Archivos de la etiqueta: Ciberseguridad

31Jul/24

Ley nº 21.678 de 18 de junio de 2024

Ley nº 21.678 de 18 de junio de 2024, que establece el Acceso a Internet como Servicio Público de Telecomunicaciones (Publicado 3 de julio de 2024)

LEY NÚM. 21.678, ESTABLECE EL ACCESO A INTERNET COMO SERVICIO PÚBLICO DE TELECOMUNICACIONES DE CHILE

    Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente

    Proyecto de ley:

    “Artículo único.- Introdúcense las siguientes modificaciones en la ley nº 18.168, General de Telecomunicaciones:

    1) Agrégase, en el literal b) del artículo 3º, la siguiente oración final: “Dentro de estos servicios se incluye el acceso a Internet.”.

    2) Incorpórase el siguiente párrafo segundo en la letra c) del artículo 3°:

    “No obstante lo dispuesto en el párrafo anterior, en el caso de que el permisionario de este tipo de servicios sea una comunidad de telecomunicaciones, constituida en conformidad al reglamento a que hace referencia el inciso final del artículo 24 B de la presente ley, se permitirá que las mismas presten sus servicios directamente a sus usuarios finales, sólo para el caso de la provisión de acceso a Internet.”.

    3) Agréganse, en el artículo 4°, los siguientes incisos cuarto, quinto y sexto:

    “Los servicios públicos de telecomunicaciones serán regidos por principios que aseguren la adaptabilidad y sustentabilidad del sector, destacando:

    1.- Neutralidad tecnológica. Consistente en la libertad de los concesionarios de servicios de telecomunicaciones para elegir cualquier tipo de tecnología que sea apta para la prestación del servicio, sujeta a las disposiciones legales y reglamentarias pertinentes.

    2.- Universalidad. Se impulsará el acceso universal a los servicios de telecomunicaciones, con especial énfasis en la conectividad a Internet, para asegurar la inclusión digital de toda la población, sin importar su ubicación geográfica.

    3.- Continuidad. Los servicios deberán ofrecerse de forma regular e ininterrumpida, cuya infracción acarrea las sanciones legales previstas para ello.

    4.- Convergencia tecnológica. Se entenderá como la integración funcional de múltiples servicios sobre una misma plataforma tecnológica, espectro asignado y redes de telecomunicaciones que permitan un uso más eficiente de la infraestructura existente.

    5.- Uso compartido de infraestructura física. Referente a que el despliegue de las redes de telecomunicaciones se haga de forma eficiente, aprovechando adecuadamente el uso de infraestructura ya habilitada y resiliente, fomentando así su uso compartido, independiente de su propiedad o destinación original.

    Lo anterior, no obstará a la promoción del despliegue de nuevas redes e infraestructura de telecomunicaciones.

    6.- Transparencia, igualdad y eficiencia en la asignación de recursos. Los procedimientos y criterios de asignación de recursos, incluido el espectro radioeléctrico, serán transparentes y accesibles al público, buscando la eficiencia en su asignación y uso y evitando discriminaciones arbitrarias.

    La aplicación y desarrollo de los principios antes mencionados se establecerá en un instrumento denominado Plan Nacional Digital, a cargo del Ministerio de Transportes y Telecomunicaciones, el que deberá contener, a lo menos, el desarrollo de los siguientes aspectos:

    a) Política de uso del espectro radioeléctrico, velando por su uso eficiente.

    b) Política nacional de inversiones, fomentando, en alianzas público-privadas, la cobertura de los servicios a nivel nacional.

    c) Política de conectividad, velando por promover la conectividad digital progresiva, en condiciones de calidad, a todos los habitantes del territorio nacional.

    d) Política de ciberseguridad en el ámbito de las telecomunicaciones.

    e) Política de accesibilidad universal, estableciendo mecanismos de promoción o subsidios, a fin de proveer progresivamente a todos los habitantes del territorio los servicios de telecomunicaciones.

    f) Política de calidad de servicios, fijando estándares de calidad para la prestación de los servicios para todo el territorio nacional.

    g) Política de promoción e investigación, fomentando en el sector la investigación, innovación y la formación de capital humano especializado.

    Los principios establecidos en este artículo serán aplicados de manera que fomenten la innovación y el desarrollo equitativo de las telecomunicaciones en todo el territorio nacional.”.

    4) Reemplázase el artículo 14, por el siguiente:

    “Artículo 14.- Son elementos de la esencia de una concesión y, por consiguiente, inmodificables:

    a) En los servicios de telecomunicaciones de libre recepción o de radiodifusión: el tipo de servicio, la zona de servicio, el período de la concesión, el plazo para iniciar la construcción de las obras y para su terminación, el plazo para el inicio de las transmisiones, la potencia y la frecuencia, y

    b) En los servicios públicos o intermedios de telecomunicaciones: el tipo de servicio conforme a lo definido en el artículo 3° de la presente ley y el período de la concesión.

    En todo decreto supremo que otorgue una concesión deberá dejarse constancia expresa de los elementos de la esencia y además de los siguientes elementos:

    1.- En los servicios de telecomunicaciones de libre recepción o de radiodifusión, su titular, la ubicación de los estudios, la ubicación de la planta transmisora, la ubicación y características técnicas del sistema radiante y el radioenlace estudio-planta, y

    2.- En los servicios públicos e intermedios de telecomunicaciones: su titular, las prestaciones específicas conforme a la normativa técnica y al tipo de servicio de que se trate y que se pretenda prestar, la zona de servicio, las características técnicas de las instalaciones que se especifiquen en los planes técnicos fundamentales correspondientes al tipo de servicio, el plazo para iniciar la construcción de las obras y para su terminación, el plazo para el inicio del servicio, la ubicación de las radio-estaciones, excluidas las móviles y portátiles, su potencia, la frecuencia y las características técnicas de los sistemas radiantes.

    Los elementos indicados en los números 1 y 2 precedentes, serán modificables por decreto supremo a solicitud de parte interesada.

    En las concesiones de servicios públicos e intermedios de telecomunicaciones, las solicitudes que digan relación con las zonas de servicios, potencia, frecuencia y características técnicas de los sistemas radiantes se regirán por las normas establecidas en los artículos 15 y 16 de esta ley, con excepción de: i) la adición de prestaciones específicas según el tipo de servicio que se pretenda prestar y ii) aquellas modificaciones que, sin importar una alteración de la zona de servicio, de las frecuencias, del ancho de banda o de las potencias máximas ya autorizadas, se instalen sobre infraestructuras ya autorizadas. En los casos individualizados en los ordinales i) y ii), la autorización se otorgará mediante resolución de la Subsecretaría o el organismo que la reemplace. Todo lo anterior, en base a los principios establecidos en el artículo 4° de esta ley.

    En las concesiones de servicio público de telecomunicaciones para la provisión de acceso a Internet que empleen bandas de uso compartido, así como en las concesiones que no conlleven asignación de espectro radioeléctrico, las solicitudes de otorgamiento o modificación correspondientes se regirán por las normas establecidas en los artículos 15 y 16, con excepción del trámite concerniente a la emisión del extracto y su publicación. Esto último, salvo que la solicitud suponga la instalación o cambio de ubicación de una torre soporte de antenas de aquellas que requieran permiso según la Ley General de Urbanismo y Construcciones. Las publicaciones previstas en las citadas disposiciones se harán en el sitio web de la Subsecretaría, conforme a lo dispuesto en el artículo 13 A.

    El Ministerio, en casos graves y urgentes y por resolución fundada, podrá acceder provisoriamente a las modificaciones solicitadas, sin perjuicio de lo que se pueda resolver en definitiva. Rechazada la solicitud, deberá dejarse sin efecto todo lo hecho en virtud de la autorización provisoria, sin derecho a indemnización o pago alguno.

    Las demás peticiones que signifiquen modificación a otros elementos de la concesión, distintos a los señalados precedentemente, deberán ser informados a la Subsecretaría, en forma previa a su ejecución. No obstante, requerirán aprobación aquéllas respecto de las cuales así lo disponga la normativa técnica, en cuyo caso la autorización se otorgará por simple resolución.

    No se admitirá a trámite la solicitud de otorgamiento o modificación de concesión que considere la ubicación de sistemas radiantes dentro de una zona declarada como saturada, de conformidad con el artículo 7°, o que de instalarse implicaría la declaración de una zona como tal, mientras que respecto de aquellas que se pretenda instalar en áreas de protección a que se refiere la ley nº 19.300 podrá admitirse tal solicitud, en este último caso, previo a la instalación se requerirá de aprobación del sistema de evaluación de impacto ambiental.

    Las solicitudes a que se refiere el presente artículo que digan relación con la instalación, operación y explotación de un sistema radiante deberán ser acompañadas de un diagrama de radiación de las antenas correspondientes.

    La autorización de adición de prestaciones específicas para las concesiones vigentes no podrá afectar la calidad del tipo de servicio de la solicitante ni de la o las prestaciones específicas originalmente autorizadas, debiendo condicionarse dicha autorización al cumplimiento de los siguientes requisitos, según sea el caso:

    a) La exigencia de contraprestaciones, en el sentido de implementar un proyecto técnico de similares características técnicas, cobertura y calidad de servicio al exigido en el último concurso público en que se haya adjudicado espectro en la misma macro banda de frecuencias. Para estos efectos, la Subsecretaría, mediante resolución, tomará en consideración la proporcionalidad del plazo de duración que le reste a la concesión respecto de la cual se le adicionan dichas prestaciones específicas.

    b) En caso que el último concurso público de espectro radioeléctrico cuya macro banda solicita adición de servicios se haya resuelto mediante licitación en los términos del artículo 13 C de esta ley, se exigirá, a beneficio fiscal, el pago de un precio equivalente al promedio recaudado por MHz o su equivalente en contraprestaciones debidamente definidas por la Subsecretaría. Para el cálculo del valor, la Subsecretaría, mediante resolución, deberá considerar la proporcionalidad del plazo de duración que le reste a la concesión respecto de la cual se le adicionan dichas contraprestaciones específicas.

    c) Contar con un informe favorable de la autoridad competente en resguardo de la libre competencia en los mercados, solicitado por la Subsecretaría correspondiente. Dicho informe deberá indicar que las exigencias señaladas en las letras a) y b) precedentes no implican otorgar ventajas competitivas en favor de los interesados que solicitan la incorporación de tales prestaciones específicas.”.

    5) En el inciso tercero del artículo 15:

    a) Reemplázase la frase: “en un diario o periódico de la capital de la provincia o de la región en que se ubicarán las instalaciones”, por la siguiente: “en la página web de la Subsecretaría”.

    b) Sustitúyese la frase “las publicaciones indicadas” por “la publicación indicada“.

    6) En el literal b) del artículo 16 bis:

    a) Intercálase en el párrafo primero, entre la palabra “personalmente” y la frase “o por carta certificada”, la siguiente expresión: “, por medios electrónicos”.

    b) Intercálase en el párrafo tercero, entre el vocablo “personalmente” y la frase “o por cédula”, la expresión siguiente: “, por medios electrónicos”.

    c) Agrégase el siguiente párrafo final:

    “La notificación realizada por medios electrónicos se entenderá practicada a partir del momento del envío. La Subsecretaría deberá publicitar en su sitio web la cuenta de correo electrónico u otras cuentas o dominios específicos de medios tecnológicos de los que se valdrán para practicar las notificaciones electrónicas, además de individualizarlos en las resoluciones que se pronuncien sobre las propuestas que se le formulen.”.

    7) En el artículo 18:

    a) Reemplázanse los incisos primero y segundo, por los siguientes:

    “Artículo 18.- Los titulares de servicios de telecomunicaciones tendrán derecho a tender o cruzar líneas aéreas o subterráneas y, asimismo, a desplegar sistemas radiantes para la prestación de servicios públicos o intermedios de telecomunicaciones sobre la infraestructura autorizada al efecto, de acuerdo con la normativa aplicable, en calles, plazas, parques, caminos y otros bienes nacionales de uso público, sólo para los fines específicos del servicio respectivo. El mismo derecho asistirá a los titulares de servicios intermedios de telecomunicaciones y a los de servicios públicos de telecomunicaciones, respecto de bienes fiscales, de aquellas infraestructuras que estén asociadas o sirvan a la explotación de una concesión de servicio público, o de una concesión de obra pública, pudiendo en estos casos incluir el emplazamiento de infraestructura de soporte si fuese necesario.

