Por Belén Quezada, Abogada Senior Apparcel Uriarte
Santiago, enero 2025.- El 1 de enero de 2025 entró en vigencia la Ley 21.663 Marco de Ciberseguridad en Chile, primera norma que regula esta materia entre los países de LATAM, que tiene como objetivos principales establecer una institucionalidad y normativa general, definir requisitos mínimos de ciberseguridad, delimitar responsabilidades y obligaciones, e implementar mecanismos de control y supervisión. Estos elementos son cruciales para promover un entorno más seguro y resiliente en el ciberespacio.
Una de las novedades destacadas de esta Ley es la creación de la Agencia Nacional de Ciberseguridad (“ANCI”), la que comenzó a funcionar el 2 de enero de este año y cuyo primer director es el abogado y doctor en Derecho de la Universidad de Chile, Daniel Álvarez Valenzuela, quien cuenta con una importante trayectoria en el desarrollo de políticas públicas en materia de ciberseguridad.
¿Quienes son los sujetos obligados por la Ley Marco de Ciberseguridad? Esta Ley se aplicará a las instituciones que presten servicios calificados como esenciales, tanto a aquellos singularizados en el artículo 4to de la Ley (Organismos de la Administración del Estado, Coordinador Eléctrico Nacional, instituciones privadas que desarrollan labores bancarias, servicios financieros y medios de pago, entre otras), como a aquellos que sean calificados como tales por la ANCI; y a las instituciones calificadas como operadores de importancia vital (“OIV”), calificación que también debe realizar la ANCI en el ejercicio de sus funciones.
La calificación por parte de la ANCI de los Operadores de Importancia Vital, así como los deberes específicos de éstos últimos, el deber de reportar incidentes de ciberseguridad, y la aplicación de sanciones establecidas en la Ley tendrán su entrada en vigencia el 1 de marzo de 2025.
¿Qué implican todos estos cambios? Sin lugar a dudas, es importante que exista un cambio cultural dentro de las organizaciones y las empresas en general, incluso aquellas que queden fuera del ámbito de aplicación de esta Ley, de manera que el capital humano tenga un conocimiento más avanzado en materia de ciberseguridad y protección de información digital, así como saber la forma idónea de reaccionar ante un ataque o incidente de ciberseguridad para que éste produzca el menor daño posible, reforzando así la resiliencia de las organizaciones.
Esta Ley asegura que estas medidas sean implementadas en aquellas instituciones que prestan servicios esenciales y en los OIV, pudiendo sancionar el incumplimiento con multas de hasta 40 mil UTM.
La Ley Marco de Ciberseguridad no es solo una cuestión técnica relegada al área de IT de una compañía; tiene un impacto en las organizaciones en su totalidad. Es por ello que una buena asesoría en la implementación de políticas adecuadas hasta la gestión de incidentes y la defensa de los derechos de las personas afectadas, es crucial para la vida y resiliencia de una organización, para garantizar que la ley no solo sea un marco normativo en papel, sino una realidad efectiva que proteja a todos los actores involucrados.
