Objeto de la ley
La Ley N° 21.663, Marco de Ciberseguridad (Diario Oficial 08.04.2024), busca establecer:
- La institucionalidad, principios y normativa general para estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y de los particulares.
- Los requisitos mínimos para prevenir, contener, resolver y responder a incidentes de ciberseguridad.
- Las atribuciones y obligaciones de los organismos públicos y de las instituciones obligadas por la ley.
- Los mecanismos de control, supervisión y responsabilidad frente a infracciones.
Principios rectores
La ley se funda en los siguientes principios:
- Control de daños.
- Cooperación con la autoridad.
- Coordinación.
- Seguridad en el ciberespacio.
- Respuesta responsable.
- Seguridad informática.
- Racionalidad.
- Seguridad y privacidad por defecto y desde el diseño.
Ámbito de aplicación
La ley se aplica a instituciones que prestan servicios esenciales, incluyendo:
- Organismos de la Administración del Estado.
- Coordinador Eléctrico Nacional.
- Empresas concesionarias de servicios públicos.
- Empresas privadas que operen en sectores como electricidad, combustibles, agua potable, telecomunicaciones, infraestructura digital, transporte, banca, seguridad social, salud, servicios postales y farmacéuticos.
Además, la Agencia Nacional de Ciberseguridad puede calificar a ciertos prestadores de servicios esenciales como “operadores de importancia vital”.
Infracciones y sanciones
La competencia sancionatoria corresponde, en primer término, a la autoridad sectorial cuando exista normativa equivalente. En caso contrario, la competencia recae en la Agencia Nacional de Ciberseguridad.
Infracciones
Las infracciones se clasifican en:
- Leves: retrasos en la entrega de información, incumplimiento de instrucciones generales y otras obligaciones menores.
- Graves: incumplimiento de protocolos, no reportar incidentes, entregar información falsa o reincidir en infracciones leves.
- Gravísimas: incumplimientos durante incidentes de impacto significativo, omisión de información relevante y reincidencia en infracciones graves.
Respecto de los operadores de importancia vital, también existen infracciones específicas vinculadas a:
- Registro de acciones de seguridad.
- Planes de continuidad operacional.
- Sistemas de gestión de seguridad de la información.
- Delegados de ciberseguridad.
- Capacitación permanente.
- Certificaciones.
- Comunicación de incidentes relevantes.
Multas
Las multas pueden alcanzar:
- Hasta 5.000 UTM para infracciones leves.
- Hasta 10.000 UTM para infracciones graves.
- Hasta 20.000 UTM para infracciones gravísimas.
En el caso de operadores de importancia vital, las multas pueden duplicarse y llegar hasta 40.000 UTMA.
Criterios para fijar la sanción
Para determinar la cuantía de la multa se considera:
- Las medidas adoptadas por el infractor para proteger sus operaciones.
- La probabilidad de ocurrencia del incidente.
- El grado de exposición al riesgo.
- La gravedad de los efectos del ataque.
- La reiteración de infracciones.
- El tamaño y capacidad económica del infractor.
Procedimiento simplificado
La ley contempla un procedimiento simplificado para infracciones leves.
En estos casos, la Agencia puede proponer inmediatamente una sanción. Si el infractor se allana, la sanción queda firme; si presenta descargos, se aplica el procedimiento general.
Procedimiento sancionatorio
El procedimiento se rige por la Ley N° 19.880 y contempla:
- Formulación precisa y fundada de cargos.
- Plazo de 15 a 30 días para presentar descargos.
- Apertura de un término probatorio entre 10 y 20 días, prorrogable.
- Prueba por cualquier medio admisible en derecho, apreciada conforme a la sana crítica.
- Informe final del instructor.
- Resolución fundada dictada por el Subdirector de la Agencia.
Recursos
Contra la resolución del Subdirector proceden los recursos administrativos de la Ley N° 19.880.
Además, existe un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la corte correspondiente al domicilio del reclamante, dentro de 15 días hábiles.
Ejecución de las multas
Las multas deben pagarse dentro de los 10 días siguientes a que la resolución quede firme. En caso de incumplimiento:
- La sanción adquiere mérito ejecutivo.
- La cobranza corresponde a la Tesorería General de la República.
- Se aplican intereses y reajustes.
También existe un beneficio de pronto pago: si el infractor no interpone recursos y paga dentro de cinco días, obtiene una rebaja del 25% de la multa.
Referencias y Fuentes Oficiales
- Fuente Base: LinkedIn
- Cita: Gómez y Rivera - Ley Marco de Ciberseguridad



