Columnas
Mes de la Ciberseguridad desde un enfoque normativo
Por Juan Pablo González Gutiérrez*.
La Ley Nº 21.113 que declaró a octubre como mes nacional de la ciberseguridad, en un contexto en que nos encontramos esperando la entrada en vigor de la Ley Nº 21.663, que creó la Agencia Nacional de Ciberseguridad (ANCI), se debe ver como una oportunidad, no solo desde un enfoque técnico, sino también en cuanto la generación de capacidades de concientización de la materia dentro de las organizaciones. Esto queda en evidencia, inclusive en la propia normativa en comento, en cuanto a las funciones de la ANCI relativas a coordinar anualmente un ejercicio nacional de comprobación de capacidades de ciberseguridad.
Además, a inicios de octubre, se presentaron una serie de reglamentos para la toma de razón en la Contraloría General de la República, en detalle:
- Decreto Nº 276, que trata sobre el funcionamiento del Consejo Multisectorial sobre Ciberseguridad. Este Consejo tiene por finalidad ser un órgano consultivo, que asesora y formula recomendaciones a la Agencia en cuanto a la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad y proponer medidas para abordarlas.
- Decreto Nº 285, que trata sobre el procedimiento de calificación de los operadores de importancia vital, indica las diversas etapas del procedimiento, que incluye una consulta pública y la posibilidad de presentar recursos en contra de la calificación que realice el Director de la ANCI.
- Decreto Nº 292, que trata sobre el Registro de Entidades Certificadoras, que tiene por finalidad establecer los requisitos para las entidades certificadoras debiendo ser personas jurídicas nacionales o extranjeras, públicas o privadas, domiciliadas en Chile, que cumplan requisitos que se establezcan en el Reglamento.
- Decreto Nº 293, que aprueba el funcionamiento de la Red de Conectividad segura del Estado y las obligaciones especiales de los organismos de la Administración del Estado. Es importante indicar que la Red de Conectividad del Estado ya existía, aunque a nivel reglamentario, pero con la Ley Marco se reconoce legalmente su existencia y, por ende, la obligatoriedad que determinados órganos de la Administración del Estado se conecten a ella.
- Decreto Nº 295, que establece el reporte de incidentes de Ciberseguridad, para aquellas instituciones públicas y privadas que presten servicios calificados como esenciales y aquellos que hubieren calificados como operadores de importancia vital, especialmente, en aquellos ciberataques e incidentes de ciberseguridad que pueden tener efectos significativos.
Cada uno de estos reglamentos abordan aspectos estratégicos de la Ley, y que son de especial interés para aquellos sectores que han sido señalados como esenciales de acuerdo a la normativa y, por ende, si cumplen con los requisitos de la reglamentación respectiva, puedan ser declarados operadores de importancia vital. Además, un punto relevante es lo relativo a la obligación de reporte de incidentes de impacto significativo, particularmente, en un entorno en que existen varias obligaciones de reporte en sectores estratégicos, como el financiero, de telecomunicaciones y eléctrico, entre otros. En ese sentido, es importante recordar lo que indica el principio de coordinación sectorial (ya reconocido en la Ley General de Bases de la Administración) en la necesidad de que las autoridades con competencia sectoriales deban cumplir con sus funciones de manera coordinada, ello con la finalidad que se logre una homogenización en ciertas reglamentaciones en sectores regulados.
Finalmente, la Ley Marco de Ciberseguridad que aún no entra en vigor, ha provocado mucho interés en los diversos sectores, sobre todo en vías de nuevas regulaciones en curso (por ejemplo, Ley de Datos Personales), y la expectativa de los Decretos con Fuerza de Ley (DFL) que indiquen la fecha de inicio de las actividades de la ANCI, como la entrada en vigor de las diferentes disposiciones que contiene, que no debe tener un plazo inferior a 6 meses. En ese sentido, se estima que a inicios 2025 ya contemos con una Agencia funcionando, la cual deberá establecer capacidades y promover la ciberseguridad, especialmente en un vertiginoso entorno regulatorio, donde las organizaciones privadas han tenido que sortear una serie de normativas que implican el gasto de recursos en la adopción de sistemas de cumplimiento, no solo desde un enfoque tecnológico, sino también en otras áreas que son críticas dentro de la organización y que pueden conllevar no solo pérdidas económicas, sino también de continuidad de negocios.
Juan Pablo González Gutiérrez, abogado de regulación tecnológica.