Home / Publicaciones / Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura...

Proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

A principios de Marzo de 2022, el Presidente de la República, a través de un mensaje, presentó al Congreso Nacional para su inicio un proyecto de ley marco sobre ciberseguridad e infraestructura crítica de la información (“Proyecto”). 

A continuación un resumen con los temas más relevantes del Proyecto.

1. Nuevo concepto de ciberespacio

El Proyecto tiene por finalidad regular y dar protección a la información en la industria informática, tanto en el sector público como privado, atendido que el exponencial crecimiento que ha tenido la industria informática en el último tiempo. 

Cobra relevancia en el Proyecto la definición de “Ciberespacio”, entendiendo por tal el dominio global y dinámico dentro del entorno de la información que corresponde al ambiente compuesto por las infraestructuras tecnológicas, los componentes lógicos de la información y los datos  que abarcan los dominios físico, virtual y cognitivo y las interacciones sociales que se verifican en su interior. 

2.    Infraestructura crítica de la información.

El Proyecto establece primeramente que, de forma periódica, el Ministerio del Interior y Seguridad Pública deberá determinar aquellos sectores o instituciones que constituyen servicios esenciales y poseen infraestructura crítica de la información. Para esta determinación se tendrán en consideración los siguientes factores: 

a.    El impacto de una posible interrupción o mal funcionamiento de los competentes de la infraestructura de la información, evaluando: (i) la cantidad de usuarios potencialmente afectados y su extensión geográfica; (ii) el efecto e impacto de la operación de infraestructura y/o servicios de sectores regulados cuya afectación es relevante para la población; (iii) la potencial afectación de la vida, integridad física o salud de las personas; y (iv) la seguridad nacional y el ejercicio de la soberanía;

b.    Capacidad del sistema informático, red o sistema de información o infraestructura afectada, para ser sustituido o reparado en un corto tiempo;

c.    Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel nacional o regional asociada al producto interno bruto; y

d.    Afectación relevante del funcionamiento del Estado y sus órganos. 

El Proyecto presume que poseen infraestructura crítica de la información todos los órganos del Estado, incluidas las municipalidades, las entidades fiscales autónomas, las empresas del Estado o aquellas en las que el Fisco tendrá intervención por aportes de capital. 

Aquellas empresas que posean infraestructura crítica de la información deberán aplicar permanentemente medidas de seguridad tecnológica, organizacionales, físicas e informativas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los riesgos, así como contener y mitigar el impacto sobre la continuidad operacional, la confidencialidad e integridad del servicio prestado. 

3.    Creación de agencia nacional de ciberseguridad

Para los efectos de lo indicado en el párrafo anterior, se contempla la creación de la Agencia Nacional de Ciberseguridad cuyo objeto será asesorar al Presidente de la República en materias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en la materia de ciberseguridad y regular y fiscalizar las acciones de los órganos de la Administración del Estado y privados que no se encuentren sometidos a la competencia de un regulador o fiscalizador sectorial y que posean infraestructura de la información calificada como crítica. 

La Agencia Nacional de Ciberseguridad administrará el Registro Nacional de Incidentes de Ciberseguridad en el cual ingresarán todos los datos técnicos y antecedentes necesarios para describir la ocurrencia de incidentes de ciberseguridad, con su análisis y estudio.

Dentro de la Agencia Nacional de Ciberseguridad se crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática que tendrá por funciones, entre otras: (i) responder ante incidentes de ciberseguridad o ciberataques; (ii) servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros para el intercambio de información de ciberseguridad; (iii) realizar entrenamiento, educación y capacitación en materia de ciberseguridad.

Todos los antecedentes, datos, informaciones y registros que obren en poder de alguno de los órganos que crearía el Proyecto, tendrán el carácter de secretos y de circulación restringida. 

4.    Tramitación

El Proyecto se encuentra en primer trámite constitucional en el Senado. Con fecha 15 de marzo de 2022, la el proyecto pasó a la Comisión de Defensa Nacional y de Seguridad Pública, unidas, y a la Comisión de Hacienda para que cada una elabora los informes pertinentes.  
 

Autores

Imagen deIsidora Rencoret
Isidora Rencoret
Asociada
Santiago