Con fecha 8 de abril de 2024 se publicó en el Diario Oficial la Ley Nº 21.663, «Ley Marco de Ciberseguridad», por medio de la cual se establece la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en su artículo 4°, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

La ley tiene 3 objetivos fundamentales:

• Definir la institucionalidad, los principios y la normativa que regirán las acciones de ciberseguridad de los órganos de la Administración del Estado y la relación entre éstos y los particulares.
• Establecer los requisitos mínimos para la prevención, contención, resolución y respuesta frente a los incidentes de ciberseguridad que se generen.
• Establecer las atribuciones y obligaciones tanto de los órganos del Estado como de las instituciones privadas que posean infraestructura crítica de la información, estableciendo mecanismos de control y un sistema de infracciones y sanciones.

Agencia Nacional de Ciberseguridad

La ley crea la Agencia Nacional de Ciberseguridad como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

El artículo 11 de la ley establece las atribuciones de la Agencia Nacional de Ciberseguridad.

Consejo Multisectorial sobre Ciberseguridad

En su artículo 20 la ley crea el Consejo Multisectorial sobre Ciberseguridad, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo sesionará, a lo menos, cuatro veces al año; sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas.

Red de Conectividad Segura del Estado

En su artículo 23, la ley crea la Red de Conectividad Segura del Estado (RCSE), que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1° de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará el funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.

Asimismo, dentro de la Agencia Nacional de Ciberseguridad en su artículo 24 se crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, (CSIRT Nacional), el que deberá responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de efecto significativo; coordinar a los CSIRT que pertenezcan a organismos de la Administración del Estado frente a ciberataques o incidentes de ciberseguridad de efecto significativo; Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias, entre otras funciones.

Infracciones y sanciones

La autoridad sectorial será competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones según lo establece la normativa sobre ciberseguridad que hubiere dictado y cuyos efectos sean, al menos, equivalentes al de la normativa dictada por la Agencia, conforme lo dispuesto en el artículo 26.

El artículo 38 de la ley establece las infracciones a las obligaciones que esta ley prescribe a los sujetos obligados por ella, las cuales se califican en leves, graves y gravísimas.

Asimismo, la infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo con la siguiente escala:

• Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales, o hasta 10.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
• Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales, o hasta 20.000 unidades tributarias mensuales si se trata de un operador de importancia vital.
• Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales, o hasta 40.000 unidades tributarias mensuales si se trata de un operador de importancia vital.

Procedimientos sancionatorios

Procedimiento Simplificado

El artículo 41 de la ley establece que, tratándose de la formulación de cargos por infracciones calificadas como leves en conformidad al artículo 38, la Agencia estará facultada para proponer de manera inmediata la sanción a aplicar. Dicha sanción quedará firme si el presunto infractor opta por allanarse a los cargos formulados en su contra. En caso contrario, si el presunto infractor decide rechazar la imputación y presentar descargos, se procederá conforme a lo indicado en el artículo 40.

Procedimiento administrativo sancionador

Por su parte, el artículo 42 de la ley señala que el procedimiento administrativo se regirá por lo prescrito en la ley Nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado, sin perjuicio de las disposiciones señaladas en el mencionado artículo.

Pago de las multas

Las multas deberán pagarse dentro de los diez días siguientes contados desde que el acto administrativo que las impone quede firme. Vencido ese plazo, la resolución que establezca la sanción tendrá mérito ejecutivo y se hará exigible por la Tesorería General de la República.

El pago de toda multa deberá ser acreditado ante la Agencia dentro de los diez días siguientes a la fecha en que debió ser pagada.

El retardo en el pago de estas multas devengará los intereses y reajustes establecidos en el artículo 53 del Código Tributario.

Procedimiento de reclamación judicial

Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último.

Comité Interministerial sobre Ciberseguridad

El artículo 48 de la ley, crea el Comité Interministerial sobre Ciberseguridad, que tendrá por objeto asesorar al Presidente de la República en materias de ciberseguridad relevantes para el funcionamiento del país.

Modificaciones legales

La ley Nº 21.663 modifica los siguientes cuerpos legales:

Modifica el artículo 25 de la ley Nº 20.424, estatuto orgánico del Ministerio de Defensa Nacional.

Modifica los artículo 2º y 16 de la ley 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest.

Consulte texto completo de la ley.