Nueva gobernanza en Ciberseguridad avanza a su segundo trámite
La Sala del Senado despachó la nueva ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, que forma parte de la agenda de 31 proyectos con prioridad en materia de seguridad.
26 de abril de 2023Haciendo énfasis en la labor y el acuerdo concitado en las comisiones unidas de Defensa y Seguridad, así como en Hacienda, la Sala del Senado despachó en particular, la norma que establece una nueva Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
De este modo, la iniciativa que crea la Agencia Nacional de Ciberseguridad (ANCI) y que se encuentra dentro de la agenda de 31 proyectos priorizados por la mesa del Senado, en materia de seguridad, quedó en condiciones de ser analizada por la Cámara de Diputadas y Diputados, en su segundo trámite constitucional.
Durante el debate diversos senadores y senadoras realizaron un reconocimiento al trabajo desplegado por el senador Kenneth Pugh, presidente de las comisiones unidas, así como del Ministerio del Interior, encabezado por la ministra Carolina Tohá, el Coordinador Nacional de Ciberseguridad, Daniel Álvarez, así como el aporte de los representantes de la academia y diversas organizaciones sociales en orden a concordar las indicaciones y perfeccionamientos que recibió la iniciativa y que fueron despachadas con votaciones en su mayoría unánimes.
Precisamente, fue el senador Kenneth Pugh, en su calidad de presidente de las comisiones unidas de Defensa y Seguridad, el encargado de exponer los principales aspectos de la iniciativa que dispone la institucionalidad necesaria para robustecer la ciberseguridad, ampliar y fortalecer el trabajo preventivo, formar una cultura pública en materia de seguridad digital, enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio, entre sus principales aspectos.
Posteriormente, el senador Ricardo Lagos Weber, presidente de la Comisión de Hacienda, dio cuenta de los aspectos de su competencia, tales como, el financiamiento de los gastos permanentes cercanos a los $900 millones y transitorios por un monto que no supera los $60 millones.
Hicieron uso de la palabra los senadores Felipe Kast, José Miguel Insulza, Javier Macaya, Pedro Araya, Kenneth Pugh, Jaime Quintana, Luz Ebensperger, Ximena Órdenes y Yasna Provoste. Además del subsecretario del Interior, Manuel Monsalve.
El proyecto pone en el centro y releva la protección de los derechos de las personas. Otra innovación radica en la sustitución de la expresión “infraestructura crítica” por “operadores de importancia vital y servicios esenciales”.
La Agencia Nacional de Ciberseguridad, siguiendo el procedimiento previsto en el artículo 4, determinará aquellos que sean considerados como tales, y, dentro de estos, identificará a los operadores de importancia vital, de conformidad a los criterios establecidos en la ley.
El texto obligará a todos los organismos del Estado y a las instituciones privadas a dar cumplimiento a ciertos deberes generales: a saber, la adopción de medidas necesarias para prevenir, reportar y resolver incidentes de ciberseguridad; a gestionar los riesgos asociados, y a contener y mitigar sus impactos.
Para ello, la Agencia establecerá protocolos y estándares diferenciados según el tipo de organización de que se trate y tendrá especial consideración con las características y necesidades de las pequeñas y medianas empresas.
Asimismo, todas las entidades, sean públicas o privadas, con excepción de aquellas eximidas por la Agencia Nacional de Ciberseguridad, reportarán, en un plazo de tres horas, al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos. Asimismo, informarán su plan de acción tan pronto como lo hubieren adoptado. Adicionalmente, se les prohíbe expresamente realizar pagos de cualquier tipo por rescate ante ataques de secuestro de datos, de equipos o de dispositivos.
A su vez, los organismos del Estado con competencias específicas sobre servicios esenciales, incluidas las empresas públicas creadas por ley y las empresas del Estado y sociedades en la que este tenga participación accionaria sobre al 50 por ciento o mayoría en el directorio, y las instituciones privadas calificadas como “operadores de importancia vital”, tendrán mayores exigencias, debiendo observar los deberes específicos que contempla la norma.
La Agencia Nacional de Ciberseguridad regulará, fiscalizará y sancionará las acciones de seguridad informática de los organismos de la Administración del Estado y de las instituciones privadas.
Las entidades autónomas constitucionales, en tanto, por medio de sus órganos internos tendrán la obligación de adoptar las medidas especiales de ciberseguridad contempladas, dictando para ello las políticas, normas e instrucciones necesarias para dar cumplimiento a los principios y obligaciones de este texto legal, pudiendo requerir la asistencia de la Agencia Nacional de Ciberseguridad.
Si bien estos órganos no estarán sujetos a la fiscalización, regulación ni supervigilancia de esta última, deberán acordar mecanismos de coordinación, cooperación, reporte de incidentes e intercambio de información sobre seguridad informática, incluyendo la conformación de equipos de respuestas.
Cabe precisar que todas las normas que fueron aprobadas por unanimidad y que no fueron objeto de modificaciones se despacharon con el voto unánime de la Sala. Similar resultado (38 votos) obtuvieron las normas que llegaron al hemiciclo con votación de mayoría.
En tanto, la indicación renovada de los senadores Ximena Rincón y Matías Walker, en orden a precisar los requisitos para obtener el consentimiento en el caso de los denominados ‘hacking éticos’ no obtuvo el respaldo de la Sala. Mientras que la votación separada de la norma en comento se aprobó por 34 votos a favor, 3 en contra y 1 abstención.
Dentro de los argumentos precisados por el senador Pugh se consignó que la la nueva normativa incorpora las recomendaciones de la Unión Europea y el Convenio de Budapest, en orden a fomentar la prevención a través del fomento de la notificación de las eventuales vulnerabilidades de los sistemas.