    El derecho a que se hace referencia en el inciso primero se ejercerá de modo tal que no se perjudique el uso principal de dichos bienes, ajustándose, además, al cumplimiento de las normas legales, reglamentarias, técnicas y ordenanzas que sean aplicables, y respetando los demás derechos otorgados por el Estado sobre tales bienes. El acceso a dichos bienes e infraestructuras deberá facilitarse en condiciones de igualdad, transparencia y no discriminación.”.

    b) Intercálanse los siguientes incisos tercero, cuarto, quinto, sexto, séptimo, octavo y noveno, pasando el actual inciso tercero a ser inciso décimo, y así sucesivamente:

    “En caso de que el derecho en cuestión recaiga sobre la infraestructura asociada o que sirva a la explotación de una concesión de servicio público, de una concesión de obra pública, o sobre bienes fiscales, se entenderá constituida una servidumbre legal, la que en este último caso será formalizada por el Ministerio de Bienes Nacionales o el organismo público titular del bien, debiendo el primero consultar las condiciones específicas para su constitución con el órgano del Estado que tenga el bien actualmente destinado. El Ministerio u órgano correspondiente deberá pronunciarse en el plazo máximo de ciento veinte días contado desde la recepción de la solicitud respectiva, de no hacerlo, se aplicará lo dispuesto en el artículo 64 de la ley nº 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado. El acto administrativo que certifique dicha omisión servirá de título para inscribir el gravamen en cuestión. Efectuadas estas últimas actuaciones, el concesionario de servicios intermedios o públicos de telecomunicaciones se entenderá autorizado para el despliegue de la infraestructura.

    Los términos, condiciones y compensaciones periódicas de la servidumbre legal serán convenidos por las partes con arreglo a las normas generales del derecho común; o determinadas en el acto administrativo que otorga la servidumbre por parte del órgano público respectivo. De suscitarse controversias al respecto, se seguirá el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley.

    Respecto de los bienes nacionales de uso público y bienes fiscales antes señalados, el ejercicio del derecho en cuestión, o la constitución del mismo, deberá cumplir con la tramitación de los actos administrativos pertinentes.

    La autoridad competente o el titular de la infraestructura sólo podrá denegar fundadamente la autorización si la constitución de la servidumbre o el ejercicio del derecho señalado en el inciso primero afecta el uso principal del bien, o por contravenir ello la normativa legal, reglamentaria, local o técnica aplicable.

    Quien tenga la administración de los bienes señalados en el inciso primero, en caso de existir por parte de los titulares de servicios de telecomunicaciones incumplimiento de las obligaciones dispuestas en el inciso segundo, o cuando por su inobservancia se hayan afectado gravemente los bienes sobre los cuales recae dicha servidumbre o el servicio prestado a través de ellos, podrá poner término a la servidumbre legal, pudiendo el afectado iniciar las acciones correspondientes, según el procedimiento jurisdiccional señalado en el artículo 19 de la presente ley. Lo anterior es sin perjuicio de las indemnizaciones que procedan por los daños ocasionados y la obligación de restaurar el bien afectado a su estado anterior.

    En caso de constituirse las servidumbres de que trata el presente artículo sobre instalaciones cuya valoración forme parte de procesos de tarificación regulados, como los contenidos en la Ley General de Servicios Eléctricos, en la Ley de Servicios de Gas, o en otras leyes sectoriales semejantes, los órganos encargados de dichos procesos deberán velar en todo momento por evitar que se generen dobles pagos por parte de los clientes finales de dichas instalaciones utilizadas para el otorgamiento de los distintos servicios regulados.

    Con todo, los interesados podrán pactar la constitución de servidumbres convencionales de acuerdo a las reglas comunes.”.

    c) Elimínase el actual inciso quinto.

    8) Sustitúyese el artículo 19, por el siguiente:

    “Artículo 19.- Tratándose de servicios públicos o intermedios de telecomunicaciones y siempre que los interesados no lleguen a un acuerdo directo en la forma prevista en el inciso final del artículo precedente, se entenderá constituida de pleno derecho una servidumbre legal para el efecto indicado en dicho artículo siempre que el Subsecretario de Telecomunicaciones por resolución fundada, declare imprescindible el servicio, estableciendo la zona geográfica pertinente a dicha declaración y las condiciones aplicables para su ejecución. Cualquiera de los interesados podrá solicitar la declaración de imprescindibilidad del servicio.

    El Subsecretario de Telecomunicaciones, al ejercer la facultad de declarar la imprescindibilidad de un servicio, tomará en cuenta factores, tales como la prestación de servicios en localidades, rutas o zonas aisladas; áreas de baja densidad poblacional o de vulnerabilidad socioeconómica; zonas beneficiadas por proyectos financiados por el Fondo de Desarrollo de las Telecomunicaciones; áreas de servicio obligatorio; o zonas atendidas por un único operador.

    En situaciones donde se declare un servicio como imprescindible, la indemnización correspondiente será determinada por los tribunales de justicia mediante procedimiento sumario, sin perjuicio de que las partes puedan acordar someter la cuestión a arbitraje.

    Podrá ejercerse el derecho a que se refiere el artículo anterior, aun antes de haberse dictado sentencia en juicio, siempre que el servicio público o intermedio interesado pague o asegure el pago de la cantidad que el tribunal fije provisionalmente oyendo a las partes y a un perito.”.

    9) Reemplázase el artículo 24 bis, por el siguiente:

    “Artículo 24 bis.- El concesionario de servicio público que presta el servicio telefónico a través del sistema de multiportador deberá ofrecer y proporcionar a todo concesionario de servicios intermedios que preste el servicio de larga distancia, igual clase de accesos o conexiones a su red respecto de la calidad, extensión, plazo, valor o cualquier otra característica de los servicios que les preste con motivo o en razón del acceso o uso.

    Las tarifas que podrá cobrar el concesionario de servicio público telefónico a los de servicios intermedios que presten el servicio de larga distancia a través del sistema de multiportador deberán ser aprobadas o fijadas por los Ministerios de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo, siempre que concurra la calificación del Tribunal de Defensa de la Libre Competencia prevista en el inciso segundo del artículo 29.

    Las disposiciones de este artículo serán reglamentadas mediante decreto supremo, que deberá llevar la firma de los Ministros de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo.”.

    10) Incorpórase el siguiente artículo 24 ter:

    “Artículo 24 ter.- Con el fin de resguardar la calidad de los servicios proporcionados a los usuarios, las empresas concesionarias están obligadas a reportar semestralmente al Ministerio de Transportes y Telecomunicaciones una lista clasificada de reclamos formulados por éstos. Dicho informe especificará el tipo de incidente, la región y comuna correspondiente, y el sector donde se produjo el incidente.”.

    11) Sustitúyese el artículo 24° B, por el siguiente:

    “Artículo 24 B.- Las empresas concesionarias de servicio público de telecomunicaciones estarán obligadas a dar servicio a los interesados que lo soliciten dentro de su zona de servicio establecida en los decretos de concesiones y sus modificaciones, y a los que, estando fuera de ella y/o de la de otro concesionario, costeen las extensiones o refuerzos necesarios para llegar hasta ella.

    En el caso de las concesionarias del servicio público que provean acceso a Internet fijo, la unidad mínima geográfica de su zona de servicio será en áreas urbanas a nivel de zona censal y en áreas rurales a nivel de entidad, según lo definido por el Instituto Nacional de Estadísticas. La Subsecretaría podrá, fundadamente, eximir de esta obligación a los operadores que cuenten con menos del 2% de participación del mercado de acceso fijo nacional. Los operadores que hayan sido eximidos de cumplir con la unidad mínima geográfica de la manera antes indicada, cuando superen el 2% de participación de mercado deberán cumplir en adelante con la unidad mínima geográfica establecida precedentemente respecto de las futuras solicitudes de modificaciones de concesión.

    En el caso de los servicios móviles, la obligatoriedad señalada en el inciso primero recae sobre la zona geográfica que cumpla las condiciones consideradas en el cálculo de zona de servicio que señale el concesionario en su proyecto técnico.

    Los interesados podrán ejecutar las obras de extensión o refuerzos por sí mismos, a través de concesionarios de infraestructura u otros terceros, o bien encargar su ejecución a la concesionaria que le proporcionará el servicio. Las obras deberán ser aprobadas por la Subsecretaría de Telecomunicaciones.

    Las señaladas obras darán derecho a usar los bienes señalados en el artículo 18, de la forma prevista en dicha disposición. Las extensiones o refuerzos serán de propiedad del interesado. Lo anterior, sin perjuicio de lo que acuerden las partes en esta materia.

    Para atender solicitudes de interesados ubicados fuera de su zona de servicio y de la zona de servicio de otros concesionarios, las empresas concesionarias de servicios públicos de telecomunicaciones podrán convenir el suministro del servicio público de telecomunicaciones con comunidades de usuarios u otros permisionarios o concesionarios, con el objeto de facilitar el acceso al servicio a un mayor número de personas.

    En el caso de los servicios limitados de telecomunicaciones a los que se refiere el párrafo segundo de la letra c) del artículo 3º, una norma técnica establecerá su funcionamiento y las interconexiones con las redes preexistentes.”.

    12) Reemplázase el artículo 24° C, por el siguiente:

    “Artículo 24 C. Tratándose de concesionarios de servicios públicos de telecomunicaciones, las prestaciones deberán otorgarse, dentro de su zona de servicio, en el plazo de seis meses contado desde la fecha de la solicitud que el interesado presente al concesionario. En los casos en que no exista infraestructura, este plazo será de doce meses contado desde la fecha de solicitud del interesado. En este último caso, el concesionario tendrá un plazo de noventa días contado desde la fecha de requerimiento de servicio por parte del interesado para solicitar a la Subsecretaría la autorización para ampliación de su red, los cuales serán no renovables.

    Con todo, el proveedor deberá desplegar todos los medios necesarios para la provisión del servicio requerido, especialmente cuando se trate de territorios en donde existan municipalidades, establecimientos de salud o de educación que requieran de servicios de telecomunicaciones para su adecuado funcionamiento, con especial énfasis en los establecimientos que se encuentren emplazados en zonas rurales y urbanas de bajos ingresos.

    Durante la vigencia de los estados de excepción, estados de catástrofe y emergencias sanitarias que sean declaradas por el Ministerio de Salud y por el Servicio Nacional de Prevención y Respuesta ante Desastres, en los que se requiera garantizar el acceso a Internet de los habitantes del territorio nacional como parte de la atención y mitigación de la emergencia y de sus efectos, las autoridades competentes, esto es, la Subsecretaría de Telecomunicaciones, las municipalidades, el Ministerio de Vivienda y Urbanismo, el Ministerio de Obras Públicas, u otro ministerio, adoptarán medidas excepcionales y provisorias para garantizar de manera inmediata que los operadores de infraestructura y los proveedores del servicio público de telecomunicaciones puedan iniciar el despliegue y la provisión del servicio a la comunidad.”.

    13) Agrégase, en el inciso final del artículo 24 H, la siguiente oración final: “Lo anterior, sin perjuicio de lo dispuesto en el párrafo segundo de la letra c) del artículo 3° de la presente ley.”.

    14) En el artículo 25:

    a) Suprímese, en el inciso primero, la frase “que presten servicio telefónico de larga distancia,”.

    b) Suprímense, en el inciso segundo, las siguientes frases: “para cursar comunicaciones de larga distancia,”,de cada zona primaria” y “, según las disposiciones del artículo 24 bis y su reglamento”.

    c) Suprímense, en el inciso tercero, las expresiones “de larga distancia” e “inciso décimo del”.

    d) Elimínase, en el inciso cuarto, la frase “, en una misma zona primaria”.

