Ley de Ciberseguridad: Empresas esenciales deberán notificar incidentes en un máximo de tres horas

Hasta 40 mil UTM, unos 2.600 millones de pesos, podrán llegar las multas que podrá establecer la nueva Agencia Nacional de Ciberseguridad (Anic) a las empresas que incumplan las disposiciones de la nueva Ley que rige la materia. 

El pasado 24 de diciembre se publicó el Decreto con Fuerza de Ley N°1-21.663, el cual fija el inicio formal de las operaciones de la Agencia Nacional de Ciberseguridad (Anic) para el 01 de enero de 2025, junto a otras disposiciones administrativas clave para su puesta en marcha.

El presente decreto también establece el inicio de otros artículos de la Ley, entre ellos, aquellos que regulan el inicio de las fiscalizaciones a partir del 01 de marzo. Esto implica que las empresas que sean definidas como esenciales deberán informar sus incidentes informáticos que puedan tener un efecto significativo en sus sistemas en un plazo máximo de tres horas desde que se toma conocimiento del hecho.

Las áreas de los servicios considerados como esenciales

De acuerdo a la Ley, los servicios esenciales son aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; y servicios digitales y servicios de tecnología de la información gestionados por terceros.

También con considerados como esenciales los servicios de transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos.

Adicionalmente, la Anic podrá definir como Operadores de Importancia Vital a aquellas empresas que dependan de servicios de redes e informáticos, cuya afectación, interceptación, interrupción o destrucción genere un “impacto significativo en la seguridad y el orden público, en la provisión continua y esencial de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar”.

Además, la Agencia podrá declarar como Operadores de Importancia Vital a empresa cuya calificación “sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas”.

¿Cómo se definen los incidentes de ciberseguridad con efecto significativo?

Según la Ley, se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como afectar sistemas informáticos que contengan datos personales.

Para determinar la importancia de los efectos de un incidente, se tendrá especialmente en cuenta el número de personas afectadas, la duración del incidente y la extensión geográfica con respecto a la zona afectada por el incidente.

Compartir noticia

Ley de Ciberseguridad: Empresas esenciales deberán notificar incidentes en un máximo de tres horas

Decreto asociado a la Ley señala que la Agencia Nacional de Ciberseguridad comenzará a operar a partir del 01 de enero y que las empresas esenciales deberán notificar sus incidentes informáticos desde el 01 de marzo.