• Desde el Congreso, la ministra del Interior y Seguridad Pública, Carolina Tohá, agradeció el apoyo transversal del Congreso al proyecto y aseguró: “con esto lo que vamos a lograr es estar más seguros para que aquellos servicios que se prestan a través de modalidades digitales y también la información que ellos manejan y las comunicaciones entre las personas estén mejor resguardadas.”

“Este proyecto nos va a poner a la vanguardia en la región latinoamericana en esta materia. Vamos a tener una agencia encargada de este tema que va a definir estándares tanto para los servicios esenciales como para los operadores que tienen funciones vitales”, destacó la ministra Carolina Tohá. posterior a la aprobación del proyecto de ley en el Senado.

La norma, que quedó lista para ser promulgada a ley, crea la Agencia Nacional de Ciberseguridad (ANCI); el Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT Nacional); el CSIRT de la Defensa Nacional; el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.

Con este proyecto, ya son 20 las iniciativas despachadas de la agenda priorizada por más seguridad. “Es un avance muy importante que esperamos que en los próximos días se vea incrementado con algunos otros proyectos que están en la fase final de tramitación”, aseguró la titular de Interior. 

La Agencia Nacional de Ciberseguridad (ANCI)

La ANCI será un servicio público cuya función será regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad, además, contará con un mecanismo de autorización judicial si la Agencia requiera acceder a una red o sistema informático.

La Agencia podrá calificar otros servicios como esenciales mediante resolución del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público. Dicha calificación se someterá a consulta ciudadana.

Se establecen criterios generales para la identificación de Operadores de Importancia Vital (OIV):

– Que la provisión de dicho servicio dependa de las redes y sistemas informáticos.

– Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: la seguridad y orden público; la provisión continua y regular de servicios esenciales; en

el cumplimiento de las funciones del Estado o de los servicios que éste debe proveer o garantizar.

El proyecto faculta a la Agencia para calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos ya indicados previamente y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

La ley será aplicable a quienes sean considerados como servicios esenciales (SE) para el normal funcionamiento del país y a los operadores de importancia vital (OIV) dentro de los servicios esenciales.

La ley considera los siguientes Servicios Esenciales (SE):

– Organismos de administración del Estado y el Coordinador Eléctrico Nacional.

– Los servicios prestados bajo concesión de servicio público.

Aquellos prestados por instituciones privadas en los siguientes sectores:

1. Generación, transmisión o distribución eléctrica
2. Transporte, almacenamiento o distribución de combustibles;
3. Suministro de agua potable o saneamiento;
4. Telecomunicaciones; infraestructura digital; servicios digitales y tecnología de la información

gestionados por terceros;

5. Transporte terrestre, aéreo, ferroviario o marítimo;
6. Banca, servicios financieros y medios de pago;
7. Administración de prestaciones de seguridad social;
8. Servicios postales y de mensajería;
9. Prestación institucional de servicios de salud;
10. Producción y/o investigación de productos farmacéuticos.

Sanciones que incorpora la norma: 

La Agencia tendrá la capacidad de multar a los infractores de la normativa de ciberseguridad. Otras agencias sectoriales también podrán hacer uso de estas infracciones siempre en coordinación con la Agencia, permitiendo con ello que ninguna conducta quede sin sanción. En caso de que ambas agencias tuvieran la capacidad de multar, se establece el deber de coordinarse para evitar duplicidades o sanciones menos eficaces. 

Las sanciones a aplicar por la Agencia de Ciberseguridad van de 0 a 5000 UTMs en el caso de las infracciones leves para las SE y hasta 10.000 para las OIV. 

Las graves hasta 10.000 para las SE y 20.000 para las OIV. Las gravísimas hasta las 20.000 para las SE y las 40.000 para los OIV.