    15) Incorpórase, a continuación del artículo 26 bis, el siguiente artículo 26 ter:

    “Artículo 26 ter.- Los concesionarios de servicios públicos de telecomunicaciones estarán obligados a proporcionar a la Subsecretaría de Telecomunicaciones acceso seguro a través de una interfaz web con perfiles de usuario específicos para lectura y exportación de datos, permitiendo el monitoreo en tiempo real de la información de los centros de control de red. Esta interfaz propenderá a garantizar la ciberseguridad tanto de los datos de los concesionarios como de la Subsecretaría. Adicionalmente, los concesionarios entregarán datos relevantes sobre la calidad del servicio y la gestión de incidentes, incluyendo alertas y resolución de fallas que sean críticos para el ejercicio de las facultades de la Subsecretaría. Un reglamento especificará los protocolos de seguridad y los requisitos técnicos necesarios para implementar estas medidas.”.

    16) Incorpórase, en el inciso primero del artículo 28 A, a continuación de la palabra “cobertura”, la frase “y el acceso a usuarios finales”.

    17) Agrégase, en el artículo 28 C, el siguiente inciso final:

    “A su vez, para incluir iniciativas de inversión para el desarrollo de infraestructura de telecomunicaciones en el programa anual de proyectos subsidiables, la Subsecretaría deberá acompañar un informe de evaluación de rentabilidad social favorable elaborado por la Subsecretaría de Evaluación Social del Ministerio de Desarrollo Social y Familia, acorde a lo señalado en el literal g) del artículo 3° de la ley nº 20.530. Lo anterior, respecto de iniciativas que provean infraestructura física o su mantenimiento y que persigan la obtención de una concesión de servicio intermedio de telecomunicaciones, de televisión o de radiodifusión. La metodología para esta evaluación se establecerá en el reglamento señalado en el artículo 28 I.”.

    18) Agrégase el siguiente artículo 28 D bis:

    “Artículo 28 D bis.- Sin perjuicio de lo dispuesto en el artículo anterior, anualmente, el Presidente de la República, durante la discusión del proyecto de ley de Presupuestos del Sector Público, y a través de la presentación de la respectiva glosa presupuestaria, podrá habilitar a que, con cargo a los recursos del Fondo de Desarrollo de las Telecomunicaciones, se disponga de un subsidio para el pago de las cuentas de servicios de Internet de un determinado porcentaje de los usuarios más vulnerables del país, de acuerdo a lo consignado en el Registro Social de Hogares u otro instrumento idóneo que al efecto establezca.”.

    19) Agrégase, en el numeral 1) del artículo 28 E, la siguiente oración final: “Estos criterios deberán considerar elementos objetivos que permitan focalizar y establecer un orden de prelación de los proyectos en la población con menor acceso a servicios de telecomunicaciones, de conformidad con lo establecido en el artículo 28 A.”.

    20) Reemplázase, en el artículo 28 I, la frase: “por los Ministros de Economía, Fomento y Turismo y de Hacienda”, por la siguiente: “por los Ministros de Economía, Fomento y Turismo, de Hacienda y de Desarrollo Social y Familia”.

    21) Reemplázase el artículo 31 bis, por el siguiente:

    “Artículo 31 bis.- La Subsecretaría de Telecomunicaciones tendrá la facultad de solicitar a los concesionarios y permisionarios de servicios de telecomunicaciones los informes técnicos y comerciales que requiera para el desempeño de sus competencias reguladoras establecidas en el decreto ley nº 1.762, de 1977, y en la legislación vigente. Dicha información deberá ser proporcionada de manera oportuna y veraz y será protegida bajo las normas de la ley nº 20.285, sobre acceso a la información pública. La negativa o retardo en la entrega de la información o antecedentes solicitados o la entrega de información falseada, serán sancionadas según lo dispuesto en el Título VII de la presente ley.”.

    22) Sustitúyense, en el párrafo primero del numeral 2 del inciso primero del artículo 36, los guarismos “100” por “500” y “1.000” por “5.000”.

    23) Reemplázase, en el inciso primero del artículo 36 A, la frase “y fijar domicilio dentro del radio urbano de la comuna de Santiago”, por la siguiente: “y señalar una casilla de correo electrónico para efectos de las notificaciones por medios electrónicos, además de fijar domicilio dentro del territorio nacional”.

    24) En el artículo 36 B:

    a) Reemplázase, en la letra b), la expresión “de presidio menor en cualquiera de sus grados” por “de presidio menor en su grado máximo”.

    b) Agrégase la siguiente letra g):

    “g) El que maliciosamente destruya, dañe o inutilice la infraestructura de telecomunicaciones, e interrumpa su servicio, sufrirá la pena de presidio menor en sus grados medio a máximo.”.

    Artículos Transitorios

    Artículo primero.- A contar de la publicación de la presente ley, el derecho a que se refiere el inciso primero del artículo 18 de la ley nº 18.168, General de Telecomunicaciones, no podrá ser ejercido para el despliegue de líneas aéreas sobre plazas públicas.

    Artículo segundo.- Los servicios de acceso de comunicaciones a la red local prestados a las concesionarias de servicios intermedios de larga distancia y las facilidades asociadas al sistema multiportador, cuya tarificación procedía hasta esta fecha por el sólo ministerio de la ley, deberán seguir siendo provistos por las concesionarias de servicio público que prestan servicios de telefonía a los concesionarios de larga distancia interconectados, por todo el período que reste de vigencia de las concesiones correspondientes. Se mantendrán vigentes la última estructura, niveles tarifarios e indexación aplicable, establecidos por los Ministerios de Transportes y Telecomunicaciones y de Economía, Fomento y Turismo, en los respectivos decretos tarifarios.

    Artículo tercero.- El reglamento al que se refiere el artículo 26 ter deberá dictarse por el Ministerio de Transportes y Telecomunicaciones en el plazo de doce meses contado desde la publicación en el Diario Oficial de los reglamentos establecidos en la ley nº 21.663, Ley Marco de Ciberseguridad.

    Artículo cuarto.- La obligación establecida en el inciso final del artículo 28 C, incorporado por el número 17) del artículo único de esta ley, comenzará a regir transcurridos veinticuatro meses desde la publicación en el Diario Oficial de la presente ley.”.

    Habiéndose cumplido con lo establecido en el nº 1 del Artículo 93 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto promúlguese y llévese a efecto como Ley de la República.

    Santiago, 18 de junio de 2024.- GABRIEL BORIC FONT, Presidente de la República.- Juan Carlos Muñoz Abogabir, Ministro de Transportes y Telecomunicaciones.- Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo.- Javiera Toro Cáceres, Ministra de Desarrollo Social y Familia.- Marcela Sandoval Osorio, Ministra de Bienes Nacionales.

    Lo que transcribo para su conocimiento.- Saluda atentamente a usted, Claudio Araya San Martín, Subsecretario de Telecomunicaciones.

    Tribunal Constitucional

    Proyecto de ley para reconocer el acceso a internet como un servicio público de telecomunicaciones, correspondiente al Boletín nº 11.632-15

    La Secretaria del Tribunal Constitucional, quien suscribe, certifica que el Honorable Senado de la República envió el proyecto enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal ejerza el control de constitucionalidad respecto de las disposiciones contenidas en el artículo único, número 7), letra b), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido, por sentencia de 5 de junio de 2024, en el proceso Rol nº 15.415-24-CPR.

    Se resuelve:

    1) Que las disposiciones contenidas en el artículo único, número 12), que reemplaza el artículo 24 C, inciso tercero, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido por el Congreso Nacional, son propias de Ley Orgánica Constitucional y se encuentran ajustadas a la Constitución Política de la República.

    2) Que este Tribunal Constitucional no emite pronunciamiento, en examen preventivo de constitucionalidad, respecto de las disposiciones contenidas en el artículo único, número 7), letra B), que reemplaza el artículo 18, incisos cuarto y séptimo, de la Ley nº 18.168, General de Telecomunicaciones; y en el artículo único, número 8), que sustituye el artículo 19, incisos primero, tercero y cuarto, de la Ley nº 18.168, General de Telecomunicaciones, del proyecto de ley remitido a control, por no versar sobre materias propias de Ley Orgánica Constitucional.

    Santiago, 6 de junio de 2024.- María Angélica Barriga Meza, Secretaria Abogado.

08Abr/24

Ley nº 21.663, Marco sobre Ciberseguridad e infraestructura Crítica de la información, de 26 de marzo de 2024

Ley nº 21.663, Marco sobre Ciberseguridad e infraestructura Crítica de la información, de 26 de marzo de 2024. (Diario Oficial de la República de Chile. Lunes 8 de abril de 2024)

Ministerio del Interior y Seguridad Pública.

Ley nº 21.663

Ley Marco de Ciberseguridad

Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente Proyecto de ley:

“TÍTULO I. Disposiciones generales

“Artículo 1°. Objeto.

La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en el artículo 4°, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para efectos de esta ley, la Administración del Estado estará constituida por los Ministerios, las delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

Las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.

Artículo 2°. Definiciones.

Para efectos de esta ley se entenderá por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.

2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.

3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.

4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

5. Ciberataque: intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.

6. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

7. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

8. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

9. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.

10. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos.

11. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

12. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.

13. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de  ciberseguridad.

14. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.

15. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3°. Principios rectores.

Para alcanzar los objetivos de esta ley se deberán observar los siguientes principios:

1. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad siempre se deberá actuar coordinada y diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.

2. Principio de cooperación con la autoridad: para resolver los incidentes de ciberseguridad se deberá prestar la cooperación debida con la autoridad competente y, si es necesario, cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

3. Principio de coordinación: de conformidad a lo dispuesto por el inciso segundo del artículo 5º del decreto con fuerza de ley Nº1-19.653 que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, la Agencia y las autoridades sectoriales deberán cumplir sus cometidos coordinadamente y propender a la unidad de acción, evitando la duplicación o interferencia de funciones.

4. Principio de seguridad en el ciberespacio: es deber del Estado resguardar la seguridad en el ciberespacio. El Estado velará porque todas las personas puedan participar de un ciberespacio seguro otorgando especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques.

5. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.

6. Principio de seguridad informática: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado.

7. Principio de racionalidad: las medidas para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, así como al impacto social y económico que tendría.

8. Principio de seguridad y privacidad por defecto y desde el diseño: Los sistemas informáticos, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales que procesan.

TÍTULO II. Obligaciones de ciberseguridad

Párrafo 1°. Servicios esenciales y operadores de importancia vital

Artículo 4°. Ámbito de aplicación.

La presente ley se aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en los incisos segundo y tercero de este artículo y a aquellas que sean calificadas como operadores de importancia vital, de conformidad con lo dispuesto en los artículos 5 y 6 de esta ley.

Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

Dicha calificación deberá someterse al proceso de consulta pública y se regirá por las disposiciones de la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

La Agencia identificará, mediante resolución exenta dictada conforme el procedimiento dispuesto en este artículo, las infraestructuras, procesos o funciones específicas que serán calificadas como esenciales, y que quedarán sujetas a las obligaciones establecidas en el artículo 8° de esta ley.

Artículo 5. Operadores de Importancia Vital.

La Agencia establecerá mediante resolución dictada por el o la Directora Nacional, según se establece en el artículo siguiente, a los prestadores de servicios esenciales que sean calificados como operadores de importancia vital.

La Agencia podrá calificar como operadores de importancia vital a quienes reúnan los siguientes requisitos:

1.- que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y,

2.- que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.

Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y  la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

En cualquier caso, siempre se deberá tener en consideración el tamaño de la institución privada, especialmente las características y necesidades de las micro, pequeñas y medianas empresas, tal como se definen en la ley N° 20.416.

Artículo 6. Procedimiento de calificación de los operadores de importancia vital. Al menos cada tres años, la Agencia deberá revisar y actualizar la calificación de operadores de importancia vital mediante una resolución dictada por la Directora o el Director Nacional.

