Agencia Nacional de Ciberseguridad: todo sobre las reglas y plazos que rigen a partir de enero

Chile da un nuevo paso en la construcción de sus bases digitales. El pasado 24 de diciembre, a través de un Decreto con Fuerza de Ley (DFL), se anunció que este 1° de enero la Agencia Nacional de Ciberseguridad (ANCI) se pone en marcha. ¿Qué representa esto para las organizaciones de Chile? Uno de los puntos que más inquietud genera, está relacionado a las sanciones y fiscalizaciones que serán ejecutadas por esta nueva agencia, la cual dio su puntapié inicial el primer día de 2025 y que, según indica el DFL publicado, irá desplegando sus capacidades conforme avance el año.

La primera agencia de este tipo en América Latina tiene su sede en Chile. La ANCI es un organismo creado por la Ley Marco de Ciberseguridad y que depende la Subsecretaría del Interior (parte del Ministerio del Interior y Seguridad Pública de Chile). Sus objetivos son -según consta en la mencionada ley- «asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad».

La Ley Marco de Ciberseguridad fue publicada en el Diario Oficial en abril del 2024 y, para su entrada en vigencia, se requiere además de la publicación de Decretos con Fuerza de Ley (DFL) emitidos por el Presidente de la República. El DFL es una regulación que tiene el mismo rango legal que una ley y que se dicta por expresa autorización del Congreso, sobre materias determinadas accesorias a un cuerpo legislativo, en este caso la ley mencionada. Este primer DFL publicado hace unos días, estipula la puesta en funcionamiento de la ANCI. ¿Qué significa exactamente la entrada en funcionamiento de este órgano?

Consultado sobre la dimensión regulatoria, Francisco Antonio Pino, abogado y especialista en Derecho Público, explicó: “Es importante entender que frente al surgimiento de una nueva institucionalidad y regulación existe una importante dimensión práctica y cultural. Cada una de estas leyes y reglas conexas, deberán ser interpretadas y -eventualmente- discutidas con órganos técnicos y jurisdiccionales«.

¿Qué es la Agencia Nacional de Ciberseguridad y cuándo comienzan las fiscalizaciones?

La Agencia Nacional de Ciberseguridad (ANCI) es el organismo descentralizado del Estado que tendrá como función principal el velar por el cumplimiento de la Ley Marco de Ciberseguridad. Bajo este mandato, se abren distintas verticales de acción donde se encuentran, por ejemplo, asesorar a Presidencia de la República de Chile, la fiscalización a órganos como el CSIRT de Gobierno, y también la ejecución de sanciones a las organizaciones y empresas que comentan faltas a la ley.

En este sentido, el DFL publicado da el puntapié inicial a la ANCI para su conformación. Es decir, a partir de enero, se conformará la planta de personal y se comenzará a armar la estructura necesaria para su correcto funcionamiento. Este primer decreto, determina por un lado, todo lo concerniente a la contratación de directivos, técnicos y profesionales para el nuevo organismo y define que, a partir de marzo de 2025, la ANCI realizará la calificación de aquellas organizaciones (privadas o públicas) que serán consideradas «operadores de importancia vital».

Estos operadores de importancia vital son los que se verán afectados por fiscalizaciones y sanciones y quienes deberán adecuarse a la ley de acuerdo y estarán obligados a:

• Implementar un sistema de gestión de seguridad de la información continuo*.
• Elaborar e implementar planes de continuidad operacional y ciberseguridad*.
• Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento*.
• Adoptar medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario*.
• Designar un delegado de Ciberseguridad*.
• Deber de reportar al CSIRT Nacional sobre los incidentes calificados como «significativos» (aquellos que interrumpan la continuidad de un servicio esencial, afecten la integridad física o la salud de las personas, afecten sistemas informáticos que contengan datos personales)*

*Ley Marco de Ciberseguridad N° 21.663, Artículos N° 8 y 9.

De esta forma, una vez categorizadas las empresas como operadores de importancia vital, se entiende que la ANCI ya estaría en condiciones de comenzar las fiscalizaciones y aplicar las multas correspondientes. Si bien, el inicio de este proceso está fechado para el 1° de marzo de este año, es probable que su plena vigencia cuente con un período de vacancia con el fin de dar a estos operadores un tiempo de adecuación a los requisitos.

Ley Marco de Ciberseguridad: otras reglas que ya están en vigencia en Chile

El DFL ya publicado, además de fijar la fecha de inicio de actividades de la ANCI, determina la entrada en vigencia de todas las normas de la Ley Marco excepto lo comprendido en los Artículos 5°, 8° y 9° y el Título VII (estos, hacen referencia a los operadores de importancia vital, fiscalizaciones y sanciones).

Por ejemplo, entre las reglas que ya están en vigencia se encuentran la creación de:

• Consejo Multisectorial sobre Ciberseguridad, «que estará integrado por el Director o Directora Nacional de la Agencia y seis consejeros ad honorem designados por el Presidente de la República».
• Red de Conectividad Segura del Estado, «que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1° de la presente ley».
• CSIRT Nacional (Equipo Nacional de Respuesta a Incidentes de Seguridad Informática).
• CSIRT de la Defensa Nacional (Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional)

Además, desde el 1° de enero y según consta en el cuerpo de la ley «el Senado, la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes». En este punto, es interesante destacar que -de acuerdo con la ley- estas instituciones «no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia; sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad» (Art. 53).

Ante la puesta en marcha del cuerpo casi completo de la ley, comienza ahora un proceso que sólo puede ir hacia adelante. Las adecuaciones de las organizaciones requerirán en menor o mayor medida de la contratación de sistemas, personal especializado y de una fase documental que les permita prepararse para el desafío.

Para este escenario próximo, Pino detalló: «Este marco normativo es importante, sin embargo, no debe olvidarse que la regulación interactúa con un mercado tecnológico de amplio y aventajado desarrollo, por ello es importante un diálogo equilibrado entre juristas especialistas, expertos en tecnología e industria. Sólo de este modo es posible lograr una comprensión y aplicación eficiente de esta nueva regulación”.