Diario Financiero
El proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información está en su segundo trámite constitucional en el Congreso y se espera que la próxima semana se vote en general en la Comisión de Seguridad Ciudadana de la Cámara de Diputados para luego pasar a su discusión en particular.
La regulación -que es parte de una lista de leyes que deben ser tramitadas en un plazo de 75 días en el marco de un acuerdo entre el Gobierno y el Congreso- crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad en los sectores público y privado, a través de la definición de conceptos, principios y deberes.
Para el abogado y subdirector del programa de Derecho, Ciencia y Tecnología de la Universidad Católica, Matías Aránguiz, esta legislación es 'urgente' y 'clave' para la protección de los activos de información el país, pero advirtió que es necesario corregir ciertos aspectos.
1.- Institucionalidad
Establece la creación de una institucionalidad inédita en el país, con la Agencia Nacional de Ciberseguridad, un Consejo Multisectorial sobre Ciberseguridad y también un Equipo de Respuesta a Incidentes de Seguridad Informática, conocidos por su sigla CSIRT.
Esta agencia será de carácter técnico y tendrá facultades normativas, fiscalizadoras y sancionatorias, por ende, será el regulador.
Si bien Aránguiz valoró su creación, dijo que las facultades que los parlamentarios le otorgaron son muy amplias y que habría que acotar ciertos aspectos.
'La técnica legislativa puede ser mejorable en algunos conceptos y partes. Tomando en consideración las amplias facultades de la agencia, la eventual violación de un principio podría autorizarla a realizar auditorías', argumentó.
Agregó que le parece 'importante' la existencia una agencia que fiscalice con la suficiente fuerza para hacerlo, pero que es necesario dar claridad bajo qué parámetros y contextos actuará.
2.- Suben los estándares
Aránguiz destacó que con la aprobación de esta ley se subirán los estándares que Chile tiene en ciberseguridad, a la par de otras legislaciones en el mundo.
Esto también se traduce en que las empresas y organizaciones deberán cumplir con nuevas exigencias y, por lo mismo, representaría una oportunidad para que estas puedan acceder a mercados internacionales, donde las exigencias en esta materia 'son cada vez mayores' al momento de contratar servicios.
'Me ha tocado revisar varios contratos con contrapartes europeas y en los anexos te preguntan cuáles son los puntos que la empresa u organización cumple en ciberseguridad', afirmó Aránguiz.
Según el abogado, este escenario empujaría a las empresas a cumplir y sería un habilitador del comercio internacional.
3.- Obligaciones
El texto del proyecto establece una serie de obligaciones para los organismos del Estado e instituciones privadas para aplicar de manera permanente las medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con la gestión de riesgos, mitigación de impacto y creación de planes.
También mandata la obligación de reportar incidentes en un plazo inferior a tres horas desde que se tuvo conocimiento del evento. Además, se prohíbe a los organismos e instituciones realizar pagos por rescate ante ataques de secuestro digital (ransomware).
Al respecto, Aránguiz señaló que el deber de reportar es una norma 'complicada', debido a que obligará a que las empresas deban tener personal vigilando el sistema y disponible todo el tiempo. Y en relación al pago por rescate, dijo que 'no sería tan tajante', porque hay servicios esenciales y los ataques 'son cada vez más frecuentes'.
4.- Sanciones
El texto contempla una serie de infracciones que se dividen en leves, graves y gravísimas. Las multas asociadas ascienden hasta las 20 mil unidades tributarias mensuales (UTM) y, en algunos casos, amonestaciones escritas.
En el caso de las infracciones gravísimas se consideran negar injustificadamente información a las autoridades o entregar información falsa a los organismos.
Para Aránguiz las sanciones son clave en leyes como esta y no hay doble lectura. 'En ciberseguridad tenemos que asegurar que las empresas cumplan. Me parece fantástico el catálogo de multas establecido', dijo.
5.- Operadores de importancia vital
Otro aspecto relevante en el proyecto es que la agencia deberá identificar operadores de importancia vital, ya sean instituciones públicas o privadas que, por prestar algún servicio esencial para el mantenimiento de actividades y cuya afectación pueda tener repercusión en la seguridad nacional.
Estas instituciones estarán obligadas a adquirir sistemas de gestión, así como planes de continuidad operacional, entre otros.
Acerca de este punto, Aránguiz dijo que es necesario entender que cualquier institución que sea designada bajo esta categoría tendrá una 'carga'.
'Es obvio que hay instituciones que deben tener un estándar de ciberseguridad más alto que el resto. Hay que tener ojo con qué tipo de empresas caerán en esa definición, y que realmente les corresponda', precisó.