Para los efectos del inciso anterior, la Agencia requerirá informe fundado a los organismos públicos con competencia sectorial para que se pronuncien sobre aquellas instituciones públicas y privadas que deban calificarse como operadores de importancia vital. Dichos informes deberán evacuarse en la forma prescrita en el artículo 37 bis de la ley Nº19.880.

Recibidos los informes indicados precedentemente la Agencia dispondrá de un plazo de treinta días corridos para evacuar un informe que contendrá la nómina preliminar de las instituciones calificadas como operadores de importancia vital. Esta nómina preliminar deberá ser sometida a consulta pública por un plazo de treinta días corridos sólo respecto de las instituciones privadas, en la forma que determine el reglamento de la presente ley. Respecto de las instituciones públicas, se deberá requerir informe del Ministerio de Hacienda, en los términos del inciso precedente.

Terminado el proceso de consulta pública y recibido el informe del Ministerio de Hacienda, la Agencia dispondrá de treinta días corridos para elaborar el informe que contendrá la nómina final de instituciones que deban ser calificadas como operadores de importancia vital, individualizándolas en la forma que señale el reglamento.

Cumplidas las etapas anteriores, la Agencia, mediante resolución fundada de su Director o Directora, determinará los operadores de importancia vital.

En contra de la resolución que se dicte podrán deducirse aquellos recursos a que se refiere la ley N° 19.880, sin perjuicio de la facultad de ejercer el recurso establecido en el artículo 46 de la presente ley.

Un reglamento expedido por el Ministerio encargado de la seguridad pública contemplará los demás aspectos del procedimiento que sean necesarios para su correcta ejecución.

Párrafo 2°. Obligaciones de ciberseguridad

Artículo 7°. Deberes generales.

Las instituciones obligadas por la presente ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes o sistemas informáticos de conformidad con lo prescrito en la presente ley.

Para efectos de emitir las medidas de seguridad a que se refiere el inciso primero, la Agencia deberá observar lo prescrito en el artículo 25, según corresponda. Dichos protocolos y estándares deberán someterse a consulta pública, en la misma forma y plazo señalados en el inciso tercero del artículo 6. La medida deberá publicarse junto con el informe en que se justifique el rechazo o modificación de las observaciones que correspondan.

La Agencia deberá establecer medidas de seguridad diferenciadas según el tipo de organización de que se trate, teniendo especialmente en consideración las características y posibilidades de las pequeñas y medianas empresas definidas por la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Artículo 8º. Deberes específicos de los operadores de importancia vital.

Todos los operadores de importancia vital deberán:

a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.

Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse en conformidad al artículo 28 de la presente ley, y deberán someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.

Con todo, la Agencia podrá instruir a uno o más operadores de importancia vital, fundadamente y por motivos sobrevinientes graves, la certificación de sus planes de continuidad operacional o ciberseguridad en un plazo menor al indicado en el párrafo precedente; sin embargo, la Agencia sólo podrá ejercer esta facultad, respecto de cada operador de importancia vital, siempre que la certificación tenga al menos un año de vigencia.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.

e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones que señale el artículo 28 de la presente ley.

g) Informar a los potenciales afectados, en la medida que puedan identificarse y cunado así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.

h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

i) Designar un delegado de ciberseguridad quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.

Artículo 9°. Deber de reportar.

Todas las instituciones públicas y privadas señaladas en el artículo 4° de la presente ley, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 27, tan pronto les sea posible y conforme el siguiente esquema:

a) Dentro del plazo máximo de 3 horas contadas desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que tiene impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento,

b) Dentro del plazo máximo de 72 horas, una actualización de la información contemplada en la letra a), que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles.

Sin embargo, en caso que la institución afectada fuera un operador de importancia vital y este viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT Nacional en un plazo máximo de 24 horas contadas desde que haya tenido conocimiento del incidente;

c) Dentro del plazo máximo de quince días corridos contados desde el envío de la alerta temprana contemplada en la letra a), un informe final en el que se recojan al menos los siguientes elementos:

i) una descripción detallada del incidente, incluyendo su gravedad e impacto;

ii) el tipo de amenaza o causa principal que probablemente haya causado el incidente;

iii) las medidas de mitigación aplicadas y en curso;

 iv) si procede, las repercusiones transfronterizas del incidente;

e) En el caso de que el incidente siga en curso con posterioridad a la presentación del informe contemplado en el literal c), éste se reemplazará por un informe de situación en ese momento, debiendo el informe final ser presentado en el plazo de 15 días corridos contados desde que se haya gestionado el incidente.

Sin perjuicio de lo anterior, tanto el CSIRT Nacional como la autoridad sectorial competente podrán requerir las actualizaciones pertinentes sobre la situación.

Los operadores de importancia vital deberán, además, informar al CSIRT Nacional su plan de acción, tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos contados desde que se tuvo conocimiento de la ocurrencia del incidente.

En el caso de los organismos del Estado, para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado, y siempre que tenga por objeto prevenir, detectar o responder a incidentes, recuperarse de ellos o reducir su repercusión; o reforzar el nivel de ciberseguridad, garantizando a su vez que se respete la posible naturaleza delicada de la información compartida. Con el objeto de cumplir con lo anterior, los contratos de prestación de servicios no podrán contener ninguna cláusula que pudiera restringir o dificultar de cualquier modo la comunicación de información sobre amenazas por parte del prestador de servicios, siempre y cuando con ello no se comprometa la seguridad y protección de datos, incluida la confidencialidad y protección de la propiedad intelectual.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.

En caso de existir la obligación de notificar a más de una autoridad, la Agencia en conjunto con las autoridades involucradas y conforme lo dispuesto en el artículo 24 de la presente ley, procurará poner a disposición de los obligados un sistema de ventanilla única que permita la notificación simultánea a todas ellas.

Un reglamento expedido por el Ministerio encargado de la Seguridad Pública regulará el contenido de las diversas clases de reportes señalados en este artículo.

TÍTULO III. De la Agencia Nacional de Ciberseguridad

Párrafo 1°. Objeto, naturaleza y atribuciones

Artículo 10. Agencia Nacional de Ciberseguridad.

Créase la Agencia Nacional de Ciberseguridad como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.

Artículo 11. Atribuciones.

Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.

b) Dictar los protocolos y estándares que señala el artículo 7; las instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley; y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos.

c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.

d) Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado; y requerir de estos la información que sea necesaria para el cumplimiento de sus fines.

e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.

f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

g) Calificar, mediante resolución fundada y en la forma prevista en los artículos 4, 5 y 6 de esta ley, a los servicios esenciales y a los operadores de importancia vital.

h) Requerir a las entidades obligadas por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia, conforme lo dispuesto en el literal g) del artículo 8º de la presente ley.

i) Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad.

j) Requerir a los organismos de la Administración del Estado y a las instituciones privadas señaladas en el artículo 4º de la presente ley acceso a la información estrictamente necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o para gestionar uno que ya hubiera ocurrido. Para lo anterior, podrá requerir la entrega del registro de actividades de las redes y sistemas informáticos que permitan comprender detalles de los incidentes de ciberseguridad que puedan haber ocurrido.

Para el ejercicio de esta atribución, la instrucción siempre tendrá carácter particular, debiendo especificarse la información solicitada y fundarse debidamente. Cuando la información referida en el inciso anterior pudiera incluir datos personales estos deberán ser anonimizados, siempre que ello sea posible sin entorpecer la gestión de incidentes. En cualquier caso, los datos personales sólo podrán ser tratados dando estricto cumplimiento a lo dispuesto en la ley 19.628, y en particular, al principio de finalidad, sin perjuicio de lo que define la presente ley y sus reglamentos.

Con todo, para efectos de lo dispuesto en esta ley, no se considerará que la dirección IP sea un dato personal.

k) Requerir, mediante instrucción de su Director o Directora, en casos de incidentes de impacto significativo cuya gestión lo haga imprescindible, el acceso a redes y sistemas informáticos. Este requerimiento deberá notificarse sin demora al requerido a través de la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad con lo establecido en el reglamento. Una vez notificado, el requerido deberá proporcionar todas las facilidades de acceso que sean necesarias. 

En caso de que el requerido sea una institución privada de las señaladas en el artículo 4º, podrá oponerse. Formulada la oposición la Agencia solo podrá acceder previa autorización judicial conforme lo dispuesto en los párrafos siguientes y no procederá el reclamo establecido en el artículo 46.

Corresponderá a un ministro de la Corte de Apelaciones de Santiago conocer del requerimiento. Anualmente, el Presidente de la Corte de Apelaciones de Santiago deberá designar, por sorteo, a dos de sus miembros para cumplir esta labor. Si ninguno de los ministros estuviere en funciones, corresponderá otorgar la autorización al Presidente de la Corte o a quien lo subrogue. La autorización deberá solicitarse por escrito y fundarse en hechos específicos que justifiquen la necesidad del requerimiento. Para tales efectos todos los días y horas se entenderán hábiles.

La resolución que autorice o deniegue el acceso a las redes y sistemas, deberá dictarse previa audiencia en el más breve plazo en la que se escuchará a las partes.

En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago. Dicha Corte podrá resolver la apelación en cuenta sin más trámite. Los autos se agregarán de manera extraordinaria y con preferencia a la tabla del día siguiente; pero si este fuere inhábil, deberá el tribunal funcionar extraordinariamente para el solo conocimiento del recurso. Si producto de la interposición de recusaciones o implicancias no hubiere tribunal, los autos serán conocidos el día siguiente, según las reglas precedentes.

En caso de que se requiriera la restricción del acceso o uso de redes o sistemas informáticos se estará a lo dispuesto en este literal. No obstante, la Agencia deberá actuar conjuntamente con la autoridad sectorial correspondiente.

El procedimiento dispuesto en los incisos precedentes también será aplicable los requerimientos de acceso a redes y sistemas informáticos a que se refiere en el inciso tercero del literal ñ) del presente artículo.

l) Cooperar con organismos públicos e instituciones privadas, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado.

La Agencia servirá de punto de contacto con las autoridades nacionales de ciberseguridad extranjeras o sus homólogos y con los organismos internacionales con competencia en materia de ciberseguridad.

Cuando se trate de la cooperación con Estados y organizaciones internacionales, dicha actividad deberá realizarse en coordinación con el Ministerio de Relaciones Exteriores, en conformidad con lo previsto en el inciso primero del artículo 2º de la ley N° 21.080.

m) Prestar, cuando sus recursos humanos, técnicos y financieros así lo permitan, asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N°19.628.

n) Colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.

ñ) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

Para el cumplimiento de su función fiscalizadora, la Agencia podrá realizar inspecciones; instruir de manera particular auditorías por sí o mediante terceros autorizados y análisis de seguridad basados en criterios de evaluación de riesgos objetivos, los cuales deberán ser no discriminatorios, equitativos y transparentes. La entidad fiscalizada deberá cooperar en todo momento con los funcionarios de la Agencia o con los terceros autorizados por ella, según corresponda.

Asimismo, la Agencia podrá requerir el acceso a sistemas informáticos, datos, documentos y demás información que fuere necesaria para el desempeño de sus funciones de supervisión y fiscalización; instruir de manera particular a los sujetos obligados que realicen pruebas que demuestren la implementación de los planes de continuidad operacional y ciberseguridad, referidos en la letra c) del artículo 8°.

Adicionalmente, podrá citar a declarar, respecto de hechos cuyo conocimiento estime necesario para el cumplimiento de sus funciones, a los socios, directores, administradores, representantes, empleados, y cualquier persona que, a cualquier título, preste o haya prestado servicios para las personas o entidades fiscalizadas, así como a toda persona que hubiere ejecutado o celebrado con ellas actos o convenciones de cualquier naturaleza. No obstante, no estarán obligadas a concurrir a declarar las personas indicadas en el artículo 361 del Código de Procedimiento Civil, a las cuales la Agencia, para los fines expresados en el párrafo precedente, deberá pedir declaración por escrito.

