta nueva institución se encuentra definida en el artículo 10 de la ley y sus funciones girarán en torno a tres ejes según se puede desprender de lo dispuesto en el artículo 11: En primer lugar, cumplirá una función normativa, toda vez que será la institución encargada de la dictación de protocolos, instrucciones generales, particulares y el órgano interpretador de las disposiciones legales y reglamentarias en la materia. Por otro lado, cumple una función fiscalizadora , considerando que será el organismo encargado de monitorear y requerir a los distintos actores para el correcto funcionamiento de lo propuesto en la ley. Y, por último, tendrá un rol sancionatorio, conforme a lo establecido en el mismo artículo letra o), siendo la entidad encargada de instruir el inicio de procedimientos sancionatorios por una parte y por otra, efectivamente sancionar las infracciones e incumplimientos a los que pudiesen incurrir las instituciones obligadas.
2.2 El Consejo Multisectorial sobre Ciberseguridad
Este organismo tendrá estrecha relación con la ANCI, esto debido a que, conforme a lo establecido en el art 20 y siguientes de la ley, esta institución tiene como función principal el asesoramiento de la ANCI junto a la obligación de formular recomendaciones para la misma, en el estudio y monitoreo de las amenazas existentes y potenciales en el ámbito de ciberseguridad.
2.3 Otras instituciones creadas a partir de esta ley
2.3.1 Comité Interministerial sobre Ciberseguridad. Regulado en los artículos 48 y ss.
2.3.2 Red de Conectividad Segura del Estado. Regulada en el artículo 23.
2.3.3 Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Regulado en el artículo 24.
3. Marco de aplicación de la ley
Este punto pretende dar respuestas a preguntas tales como: ¿Quiénes se verán afectados por esta ley? ¿Quiénes son las entidades obligadas a su cumplimiento? Para dar respuesta a estas y considerando lo estipulado en los artículos 4 y siguientes, la ley delimita su aplicación a dos grupos de “instituciones”, a saber: las instituciones que presten servicios calificados como “esenciales” por una parte y las instituciones que califican como operadores de importancia vital por otra.
3.1 Instituciones que se considera que prestan servicios calificados como esenciales
La ley propone una lista de servicios otorgados por parte de instituciones tanto públicas como privadas que se entenderán, como esenciales, estos son:
3.1.1 Aquellas que realicen actividades de generación, transmisión, o distribución eléctrica.
3.1.2 Las que realicen actividades de transporte, almacenamiento o distribución de combustibles.
3.1.3 Las que otorguen suministro de agua potable o saneamiento.
3.1.4 Las que otorguen servicios de telecomunicaciones.
3.1.5 Aquellas relacionadas a la infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros.
3.1.6 Las dedicadas a prestar servicios de transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su respectiva infraestructura.
3.1.7 Las que presten servicios financieros, banca y medios de pago (estas tendrán especial relevancia para nuestro estudio).
3.1.8 Las que se dediquen a la administración de prestaciones de seguridad social.
3.1.9 Las que se dediquen a la prestación de servicios postales y de mensajería
3.1.10 Las instituciones que otorguen prestaciones de salud tales como hospitales, clínicas, consultorios, y centros médicos; Así como también aquellas dedicadas a la producción y/o investigación de productos farmacéuticos.
Sin perjuicio de lo anterior, es importante señalar que este listado no es taxativo, toda vez que, la misma ley permite calificar a otros servicios como esenciales mediante resolución fundada del Director o Directora Nacional siempre que su afectación pueda causar un daño o impacto grave a la vida, integridad o abastecimiento de la población, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o Administración del Estado, a la defensa nacional y a la seguridad o al orden público, generando así un marco normativo sumamente amplio al momento de buscar la subsunción de un servicio en particular a una calificación determinada.
3.2 Instituciones calificadas como operadores de importancia vital
La ley no define de manera expresa el significado de un operador de importancia vital en su artículo 5, sin embargo, impone dos requisitos copulativos que deben cumplirse para entender que estamos frente a un operador de importancia vital. Estos requisitos son:
A. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos.
B. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que este debe proveer o garantizar.
La entidad encargada de otorgar esta calificación es la ANCI, mediante resolución fundada. Esta entidad, podrá calificar como operadores de importancia vital a las instituciones privadas que, aún cuando no presenten la calidad de prestadores de servicios esenciales, reúnan efectivamente estos requisitos siempre que su calificación sea indispensable por el hecho de haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país o por el grado de exposición de la entidad a los riesgos y a la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y consecuencias sociales y económicas asociadas.
Un punto interesante en el que hace hincapié esta ley es la necesidad de considerar el tamaño de las empresas conforme a lo establecido en la ley 20.416 (la que fija normas especiales cuando se trata de empresas de menor tamaño).
3.3 Obligaciones de estas instituciones
La ley dispone de deberes generales y específicos que deberán cumplir las instituciones que prestan servicios esenciales y los operadores de importancia vital que ya definimos y delimitamos de manera previa en este estudio.
En cuanto a los deberes generales, estos se encuentran inmersos en el artículo 7 de la ley en cuestión, y dicen relación con el ejercicio constante de actuar diligentemente por parte de las instituciones prestadoras de servicios. En otras palabras, es la obligación de aplicar de manera permanente e irrestricta todas las medidas para resolver, reportar y prevenir los posibles incidentes surgentes en materia de ciberseguridad.
