Ley Marco de Ciberseguridad

Ley Marco de Ciberseguridad

Objeto de la ley

La Ley N° 21.663, Marco de Ciberseguridad (Diario Oficial 08.04.2024), busca establecer:

  • La institucionalidad, principios y normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de los particulares.
  • Los requisitos mínimos para prevenir, contener, resolver y responder a incidentes de ciberseguridad.
  • Las atribuciones y obligaciones de los organismos públicos y de las instituciones obligadas por la ley.
  • Los mecanismos de control, supervisión y responsabilidad frente a infracciones.

Principios rectores

La ley se funda en los siguientes principios:

  • Control de daños.
  • Cooperación con la autoridad.
  • Coordinación.
  • Seguridad en el ciberespacio.
  • Respuesta responsable.
  • Seguridad informática.
  • Racionalidad.
  • Seguridad y privacidad por defecto y desde el diseño.

Ámbito de aplicación

La ley se aplica a instituciones que prestan servicios esenciales, incluyendo:

  • Organismos de la Administración del Estado.
  • Coordinador Eléctrico Nacional.
  • Empresas concesionarias de servicios públicos.
  • Empresas privadas que operen en sectores como electricidad, combustibles, agua potable, telecomunicaciones, infraestructura digital, transporte, banca, seguridad social, salud, servicios postales y farmacéuticos.

Además, la Agencia Nacional de Ciberseguridad puede calificar a ciertos prestadores de servicios esenciales como “operadores de importancia vital”.

Infracciones y sanciones

La competencia sancionatoria corresponde, en primer término, a la autoridad sectorial cuando exista normativa equivalente. En caso contrario, la competencia recae en la Agencia Nacional de Ciberseguridad.

Infracciones

Las infracciones se clasifican en:

  • Leves: retrasos en la entrega de información, incumplimiento de instrucciones generales y otras obligaciones menores.
  • Graves: incumplimiento de protocolos, no reportar incidentes, entregar información falsa o reincidir en infracciones leves.
  • Gravísimas: incumplimientos durante incidentes de impacto significativo, omisión de información relevante y reincidencia en infracciones graves.

Respecto de los operadores de importancia vital, también existen infracciones específicas vinculadas a:

  • Registro de acciones de seguridad.
  • Planes de continuidad operacional.
  • Sistemas de gestión de seguridad de la información.
  • Delegados de ciberseguridad.
  • Capacitación permanente.
  • Certificaciones.
  • Comunicación de incidentes relevantes.

Multas

Las multas pueden alcanzar:

  • Hasta 5.000 UTM para infracciones leves.
  • Hasta 10.000 UTM para infracciones graves.
  • Hasta 20.000 UTM para infracciones gravísimas.

En el caso de operadores de importancia vital, las multas pueden duplicarse y llegar hasta 40.000 UTMA.

Criterios para fijar la sanción

Para determinar la cuantía de la multa se considera:

  • Las medidas adoptadas por el infractor para proteger sus operaciones.
  • La probabilidad de ocurrencia del incidente.
  • El grado de exposición al riesgo.
  • La gravedad de los efectos del ataque.
  • La reiteración de infracciones.
  • El tamaño y capacidad económica del infractor.

Procedimiento simplificado

La ley contempla un procedimiento simplificado para infracciones leves.

En estos casos, la Agencia puede proponer inmediatamente una sanción. Si el infractor se allana, la sanción queda firme; si presenta descargos, se aplica el procedimiento general.

Procedimiento sancionatorio

El procedimiento se rige por la Ley N° 19.880 y contempla:

  • Formulación precisa y fundada de cargos.
  • Plazo de 15 a 30 días para presentar descargos.
  • Apertura de un término probatorio entre 10 y 20 días, prorrogable.
  • Prueba por cualquier medio admisible en derecho, apreciada conforme a la sana crítica.
  • Informe final del instructor.
  • Resolución fundada dictada por el Subdirector de la Agencia.

Recursos

Contra la resolución del Subdirector proceden los recursos administrativos de la Ley N° 19.880.

Además, existe un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la corte correspondiente al domicilio del reclamante, dentro de 15 días hábiles.

Ejecución de las multas

Las multas deben pagarse dentro de los 10 días siguientes a que la resolución quede firme. En caso de incumplimiento:

  • La sanción adquiere mérito ejecutivo.
  • La cobranza corresponde a la Tesorería General de la República.
  • Se aplican intereses y reajustes.

También existe un beneficio de pronto pago: si el infractor no interpone recursos y paga dentro de cinco días, obtiene una rebaja del 25% de la multa.

Referencias y Fuentes Oficiales

Rosa Gómez González

Rosa Gómez González

Abogada, Magíster en Derecho Regulatorio y Doctora en Derecho. Especialista en Derecho Administrativo, Sancionador y Urbanístico

También te puede interesar

Proyecto de ley que fortalece las atribuciones de la SiSS…

Ver artículo