Para el ejercicio de esta atribución podrá establecer la forma, plazos y procedimientos para que las entidades fiscalizadas cumplan la obligación de presentar los antecedentes e informaciones referidos en los párrafos precedentes.

o) Instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la presente ley respecto de sus disposiciones, reglamentos e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, en los términos señalados en el literal n) de este artículo, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. La declaración podrá tomarse presencialmente o por otros medios que aseguren su integridad y fidelidad.

p) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los Ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.

q) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

r) Informar al CSIRT de la Defensa Nacional y a los CSIRT de los organismos de la Administración del Estado los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector que considere relevantes, pudiendo sugerir determinados planes de acción.

s) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

t) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.

u) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

v) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.

w) Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales.

x) Administrar la Red de Conectividad Segura del Estado.

y) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113, que declara el mes de octubre como el mes nacional de la ciberseguridad.

z) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°. Dirección, organización y patrimonio

Artículo 12. Dirección de la Agencia.

La dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 13 Subdirección.

Existirá un Subdirector o Subdirectora Nacional de la Agencia, quien dependerá del Director o Directora Nacional y lo subrogará, en caso de ausencia o impedimento, y además ejercerá las funciones de los literales ñ) y o) del artículo 11. Para ello, contará con la atribución de instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas.

El Subdirector o Subdirectora Nacional de la Agencia, estará afecto al Sistema de Alta Dirección Pública, establecido en la ley N° 19.882, como cargo de segundo nivel jerárquico.

Artículo 14. Atribuciones del Director o Directora Nacional.

Corresponderá especialmente al Director o Directora Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en los funcionarios y funcionarias que indique, y

g) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.

Artículo 15. Del patrimonio de la Agencia.

El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios;

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores, y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 16. Nombramiento de autoridades.

La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.

Artículo 17. Del personal de la Agencia.

El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº

1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el Título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del Título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Estos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, promulgado y publicado el año 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, promulgado y publicado el año 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley N° 1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, promulgado y publicado el año 1975, de Administración Financiera del Estado.

Artículo 18. Prohibiciones e inhabilidades.

Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean éstas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada a fin de compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del Servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Artículo 19. Notificación responsable de vulnerabilidades.

No serán aplicables las obligaciones previstas en el artículo 175 del Código Procesal Penal y en el artículo 61, literal k), del Estatuto Administrativo, a los trabajadores de la Agencia respecto de la información que reciban por parte de las personas que les notifiquen vulnerabilidades de ciberseguridad. La Agencia deberá mantener en secreto la notificación, sus antecedentes y la identidad de quien la realice, no pudiendo esta última ser revelada sin el consentimiento expreso de la persona que la realizó.

Párrafo 3°. Consejo Multisectorial sobre Ciberseguridad

Artículo 20. Consejo Multisectorial sobre Ciberseguridad.

Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las  organizaciones de la sociedad civil, cuyo objeto o razón social se refiera a materias de esta ley, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

Artículo 21. Funcionamiento del Consejo.

El Consejo sesionará, a lo menos, cuatro veces al año; sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director o Directora podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 51.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 22. De las causales de cesación.

Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo, de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 4°. Red de Conectividad Segura del Estado

Artículo 23. Red de Conectividad Segura del Estado.

Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1° de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará el funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.

Párrafo 5°. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 24. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de efecto significativo.

b) Coordinar a los CSIRT que pertenezcan a organismos de

la Administración del Estado frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida, incluida la supervisión de las medidas adoptadas por éstos.

Cuando los ciberataques o incidentes puedan afectar el normal funcionamiento del sistema financiero, la respuesta del CSIRT Nacional deberá realizarse en coordinación con el Consejo de Estabilidad Financiera creado por la ley N° 20.789. Sin perjuicio de la obligación del CSIRT Nacional de comunicar al mencionado Consejo sobre el incidente, podrá tomar medidas sin esperar respuesta en casos de urgencia.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado en la implementación de políticas y acciones relativas a ciberseguridad.

e) Supervisar incidentes a escala nacional.

f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.

h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.

j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

TÍTULO IV. Coordinación regulatoria y otras disposiciones

Artículo 25. Coordinación regulatoria.

Cuando la Agencia deba dictar protocolos, estándares técnicos o instrucciones de carácter general en el ejercicio de sus funciones, y estos tengan efectos en las áreas de competencia de otra entidad sectorial, deberá previamente remitir la información relevante a dicha entidad y solicitar un informe con el propósito de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración efectivas entre ambas autoridades.

La autoridad sectorial requerida deberá evacuar su informe dentro de un plazo de treinta días corridos a partir de la fecha en que recibió la solicitud indicada en el inciso anterior. La Agencia considerará el contenido de este informe en la motivación del acto administrativo de carácter general que emita. Transcurrido el plazo sin que se hubiere recibido el informe correspondiente, la Agencia procederá a emitir los protocolos, estándares técnicos o instrucciones generales requeridos.

Cuando una autoridad sectorial, en el ejercicio de sus atribuciones establecidas en sus leyes orgánicas, deba emitir actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la Agencia en conformidad a la presente ley, deberá remitir a la Agencia la información pertinente y solicitar un informe con el objeto de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración entre ambas entidades. Además, en el ejercicio de estas atribuciones, las autoridades sectoriales deben tener en cuenta, al menos, los protocolos, estándares técnicos e instrucciones generales previamente emitidos por la Agencia.

Lo establecido en los incisos anteriores no se aplicará en los casos en que el acto administrativo respectivo requiera una aplicación inmediata o en el plazo más breve posible atendida a su naturaleza y urgencia, siempre que se justifique dicha circunstancia y se deje constancia. No obstante, en estos casos, la Agencia deberá, en un plazo de tres días corridos, proporcionar a las autoridades sectoriales competentes, o viceversa según corresponda, todos los documentos tenidos a la vista y solicitar un informe con el fin de cumplir con los objetivos mencionados en los incisos primero y tercero.

Artículo 26. Normativa Sectorial.

Las autoridades sectoriales podrán emitir normativas generales, técnicas e instrucciones necesarias para fortalecer la ciberseguridad en las instituciones de su sector, en conformidad con la regulación respectiva y siguiendo lo dispuesto en el artículo anterior, cuando corresponda.

Las instituciones supervisadas deberán cumplir obligatoriamente con estas normas e instrucciones en la gestión de sus riesgos, de acuerdo con la autoridad sectorial que las haya emitido. La fiscalización y sanción relacionadas con estas disposiciones se regirán por las leyes respectivas de dicha autoridad sectorial.

Cuando las normas o instrucciones emitidas por una autoridad sectorial establezcan obligaciones para un sector a fin de prevenir incidentes de ciberseguridad, que tengan, al menos, efectos equivalentes a las obligaciones previstas en los protocolos, normas o instrucciones de la Agencia, prevalecerán las disposiciones de la autoridad sectorial. Esto no afectará los deberes de coordinación establecidos en el artículo 25 ni la aplicación de las normas de la presente ley. No obstante, si las normas o instrucciones de una autoridad sectorial no cubren a todas las entidades de un sector o solo se aplican a una parte de sus supervisados, los protocolos, normas o instrucciones de la Agencia seguirán siendo plenamente aplicables a las entidades no exceptuadas en los términos indicado en este inciso.

Para efectos de lo indicado en el inciso anterior, la Agencia y la autoridad sectorial correspondiente deberán previamente dictar una norma conjunta de carácter general. Dicha norma tendrá por objeto establecer criterios para la evaluación de la equivalencia de los efectos entre una normativa o instrucción.

Artículo 27. Incidentes de efecto significativo.

Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT que pertenezcan a los organismos de la Administración del Estado tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.

Artículo 28. Centros de Certificación.

Los operadores de importancia vital deberán obtener las certificaciones de ciberseguridad que señala esta ley y las que determine la Agencia mediante reglamento. Para estos efectos, solo los organismos que sean parte del registro de entidades certificadoras autorizadas a cargo de la Agencia, estarán habilitadas para emitir certificaciones válidas que esta ley exija.

Para formar parte de este registro bastará acreditar el cumplimiento de los requisitos que establezca el reglamento, pudiendo mantenerse en tanto cumplan los referidos requisitos.

La Agencia podrá homologar certificaciones técnicas internacionales o extranjeras sobre ciberseguridad mediante resolución fundada de su director o directora.

TÍTULO V. Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional

Artículo 29. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional.

Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.

Artículo 30. De las funciones del CSIRT de la Defensa Nacional.

Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.

Artículo 31. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional.

En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.

Artículo 32. Deber de reporte al CSIRT de la Defensa Nacional.

Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional, conforme a lo que determine el reglamento.

TÍTULO VI. De la reserva de información en el sector público en materia de ciberseguridad

Artículo 33. De la reserva de información.

Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o que pertenezcan a organismos de la Administración del Estado o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que éste indique.

Los funcionarios y funcionarias de la Agencia y del CSIRT Nacional, de Defensa o de los que pertenezcan a organismos de la Administración del Estado que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 8°, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.

Artículo 34. Extensión de la obligación de reserva.

La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios o funcionarias de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 35. Deber de reserva de la Agencia.

La Agencia deberá mantener y cautelar la reserva de la información que llegue a conocer en el desempeño de sus funciones cuando ella tenga tal calidad en virtud de una norma legal o porque, habiendo sido requerida por ella, le sea entregada bajo tal calidad.

Asimismo, deberá procurar el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Sin perjuicio de lo anterior, no se incumple el deber de reserva en aquellos casos en que la Agencia o el CSIRT Nacional, en cumplimiento de sus funciones, deba difundir antecedentes que se encontraren sujetos a reserva, siempre que ello permita gestionar, prevenir o contener un incidente de ciberseguridad.

Artículo 36. Sanciones.

La infracción a las obligaciones dispuestas en el presente Título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII. De las infracciones y sanciones.

Artículo 37. Competencia de la autoridad sectorial.

La autoridad sectorial será competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones a la normativa sobre ciberseguridad que hubiere dictado y cuyos efectos sean al menos equivalentes al de la normativa dictada por la Agencia, conforme lo dispuesto en el artículo 26. Para este efecto, las sanciones y procedimientos sancionatorios serán los que correspondan a la autoridad sectorial de conformidad a su normativa. Fuera de dichos casos, corresponderá a la Agencia fiscalizar, conocer y sancionar las infracciones así como ejecutar las sanciones a la presente ley, sin perjuicio de la facultad de los organismos de la Administración del Estado de poner en conocimiento del organismo competente las infracciones a la norma de que tomaren conocimiento.

Artículo 38. Infracciones.

Las infracciones a las obligaciones que esta ley prescribe a los sujetos obligados por ella se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. Entregar fuera de plazo la información que se le requiera cuando ella no fuere necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima; y

3. Cualquier infracción a las obligaciones que esta ley establece y que no tenga señalada una sanción especial.

Se considerarán infracciones graves las siguientes:

1. No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad;

2. No haber implementado los estándares particulares de ciberseguridad;

3. Entregar fuera de plazo la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad;

4. Entregar a la Agencia de información manifiestamente falsa o errónea.

5. Incumplir la obligación de reportar establecida en el artículo 9;

6. Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial; y

7. La reincidencia en una misma infracción leve dentro de un año.

Se considerarán infracciones gravísimas las siguientes:

1. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo;

3. No entregar la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de impacto significativo; y

4. La reincidencia en una infracción grave dentro de un año.

Artículo 39. De las infracciones de los Operadores de Importancia Vital.