En lo que respecta a los deberes específicos, la ley somete particularmente a los operadores de importancia vital a las siguientes obligaciones conforme a lo establecido en el artículo 8:
A. Deberán implementar un sistema continuo de gestión de seguridad, de esta forma se podrá conocer y determinar los eventuales riesgos que puedan afectar a los sistemas informáticos y redes. Permitiendo evaluaciones sobre la probabilidad de ocurrencia e impacto que pueden generar determinados incidentes de seguridad.
B. Deberán mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad. Todo esto, basándose en lo que se suscriba en el reglamento.
C. Se encargarán de la elaboración e implementación de la continuidad del plan operacional y ciberseguridad.
D. Realizarán operaciones de revisión, ejercicios, simulacros y análisis sobre las redes, sistemas de acciones y programas informáticos que pudiesen comprometer la ciberseguridad y comunicar esa información al CSIRT nacional de la forma que determine el reglamento.
E. Por otra parte, se deberá adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos si fuera necesario.
F. Las instituciones deberán contar con las certificaciones que señalan en el artículo 28 .
G. Las instituciones tendrán el deber de informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudiesen comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación, o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiere ocurrido. Este deber en particular, resulta interesante debido a que posiciona a las instituciones como emisoras de información frente a las entidades asociadas a ellas.
H. Deberán por otra parte, contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, incluyendo campañas de ciberhigiene.
I. Tendrán que designar a un delegado de ciberseguridad, quien actuará como contrapart
e de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.
Otro deber que surge a propósito del artículo 9 de la ley es el de reportar al CSIRT Nacional de los ciberataques e incidentes de ciberseguridad que puedan traer aparejados efectos significativos, tan pronto les sea posible. Lo paradigmático e innovador de este precepto es la rapidez con la que solicita cumplir con este deber de reporte, haciendo que las instituciones presenten un plazo sumamente acotado para esclarecer los incidentes, sujetándose así al siguiente esquema:
A. Dentro del plazo máximo de tres horas contado desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que pueda tener impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento.
B. Dentro del plazo máximo de setenta y dos horas, una actualización de la información contemplada en la letra a), que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles. Sin embargo, en caso de que la institución sea un operador de importancia vital y éste viera afectada l prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT en el plazo de 24 horas desde que se toma conocimiento del incidente.
C. Dentro del plazo de 15 días corridos contados desde el envío de la alerta temprana contemplada en la letra a), un informe final en el que se recojan, por lo menos los 4 elementos estipulados en la ley.
D. En el caso de que el incidente siga en curso con posterioridad a la presentación del informe del punto que antecede a este, este se reemplazará por un informe sobre la situación de ese momento, debiendo el informe final ser presentado en un plazo de 15 días corridos.
Como se puede apreciar, estas obligaciones determinadas en la ley permiten configurar los requisitos y el correcto funcionamiento de las políticas de resguardo de la ciberseguridad. Pero ¿Cuáles son las consecuencias que trae aparejado el incumplimiento de estos requisitos? Esta pregunta será respondida en el próximo punto del presente estudio.
4. Infracciones y sanciones aparejadas al incumplimiento de las obligaciones
La ley, en su artículo 38 clasifica y pondera las infracciones en tres categorías: infracciones leves, infracciones graves e infracciones gravísimas, estableciendo los supuestos en los que se entenderá que se incurre en la infracción de manera explícita.
Una vez se determina la existencia de la infracción, se debe tener presente que, la ley dispone en su artículo 40 la imposición de multas a beneficio fiscal, las cuales se rigen por la siguiente tabla:
|
Infracciones leves | Multas de hasta 5.000 UTM, o hasta 10.000 UTM tratándose de un operador de importancia vital. |
Infracciones graves | Multas de hasta 10.000 UTM, o hasta 20.000 UTM tratándose de un operador de importancia vital. |
Infracciones gravísimas | Multas de hasta 20.000 UTM, o hasta 40.000 UTM si se trata de un operador de importancia vital. |
(Observando la tabla se hace más evidente la importancia que presenta considerar si estamos o no frente a un operador de importancia vital).
En cuanto a los procedimientos sancionatorios establecidos en la ley regulados entre los artículos 40 y 44 de la ley, podemos observar que esta establece un procedimiento simplificado siempre y cuando estamos frente a infracciones calificadas como leves, facultando a la ANCI de la posibilidad de proponer de manera inmediata la sanción a aplicar, la cual quedará firme en caso de que el infractor decida allanarse a los cargos formulados en su contra. En caso contrario, la ley nos remite a lo establecido en el artículo 40.
En cuanto al procedimiento administrativo sancionador, sin perjuicio de lo establecido en el artículo 42, este seguirá consecuentemente lo establecido en la ley 19.880 que establece las bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado.
La forma de pago de las multas se encuentra establecido en el artículo 44 de la ley, otorgándose un plazo de 10 días contados desde que el acto administrativo que las impone quede firme.
Finalmente, y respecto de los recursos, proceden los establecidos en la ley 19.880 conforme a lo señalado por el artículo 43 de esta ley.
5. Comentarios, conclusión y modificaciones legales
Tal y como pudimos observar, esta ley propone las directrices y un modelo de gobernanza en ciberseguridad sumamente vanguardista, generando así un avance muy grande en materia de seguridad digital en Chile, robusteciendo la seguridad en el ciberespacio tanto para las empresas privadas como para las personas naturales que hacen uso de estos servicios. Sin embargo y como todo, esta también trae aparejada una serie de obligaciones importantes en cuanto a monitoreo y gestión eficiente en el resguardo de los servicios digitales, razón por la cual se hace importante para las empresas afectas que puedan contar con una asesoría especializada en esta materia, una vez que esta entre en vigencia.
Si te interesa saber mas sobre este tema, escríbenos a:
info@moragaycia.cl