Ciberilatam 002

/ Segundo semestre 2024 46 Opinión C hile se encuentra dentro de los países líderes en materia de ciberseguri- dad en Latinoamérica, de acuerdo al último reporte del Global Security Index de la Unión Internacio- nal de Telecomunicaciones. Esta quinta edición nos coloca en un estado de que estamos estableciendo los diversos do- minios evaluados ( Tier 3- Establishing ), donde destacan las medidas de coope- ración internacional que hemos adopta- do y, especialmente, aquellas de índole normativa. Sobre este último punto, es importante mencionar que Chile aprobó la prime- ra Ley específica en ciberseguridad en Latinoamérica, que tiene por finalidad la creación de una Agencia especiali- zada en la materia (Agencia Nacional de Ciberseguridad), el fortalecimiento de las capacidades ante la respuesta de incidentes informáticos mediante la creación de un CSIRT Nacional y el esta- blecimiento de una serie de obligaciones para determinadas instituciones públicas y privadas, denominadas servicios esen- ciales y operadores de importancia vital, además de un deber transversal para ambos sujetos consistente en el reporte de incidentes de impacto significativo. En caso de incumplimiento de los de- beres, las organizaciones se exponen a multas que pueden llegar hasta 40.000 UTM (alrededor de 2,5 millones de euros). En ese sentido, si bien fue publicada la Ley (Nº 21.663) durante el mes de abril de 2024, aún no entra en vigencia, debiendo dictarse una serie de decretos y reglamen- tos para su total entrada en vigor. Cabe considerar que esta normativa tiene varios elementos que toman como referencia la Directiva Europea sobre Ci- berseguridad (NIS2). De hecho, durante el mes de octubre, venció el plazo para que los países europeos deban transpo- nerla en su ordenamiento interno. Consulta pública Hace algunas semanas atrás se presen- taron a consulta pública los reglamen- tos sobre el reporte de incidentes y de calificación de operadores de importan- cia vital. Uno de los elementos de los borrado- res fue que la calificación de los opera- dores de importancia vital será un proce- so liderado por la Agencia Nacional de Ciberseguridad de Chile para aquellos servicios esenciales. También se reco- noce la potestad de declarar mediante resolución del director de la Agencia a instituciones privadas que no sean servi- cios esenciales, pero que han adquirido un rol crítico en la sociedad y, por ende, que ante la ocurrencia de un incidente de ciberseguridad puede tener enormes consecuencias sociales y económicas para el país. Para este procedimiento, el borrador de reglamento reconoce la necesidad de contar con informes de aquellos organis- mos con competencias sectoriales antes de la decisión por las características de cada uno de los sectores. La propuesta aborda el proceso de consulta pública de la nómina preliminar de instituciones privadas hasta la calificación de aquellas como operadores de importancia vital, dejando abierta la posibilidad de que las instituciones puedan presentar recursos administrativos contra las resoluciones. Por otro lado, en cuanto al borrador del Reglamento de reporte de incidentes de ciberseguridad, reitera el deber de re- portar que aplica a todos los sujetos obli- gados de la normativa; y en particular, aquellos que son calificados de efecto significativo. Además, establece una se- rie de elementos que debería contener el informe de reporte; particularmente, su taxonomía. Y también la obligación de omitir datos personales en estos, salvo la dirección IP, que para dichos efectos no será considerado un dato personal. En ese mismo sentido, establece re- quisitos para la emisión de una alerta temprana desde que se tomó conoci- miento del incidente; de un segundo re- porte que, en el caso de los operadores Avances a nivel normativo en materia de ciberseguridad en Chile J uan P ablo G onzález G utiérrez A bogado y académico experto en regulación tecnológica