Sin perjuicio de lo prescrito en el artículo precedente, los Operadores de Importancia Vital podrán ser sancionados por infringir las disposiciones del artículo 8º, las que se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. No mantener el registro de las acciones de seguridad que señala la letra b);

2. No comunicar al CSIRT Nacional la realización continua de operaciones de revisión, ejercicios y demás acciones que señala el literal d);

3. No contar con programas de capacitación, formación y educación continua para los trabajadores, según dispone el literal g);

4. No designar un delegado de ciberseguridad, según dispone la letra i);

5. No dar cumplimiento a la instrucción particular de la Agencia en orden a certificar los planes de continuidad operacional del párrafo segundo de la letra c); y

6. No contar con las certificaciones que exija la ley, de acuerdo al literal f).

Se considerarán infracciones graves las siguientes:

1. No haber implementado el sistema de gestión de seguridad de la información continuo al que se refiere el literal a);

2. No haber elaborado o implementado los planes de continuidad operacional y ciberseguridad a los que se refiere la letra c);

3. No informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, en los casos que señala la letra g);

4. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e); y

5. La reincidencia en una misma infracción leve dentro del periodo de un año.

Se considerarán infracciones gravísimas las siguientes:

1. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e), cuando este posea un impacto significativo; y

2. La reincidencia en una misma infracción grave dentro del periodo de un año.

Artículo 40. De las sanciones.

La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo a la siguiente escala:

1. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales; o con hasta 10.000 unidades tributarias mensuales si se tratare de un operador de importancia vital;

2. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales; o con hasta 20.000 unidades tributarias mensuales si se tratare de un operador de importancia vital; y

3. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales; o con hasta 40.000 unidades tributarias mensuales si se tratare de un operador de importancia vital.

La multa será fijada teniendo en consideración el grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del incidente, el grado de exposición del infractor a los riesgos, la gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas, la reiteración en la infracción dentro del plazo de 3 años contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.

Artículo 41. Procedimiento simplificado.

Tratándose de la formulación de cargos por infracciones calificadas como leves en conformidad al artículo 38, la Agencia estará facultada para proponer de manera inmediata la sanción a aplicar, la cual quedará firme si el presunto infractor opta por allanarse a los cargos formulados en su contra. En caso contrario, si el presunto infractor decide rechazar la imputación y presentar descargos, se procederá conforme a lo indicado en el artículo 40 de la presente ley.

Artículo 42. Procedimiento administrativo sancionador.

El procedimiento administrativo se regirá por lo prescrito por la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado, sin perjuicio de las siguientes disposiciones:

a) Toda sanción deberá fundarse en un procedimiento que se iniciará con la formulación precisa y fundada de los cargos y contendrá la descripción de los hechos en los que se fundamentan y de cómo éstos constan en la investigación, la indicación de por qué se consideran una infracción a la normativa, especificando la o las normas que se estimen infringidas y el presunto responsable de la infracción. Además, se designará al funcionario a cargo de la instrucción del procedimiento. Se fijará un plazo para la formulación de descargos que no podrá ser inferior a quince ni superior a treinta días. Las notificaciones del procedimiento deberán realizarse a la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad al reglamento.

b) En los descargos deberán señalarse todas las circunstancias o antecedentes de hecho y de derecho que eximan o atenúen la presunta responsabilidad de la persona objeto de cargos, así como aquellas que nieguen la efectiva ocurrencia de los hechos, o que demuestren que éstos no constituyen infracción.

Todo ello, sin perjuicio de otras presentaciones o antecedentes posteriores que se hagan valer en el curso del procedimiento sancionatorio con el mismo objetivo. Asimismo, deberán solicitarse las diligencias probatorias que correspondieren.

c) Vencido el plazo para formular descargos, se abrirá un término probatorio por un plazo no inferior a diez ni superior a veinte días, según la naturaleza y complejidad del asunto. Dicho plazo podrá prorrogarse por una sola vez y hasta por un máximo de quince días. Se podrá rendir prueba mediante cualquier medio admisible en Derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

d) Excepcionalmente, se realizarán las diligencias que, decretadas de oficio o a petición de parte, se estimen estrictamente necesarias para la resolución del asunto. Las diligencias podrán solicitarse dentro de los cinco días siguientes al vencimiento del término probatorio.

e) Una vez transcurrido el plazo mencionado en el literal previo, el procedimiento deberá concluir. El instructor del procedimiento emitirá un informe en el cual deberá incluir un análisis detallado de todas las defensas, alegatos y pruebas presentadas durante el procedimiento sancionatorio a partir del cual se determinará si se ha infringido la normativa vigente y si procede la imposición de la sanción respectiva o la absolución de los cargos. El informe deberá emitirse dentro del plazo de quince días.

f) Una vez recibido el informe del instructor del procedimiento, corresponderá al Subdirector de la Agencia resolver los procesos sancionatorios en el plazo de quince días, dictando al efecto resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. La resolución del Subdirector deberá incluir el mismo contenido que el informe señalado en el literal precedente.

Artículo 43. De los recursos.

En contra de la resolución del Subdirector mediante la cual se concluye el procedimiento administrativo procederán los recursos que establezca la ley Nº19.880. El recurso deberá resolverse dentro del plazo de quince días. La interposición del recurso suspenderá el plazo para reclamar de ilegalidad, siempre que se trate de materias por las cuales procede dicho recurso.

Artículo 44. Forma de pago de las multas.

Las multas deberán pagarse dentro de los diez días siguientes contados desde que el acto administrativo que las impone quede firme. Vencido ese plazo, la resolución que establezca la sanción tendrá mérito ejecutivo y se hará exigible por la Tesorería General de la República. Para su cobro se aplicará el inciso segundo del artículo 35 del decreto ley N° 1.263, de 1975, orgánico de Administración Financiera del Estado.

El pago de toda multa deberá ser acreditado ante la Agencia, dentro de los diez días siguientes a la fecha en que ésta debió ser pagada.

El retardo en el pago de estas multas devengará los intereses y reajustes establecidos en el artículo 53 del Código Tributario.

Artículo 45. Pronto pago.

El sancionado que no interponga recurso alguno podrá, dentro de los cinco días siguientes a que le sea notificada la resolución del Subdirector que le impone la sanción, pagar directamente en la Tesorería General de la República en cuyo caso, el monto de la misma será reducido en un veinticinco por ciento. Una vez ejercido este derecho, se entenderán renunciado todos los recursos.

Lo dicho en este artículo no será aplicable para el caso previsto en el artículo anterior.

Artículo 46. Procedimiento de reclamación judicial.

Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, los que deberán computarse de acuerdo al artículo 25 de la ley N°19.880, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado pueda ocasionar un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones se podrá apelar ante la Corte Suprema, dentro del plazo de diez días hábiles, la que resolverá en cuenta.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 47. Responsabilidad administrativa del jefe superior del organismo de la administración del Estado.

El jefe superior del organismo de la administración del Estado deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a lo establecido en esta ley.

Asimismo, los organismos de la Administración del Estado deberán adoptar las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

TÍTULO VIII. Del Comité Interministerial sobre Ciberseguridad

Artículo 48. Comité Interministerial sobre Ciberseguridad.

Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de Ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

e) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.

Artículo 49. De los integrantes del Comité.

El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director o Directora Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios o funcionarias de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 50. De la Secretaría Ejecutiva.

El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

Al Director o Directora Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.

Artículo 51. De la información reservada.

Constituido el Comité en sesión secreta, los funcionarios o funcionarias que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 52. Del reglamento.

Un reglamento expedido por el Ministerio encargado de la seguridad pública fijará las normas de funcionamiento del Comité.

Título IX. Órganos autónomos constitucionales

Artículo 53. Regímenes especiales.

El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes. Para estos efectos, la Corte Suprema, el respectivo jefe de servicio o los órganos colegiados que ejerzan dicha función, podrán dictar la normativa que sea conveniente a tales efectos, pudiendo considerar en su formulación las recomendaciones que efectúe la Agencia.

Las instituciones y órganos señalados en este artículo no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia; sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.

Asimismo, si el órgano autónomo constitucional revistiera el carácter de autoridad sectorial, deberá considerársele para los efectos de los artículos 6, 25 y 26.

TÍTULO X. De las modificaciones a otros cuerpos legales

Artículo 54. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.

Artículo 55. Introdúcense las siguientes enmiendas en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1. Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal por haber incurrido en los hechos tipificados en el inciso primero, el que habiendo accedido a un sistema informático cuyo responsable tenga domicilio en Chile, lo hiciera cumpliendo con las siguientes condiciones:

1) Encontrarse inscrito en el registro que al efecto lleve la Agencia Nacional de Ciberseguridad;

2) Que el acceso se haya realizado habiendo informado previamente de ello a la Agencia;

3) Que el acceso y las vulnerabilidades de seguridad detectadas hayan sido reportadas al responsable del sistema informático y a la Agencia, tan pronto se hubiere realizado;

4) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizando métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos;

5) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad;

6) Que se trate de un acceso a un sistema informático de los organismos de la administración del Estado. En el resto de los casos, requerirá del consentimiento del responsable del sistema informático.

7) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia.

2. Derógase el artículo 16.

DISPOSICIONES TRANSITORIAS

Artículo primero.

Entrada en vigencia y personal.

Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Determinar un periodo para la vigencia de las normas establecidas por la presente ley el cual no podrá ser inferior a seis meses desde su publicación.

3. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

4. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

5. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los párrafos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el párrafo anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el mencionado párrafo precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al párrafo anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

6. Determinar la dotación máxima de personal de la Agencia.

7. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo segundo.

El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director o Directora de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director o Directora, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director o Directora se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese sólo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal. El primer Director de la Agencia Nacional de Ciberseguridad no podrá participar del primer proceso de selección por Alta Dirección Pública para la provisión de su cargo.

Artículo tercero.

El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo cuarto. Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo quinto.

Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 20, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.

Artículo sexto.

El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas Leyes de Presupuestos del Sector Público.”

Habiéndose cumplido con lo establecido en el Nº 1 del Artículo 93 de la Constitución Política de la República y por cuanto he tenido a bien aprobarlo y sancionarlo; por tanto, promúlguese y llévese a efecto como Ley de la República.

Santiago, 26 de marzo de 2024.-

GABRIEL BORIC FONT, Presidente de la República.-

Carolina Tohá Morales, Ministra del Interior y Seguridad Pública.-

Alberto van Klaveren Stork, Ministro de Relaciones Exteriores.-

Maya Fernández Allende, Ministra de Defensa Nacional.-

Mario Marcel Cullell, Ministro de Hacienda.-

Álvaro Elizalde Soto, Ministro Secretario General de la Presidencia.-

Nicolás Grau Veloso, Ministro de Economía, Fomento y Turismo.-

Luis Cordero Vega, Ministro de Justicia y Derechos Humanos.-

Juan Carlos Muñoz Abogabir, Ministro de Transportes y Telecomunicaciones.-

Diego Pardow Lorenzo, Ministro de Energía.-

Aisén Etcheverry Escudero, Ministra de Ciencia, Tecnología, Conocimiento e Innovación.

Lo que transcribo a Ud. para su conocimiento.-

Atentamente, Manuel Zacarías Monsalve Benavides, Subsecretario del Interior.

Tribunal Constitucional

Proyecto de ley que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, correspondiente al Boletín N° 14.847-06

La Secretaria del Tribunal Constitucional, quien suscribe, certifica que el Honorable Senado envió el proyecto de ley enunciado en el rubro, aprobado por el Congreso Nacional, a fin de que este Tribunal ejerciera el control preventivo de constitucionalidad respecto de sus artículos 1° inciso segundo; 10; 11 letras a), b), c), d), e), i), k) párrafos segundo y cuarto, n), ñ), o), w) e y); 12; 16; 17; 20 inciso tercero; 24, con excepción de su letra g); 29; 30; 46; 47; 48; 49; 50; 53; y 54, permanentes, y de los artículos segundo y quinto transitorio; y por sentencia de 19 de marzo de 2024, en los autos Rol N° 15.043-23-CPR.

