Santiago, 13 dic (elmundo.cr) – La Sala del Senado chileno despachó por amplia mayoría para su trámite de promulgación el proyecto que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
La iniciativa tiene por objeto establecer la institucionalidad indispensable con la finalidad de robustecer la ciberseguridad; ampliar y fortalecer el trabajo preventivo; formar una cultura pública en materia de seguridad digital; enfrentar las contingencias en el sector público y privado, y resguardar la seguridad de las personas en el ciberespacio.
Esta ley creará un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad.
La Ley Marco de Ciberseguridad crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias para los organismos de la Administración del Estado y de las instituciones privadas en esta materia.
El senador Kenneth Pugh, en su calidad de presidente de las comisiones unidas de Defensa y Seguridad, precisó que el texto legal crea un modelo de gobernanza que promueve la gestión de riesgos y la implementación de estándares de ciberseguridad, para mejorar la prevención, contención, resolución y respuesta de incidentes y ciberataques.
El modelo se basa en un sistema de colaboración público-privada, con obligaciones de ciberseguridad y sanciones diferenciadas por riesgos y tamaño.
Además, se crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades regulatorias, fiscalizadoras y sancionatorias, y crea el Consejo Multisectorial sobre Ciberseguridad, como asimismo crea un Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), habilita la creación de CSIRT Sectoriales, crea el CSIRT de la Defensa Nacional.
El secretario del Interior, Manuel Monsalve, cuando se dio la aprobación del proyecto en primer trámite aseguró que esta legislación “coloca a Chile a la vanguardia en materia de estándares en ciberseguridad”.
Antecedentes
En Chile, antes de la liberación de la 1ª Subasta 5G en 2021, la Subsecretaría de Telecomunicaciones (SUBTEL) publicó la Norma Técnica de Ciberseguridad para las Telecomunicaciones en 2020 por decreto (Resolución N° 1318/2020).
El decreto está explícitamente vinculado al principio de neutralidad, que permite a los operadores seleccionar los mejores proveedores para obtener los mejores resultados. El decreto se divide en tres secciones principales:
- Fundamentos generales de la ciberseguridad: proporciona una visión general del panorama de la ciberseguridad y describe los principios generales que deben seguirse para garantizar la seguridad de las redes de telecomunicaciones.
- Fundamentos Técnicos de Ciberseguridad: proporciona los requisitos técnicos que deben seguir los proveedores de servicios de telecomunicaciones para garantizar la seguridad de sus redes. Estos requisitos incluyen directrices para el diseño, la instalación y el funcionamiento de la red, así como medidas para prevenir los ciberataques. Se refiere a estándares internacionales como ISO, UIT y 3GPP.
- Fundamentos Operacionales de la Ciberseguridad: describe los procedimientos que deben seguir los proveedores de servicios de telecomunicaciones para garantizar la seguridad continua de sus redes. Estos procedimientos incluyen la gestión de incidentes, la gestión de riesgos y las auditorías de seguridad. Por ejemplo, establecer la obligación de reportar a la SUBTEL en caso de que los operadores sufran un incidente cibernético.
Actualmente, 4 operadores han desplegado redes 5G en la consideración de múltiples proveedores finalizando la 2ª fase, convirtiendo a Chile en uno de los referentes en LATAM.
Características de la Ley de Ciberseguridad de Chile:
- No hay restricciones para una tecnología inalámbrica como 5G, ni operadores 5G ni proveedores 5G
- No hay restricciones ni requisitos especiales para el proveedor de infraestructura como Huawei.
- No discriminación por país de origen
- Definir Operador CII (Infraestructura Crítica de Información – Proveedores de Servicios, del sector Público o Privado) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relacionada con dichas acciones o programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según corresponda, en la forma que determine el reglamento.
- Gestión de incidencias. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Se crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, en el seno de la Agencia Nacional de Ciberseguridad.