Se declara:

I. Que las siguientes disposiciones del Proyecto de Ley, aprobado por el Congreso Nacional, que establece una Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información, correspondiente al Boletín N° 14.847-06, son conformes con la Constitución Política de la República:

• Artículo 10;

• Artículo 11 letras b), c), ñ) y o);

• Artículo 11 letra k) párrafo segundo, en la frase “Corresponderá a un ministro de la Corte de Apelaciones de Santiago conocer del requerimiento” y párrafo cuarto, en la frase “En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago”;

• Artículo 17 inciso primero;

• Artículo 20 inciso tercero, en la frase “Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses”;

• Artículo 46 inciso primero, en la frase “Procedimiento de reclamación judicial. Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último” y en su letra h), en la frase “Contra la resolución de la Corte de Apelaciones se podrá recurrir ante la Corte Suprema”;

• Artículo 53 inciso primero, en la frase “Regímenes especiales. El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes”; e inciso segundo, en la frase “sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad”;

• Artículo 54.

II. Que el Inciso Tercero del Artículo 53 es contrario a la Constitución Política de la República, por lo que debe eliminarse del texto del Proyecto de Ley sometido a Control Preventivo de Constitucionalidad.

III. Que no se emite Pronunciamiento, en Examen Preventivo de Constitucionalidad, de las restantes disposiciones del Proyecto de Ley por no versar sobre materias que inciden en Ley Orgánica Constitucional.

Santiago, 20 de marzo de 2024.-

María Angélica Barriga Meza, Secretaria Tribunal Constitucional.

08Abr/24
Proyecto de Ley

Proyecto de Ley de 12 de diciembre de 2023

Proyecto de Ley de 12 de diciembre de 2023, que establece una Ley Marco sobre Ciberseguridad e Infraestructura crítica de la información.

PROYECTO DE LEY QUE ESTABLECE UNA LEY MARCO SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN

TEXTO FINAL DESPACHADO POR EL CONGRESO NACIONAL EL 12 DE DICIEMBRE DE 2023

“TÍTULO I. Disposiciones generales

“Artículo 1°. Objeto.

La presente ley tiene por objeto establecer la institucionalidad, los principios y la normativa general que permitan estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como los deberes de las instituciones determinadas en el artículo 4°, y los mecanismos de control, supervisión y de responsabilidad ante infracciones.

Para efectos de esta ley, la Administración del Estado estará constituida por los Ministerios, las delegaciones presidenciales regionales y provinciales, los Gobiernos Regionales, las Municipalidades, las Fuerzas Armadas, de Orden y Seguridad Pública, las empresas públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la función administrativa.

 Las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que éste tenga participación accionaria superior al 50% o mayoría en el directorio.

Artículo 2°. Definiciones.

Para efectos de esta ley se entenderá por:

1. Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización.

2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada como ANCI.

3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información.

4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.

5. Ciberataque: intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso o hacer uso no autorizado de un activo informático.

6. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.

7. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados.

8. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado.

9. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.

10. Incidente de ciberseguridad: todo evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos.

11. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización.

12. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.

13. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad.

14. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de las consecuencias del mismo.

15. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Artículo 3°. Principios rectores.

Para alcanzar los objetivos de esta ley se deberán observar los siguientes principios:

1. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad siempre se deberá actuar coordinada y diligentemente, adoptando las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos.

2. Principio de cooperación con la autoridad: para resolver los incidentes de ciberseguridad se deberá prestar la cooperación debida con la autoridad competente y, si es necesario, cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios.

3. Principio de coordinación: de conformidad a lo dispuesto por el inciso segundo del artículo 5º del decreto con fuerza de ley Nº1-19.653 que fija texto refundido, coordinado y sistematizado de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, la Agencia y las autoridades sectoriales deberán cumplir sus cometidos coordinadamente y propender a la unidad de acción, evitando la duplicación o interferencia de funciones.

4. Principio de seguridad en el ciberespacio: es deber del Estado resguardar la seguridad en el ciberespacio. El Estado velará porque todas las personas puedan participar de un ciberespacio seguro otorgando especial protección a las redes y sistemas informáticos que contengan información de aquellos grupos de personas que suelen ser en mayor medida objeto de ciberataques.

5. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en ningún caso podrá significar la realización de, o el apoyo a, operaciones ofensivas.

6. Principio de seguridad informática: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el cifrado.

7. Principio de racionalidad: las medidas para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, así como al impacto social y económico que tendría.

8. Principio de seguridad y privacidad por defecto y desde el diseño: Los sistemas informáticos, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales que procesan.

TÍTULO II. Obligaciones de ciberseguridad

Párrafo 1°. Servicios esenciales y operadores de importancia vital

Artículo 4°. Ámbito de aplicación.

La presente ley se aplicará a las instituciones que presten servicios calificados como esenciales según lo establecido en los incisos segundo y tercero de este artículo y a aquellas que sean calificadas como operadores de importancia vital, de conformidad con lo dispuesto en los artículos 5 y 6 de esta ley.

Son servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público; y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales, servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos; y la producción y/o investigación de productos farmacéuticos.

La Agencia podrá calificar otros servicios como esenciales mediante resolución fundada del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

Dicha calificación deberá someterse al proceso de consulta pública y se regirá por las disposiciones de la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

La Agencia identificará, mediante resolución exenta dictada conforme el procedimiento dispuesto en este artículo, las infraestructuras, procesos o funciones específicas que serán calificadas como esenciales, y que quedarán sujetas a las obligaciones establecidas en el artículo 8° de esta ley.

Artículo 5. Operadores de Importancia Vital.

La Agencia establecerá mediante resolución dictada por el o la Directora Nacional, según se establece en el artículo siguiente, a los prestadores de servicios esenciales que sean calificados como operadores de importancia vital.

La Agencia podrá calificar como operadores de importancia vital a quienes reúnan los siguientes requisitos:

1.- que la provisión de dicho servicio dependa de las redes y sistemas informáticos; y,

2.- que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público; en la provisión continua y regular de servicios esenciales; en el efectivo cumplimiento de las funciones del Estado; o, en general, de los servicios que éste debe proveer o garantizar.

Además, la Agencia podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos indicados en el inciso anterior y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y  la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

En cualquier caso, siempre se deberá tener en consideración el tamaño de la institución privada, especialmente las características y necesidades de las micro, pequeñas y medianas empresas, tal como se definen en la ley N° 20.416.

Artículo 6. Procedimiento de calificación de los operadores de importancia vital. Al menos cada tres años, la Agencia deberá revisar y actualizar la calificación de operadores de importancia vital mediante una resolución dictada por la Directora o el Director Nacional.

Para los efectos del inciso anterior, la Agencia requerirá informe fundado a los organismos públicos con competencia sectorial para que se pronuncien sobre aquellas instituciones públicas y privadas que deban calificarse como operadores de importancia vital. Dichos informes deberán evacuarse en la forma prescrita en el artículo 37 bis de la ley Nº19.880.

Recibidos los informes indicados precedentemente la Agencia dispondrá de un plazo de treinta días corridos para evacuar un informe que contendrá la nómina preliminar de las instituciones calificadas como operadores de importancia vital. Esta nómina preliminar deberá ser sometida a consulta pública por un plazo de treinta días corridos sólo respecto de las instituciones privadas, en la forma que determine el reglamento de la presente ley. Respecto de las instituciones públicas, se deberá requerir informe del Ministerio de Hacienda, en los términos del inciso precedente.

Terminado el proceso de consulta pública y recibido el informe del Ministerio de Hacienda, la Agencia dispondrá de treinta días corridos para elaborar el informe que contendrá la nómina final de instituciones que deban ser calificadas como operadores de importancia vital, individualizándolas en la forma que señale el reglamento.

Cumplidas las etapas anteriores, la Agencia, mediante resolución fundada de su Director o Directora, determinará los operadores de importancia vital.

En contra de la resolución que se dicte podrán deducirse aquellos recursos a que se refiere la ley N° 19.880, sin perjuicio de la facultad de ejercer el recurso establecido en el artículo 46 de la presente ley.

Un reglamento expedido por el Ministerio encargado de la seguridad pública contemplará los demás aspectos del procedimiento que sean necesarios para su correcta ejecución.

Párrafo 2°. Obligaciones de ciberseguridad

Artículo 7°. Deberes generales.

Las instituciones obligadas por la presente ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas podrán ser de naturaleza tecnológica, organizacional, física o informativa, según sea el caso.

El cumplimiento de estas obligaciones exige la debida implementación de los protocolos y estándares establecidos por la Agencia, así como de los estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. El objeto de estos protocolos y estándares será la prevención y gestión de los riesgos asociados a la ciberseguridad, así como la contención y mitigación del impacto que los incidentes pueden tener sobre la continuidad operacional del servicio prestado o la confidencialidad y la integridad de la información o de las redes o sistemas informáticos de conformidad con lo prescrito en la presente ley.

Para efectos de emitir las medidas de seguridad a que se refiere el inciso primero, la Agencia deberá observar lo prescrito en el artículo 25, según corresponda. Dichos protocolos y estándares deberán someterse a consulta pública, en la misma forma y plazo señalados en el inciso tercero del artículo 6. La medida deberá publicarse junto con el informe en que se justifique el rechazo o modificación de las observaciones que correspondan.

La Agencia deberá establecer medidas de seguridad diferenciadas según el tipo de organización de que se trate, teniendo especialmente en consideración las características y posibilidades de las pequeñas y medianas empresas definidas por la ley N° 20.416, que fija normas especiales para las empresas de menor tamaño.

Artículo 8º. Deberes específicos de los operadores de importancia vital.

Todos los operadores de importancia vital deberán:

a) Implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio.

Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información, de conformidad a lo que señale el reglamento.

c) Elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deberán certificarse en conformidad al artículo 28 de la presente ley, y deberán someterse a revisiones periódicas por parte de los sujetos obligados, con una frecuencia mínima de dos años.

Con todo, la Agencia podrá instruir a uno o más operadores de importancia vital, fundadamente y por motivos sobrevinientes graves, la certificación de sus planes de continuidad operacional o ciberseguridad en un plazo menor al indicado en el párrafo precedente; sin embargo, la Agencia sólo podrá ejercer esta facultad, respecto de cada operador de importancia vital, siempre que la certificación tenga al menos un año de vigencia.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento.

e) Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones que señale el artículo 28 de la presente ley.

g) Informar a los potenciales afectados, en la medida que puedan identificarse y cunado así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación; o cuando sea necesario para prevenir la ocurrencia de nuevos incidentes o para gestionar uno que ya hubiera ocurrido.

h) Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene.

i) Designar un delegado de ciberseguridad quien actuará como contraparte de la Agencia e informará a la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.

Artículo 9°. Deber de reportar.

Todas las instituciones públicas y privadas señaladas en el artículo 4° de la presente ley, tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 27, tan pronto les sea posible y conforme el siguiente esquema:

a) Dentro del plazo máximo de 3 horas contadas desde que se tiene conocimiento de la ocurrencia del ciberataque o incidente de ciberseguridad que tiene impactos significativos, se deberá enviar una alerta temprana sobre la ocurrencia del evento,

b) Dentro del plazo máximo de 72 horas, una actualización de la información contemplada en la letra a), que incluya una evaluación inicial del incidente, su gravedad e impacto, así como indicadores de compromiso, si estuvieran disponibles.

Sin embargo, en caso que la institución afectada fuera un operador de importancia vital y este viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información deberá entregarse al CSIRT Nacional en un plazo máximo de 24 horas contadas desde que haya tenido conocimiento del incidente;

c) Dentro del plazo máximo de quince días corridos contados desde el envío de la alerta temprana contemplada en la letra a), un informe final en el que se recojan al menos los siguientes elementos:

i) una descripción detallada del incidente, incluyendo su gravedad e impacto;

ii) el tipo de amenaza o causa principal que probablemente haya causado el incidente;

iii) las medidas de mitigación aplicadas y en curso;

 iv) si procede, las repercusiones transfronterizas del incidente;

e) En el caso de que el incidente siga en curso con posterioridad a la presentación del informe contemplado en el literal c), éste se reemplazará por un informe de situación en ese momento, debiendo el informe final ser presentado en el plazo de 15 días corridos contados desde que se haya gestionado el incidente.

Sin perjuicio de lo anterior, tanto el CSIRT Nacional como la autoridad sectorial competente podrán requerir las actualizaciones pertinentes sobre la situación.

Los operadores de importancia vital deberán, además, informar al CSIRT Nacional su plan de acción, tan pronto lo hubieren adoptado. El plazo para la adopción de un plan de acción en ningún caso podrá ser superior a siete días corridos contados desde que se tuvo conocimiento de la ocurrencia del incidente.

En el caso de los organismos del Estado, para el cumplimiento del deber establecido en este artículo, los jefes de servicio deberán exigir a los proveedores de servicios de tecnologías de la información, que compartan la información sobre vulnerabilidades e incidentes que puedan afectar a las redes y sistemas informáticos de los organismos del Estado, y siempre que tenga por objeto prevenir, detectar o responder a incidentes, recuperarse de ellos o reducir su repercusión; o reforzar el nivel de ciberseguridad, garantizando a su vez que se respete la posible naturaleza delicada de la información compartida. Con el objeto de cumplir con lo anterior, los contratos de prestación de servicios no podrán contener ninguna cláusula que pudiera restringir o dificultar de cualquier modo la comunicación de información sobre amenazas por parte del prestador de servicios, siempre y cuando con ello no se comprometa la seguridad y protección de datos, incluida la confidencialidad y protección de la propiedad intelectual.

La Agencia dictará las instrucciones que sean necesarias para la debida realización y recepción de los reportes a que se refiere el presente artículo.

En caso de existir la obligación de notificar a más de una autoridad, la Agencia en conjunto con las autoridades involucradas y conforme lo dispuesto en el artículo 24 de la presente ley, procurará poner a disposición de los obligados un sistema de ventanilla única que permita la notificación simultánea a todas ellas.

Un reglamento expedido por el Ministerio encargado de la Seguridad Pública regulará el contenido de las diversas clases de reportes señalados en este artículo.

TÍTULO III. De la Agencia Nacional de Ciberseguridad

Párrafo 1°. Objeto, naturaleza y atribuciones

Artículo 10. Agencia Nacional de Ciberseguridad.

Créase la Agencia Nacional de Ciberseguridad como un servicio público funcionalmente descentralizado, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado, cuyo objeto será asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad.

En el ejercicio de sus funciones, la Agencia deberá siempre velar por la coherencia normativa, buscando que sus acciones se inserten de manera armónica en el ordenamiento regulatorio y sancionatorio nacional.

La Agencia se relacionará con el Presidente de la República por intermedio del Ministerio encargado de la seguridad pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar con oficinas en otras macrozonas o regiones del país.

Artículo 11. Atribuciones.

Para dar cumplimiento a su objeto, la Agencia tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República en la elaboración y aprobación de la Política Nacional de Ciberseguridad, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación.

b) Dictar los protocolos y estándares que señala el artículo 7; las instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley; y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos.

c) Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto.

d) Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado; y requerir de estos la información que sea necesaria para el cumplimiento de sus fines.

e) Establecer una coordinación con el CSIRT de la Defensa Nacional, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, así como respecto a las materias que serán objeto de intercambio de información.

f) Crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

g) Calificar, mediante resolución fundada y en la forma prevista en los artículos 4, 5 y 6 de esta ley, a los servicios esenciales y a los operadores de importancia vital.

h) Requerir a las entidades obligadas por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia, conforme lo dispuesto en el literal g) del artículo 8º de la presente ley.

i) Diseñar e implementar planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción de la cultura en ciberseguridad.

j) Requerir a los organismos de la Administración del Estado y a las instituciones privadas señaladas en el artículo 4º de la presente ley acceso a la información estrictamente necesaria para prevenir la ocurrencia de incidentes de ciberseguridad o para gestionar uno que ya hubiera ocurrido. Para lo anterior, podrá requerir la entrega del registro de actividades de las redes y sistemas informáticos que permitan comprender detalles de los incidentes de ciberseguridad que puedan haber ocurrido.

Para el ejercicio de esta atribución, la instrucción siempre tendrá carácter particular, debiendo especificarse la información solicitada y fundarse debidamente. Cuando la información referida en el inciso anterior pudiera incluir datos personales estos deberán ser anonimizados, siempre que ello sea posible sin entorpecer la gestión de incidentes. En cualquier caso, los datos personales sólo podrán ser tratados dando estricto cumplimiento a lo dispuesto en la ley 19.628, y en particular, al principio de finalidad, sin perjuicio de lo que define la presente ley y sus reglamentos.

Con todo, para efectos de lo dispuesto en esta ley, no se considerará que la dirección IP sea un dato personal.

k) Requerir, mediante instrucción de su Director o Directora, en casos de incidentes de impacto significativo cuya gestión lo haga imprescindible, el acceso a redes y sistemas informáticos. Este requerimiento deberá notificarse sin demora al requerido a través de la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad con lo establecido en el reglamento. Una vez notificado, el requerido deberá proporcionar todas las facilidades de acceso que sean necesarias. 

En caso de que el requerido sea una institución privada de las señaladas en el artículo 4º, podrá oponerse. Formulada la oposición la Agencia solo podrá acceder previa autorización judicial conforme lo dispuesto en los párrafos siguientes y no procederá el reclamo establecido en el artículo 46.

Corresponderá a un ministro de la Corte de Apelaciones de Santiago conocer del requerimiento. Anualmente, el Presidente de la Corte de Apelaciones de Santiago deberá designar, por sorteo, a dos de sus miembros para cumplir esta labor. Si ninguno de los ministros estuviere en funciones, corresponderá otorgar la autorización al Presidente de la Corte o a quien lo subrogue. La autorización deberá solicitarse por escrito y fundarse en hechos específicos que justifiquen la necesidad del requerimiento. Para tales efectos todos los días y horas se entenderán hábiles.

La resolución que autorice o deniegue el acceso a las redes y sistemas, deberá dictarse previa audiencia en el más breve plazo en la que se escuchará a las partes.

En contra de la resolución que dicte el Ministro de Corte procederá el recurso de apelación ante la Corte de Apelaciones de Santiago. Dicha Corte podrá resolver la apelación en cuenta sin más trámite. Los autos se agregarán de manera extraordinaria y con preferencia a la tabla del día siguiente; pero si este fuere inhábil, deberá el tribunal funcionar extraordinariamente para el solo conocimiento del recurso. Si producto de la interposición de recusaciones o implicancias no hubiere tribunal, los autos serán conocidos el día siguiente, según las reglas precedentes.

En caso de que se requiriera la restricción del acceso o uso de redes o sistemas informáticos se estará a lo dispuesto en este literal. No obstante, la Agencia deberá actuar conjuntamente con la autoridad sectorial correspondiente.

El procedimiento dispuesto en los incisos precedentes también será aplicable los requerimientos de acceso a redes y sistemas informáticos a que se refiere en el inciso tercero del literal ñ) del presente artículo.

l) Cooperar con organismos públicos e instituciones privadas, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado.

La Agencia servirá de punto de contacto con las autoridades nacionales de ciberseguridad extranjeras o sus homólogos y con los organismos internacionales con competencia en materia de ciberseguridad.

Cuando se trate de la cooperación con Estados y organizaciones internacionales, dicha actividad deberá realizarse en coordinación con el Ministerio de Relaciones Exteriores, en conformidad con lo previsto en el inciso primero del artículo 2º de la ley N° 21.080.

m) Prestar, cuando sus recursos humanos, técnicos y financieros así lo permitan, asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación, cautelando siempre los deberes de reserva de información que esta ley le impone, así como los consagrados por la ley N°19.628.

n) Colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional.

ñ) Fiscalizar el cumplimiento de las disposiciones de esta ley, sus reglamentos, protocolos, estándares técnicos y las instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley.

Para el cumplimiento de su función fiscalizadora, la Agencia podrá realizar inspecciones; instruir de manera particular auditorías por sí o mediante terceros autorizados y análisis de seguridad basados en criterios de evaluación de riesgos objetivos, los cuales deberán ser no discriminatorios, equitativos y transparentes. La entidad fiscalizada deberá cooperar en todo momento con los funcionarios de la Agencia o con los terceros autorizados por ella, según corresponda.

Asimismo, la Agencia podrá requerir el acceso a sistemas informáticos, datos, documentos y demás información que fuere necesaria para el desempeño de sus funciones de supervisión y fiscalización; instruir de manera particular a los sujetos obligados que realicen pruebas que demuestren la implementación de los planes de continuidad operacional y ciberseguridad, referidos en la letra c) del artículo 8°.

Adicionalmente, podrá citar a declarar, respecto de hechos cuyo conocimiento estime necesario para el cumplimiento de sus funciones, a los socios, directores, administradores, representantes, empleados, y cualquier persona que, a cualquier título, preste o haya prestado servicios para las personas o entidades fiscalizadas, así como a toda persona que hubiere ejecutado o celebrado con ellas actos o convenciones de cualquier naturaleza. No obstante, no estarán obligadas a concurrir a declarar las personas indicadas en el artículo 361 del Código de Procedimiento Civil, a las cuales la Agencia, para los fines expresados en el párrafo precedente, deberá pedir declaración por escrito.

Para el ejercicio de esta atribución podrá establecer la forma, plazos y procedimientos para que las entidades fiscalizadas cumplan la obligación de presentar los antecedentes e informaciones referidos en los párrafos precedentes.

o) Instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la presente ley respecto de sus disposiciones, reglamentos e instrucciones generales y particulares que emita la Agencia. Para tales efectos, y de manera fundada, podrá citar a declarar, en los términos señalados en el literal n) de este artículo, entre otros, a los representantes legales, administradores, asesores y dependientes de la institución de que se trate, así como a toda persona que haya tenido participación o conocimiento respecto de algún hecho que sea relevante para resolver el procedimiento sancionatorio. La declaración podrá tomarse presencialmente o por otros medios que aseguren su integridad y fidelidad.

p) Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los Ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local.

q) Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones.

r) Informar al CSIRT de la Defensa Nacional y a los CSIRT de los organismos de la Administración del Estado los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector que considere relevantes, pudiendo sugerir determinados planes de acción.

s) Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

t) Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado.

u) Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo.

v) Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado.

w) Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales.

x) Administrar la Red de Conectividad Segura del Estado.

y) Coordinar anualmente durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113, que declara el mes de octubre como el mes nacional de la ciberseguridad.

z) Realizar todas aquellas otras funciones que las leyes le encomienden especialmente.

Párrafo 2°. Dirección, organización y patrimonio

Artículo 12. Dirección de la Agencia.

La dirección y administración superior de la Agencia estará a cargo de un Director o Directora Nacional, quien será el jefe superior del Servicio, tendrá la representación legal, judicial y extrajudicial del mismo y será designado conforme a las normas del Sistema de Alta Dirección Pública establecidas en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica.

Artículo 13 Subdirección.

Existirá un Subdirector o Subdirectora Nacional de la Agencia, quien dependerá del Director o Directora Nacional y lo subrogará, en caso de ausencia o impedimento, y además ejercerá las funciones de los literales ñ) y o) del artículo 11. Para ello, contará con la atribución de instruir la apertura de procedimientos administrativos sancionadores, designar a los funcionarios a cargo, determinar las sanciones e imponerlas.

El Subdirector o Subdirectora Nacional de la Agencia, estará afecto al Sistema de Alta Dirección Pública, establecido en la ley N° 19.882, como cargo de segundo nivel jerárquico.

Artículo 14. Atribuciones del Director o Directora Nacional.

Corresponderá especialmente al Director o Directora Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el buen funcionamiento de a Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad, podrá libremente administrar, adquirir y enajenar bienes de cualquier naturaleza;

f) Delegar atribuciones o facultades específicas en los funcionarios y funcionarias que indique, y

g) Ejercer la representación judicial y extrajudicial de la Agencia, sin perjuicio de las atribuciones que pudieran corresponder al Consejo de Defensa del Estado.

Artículo 15. Del patrimonio de la Agencia.

El patrimonio de la Agencia estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios;

e) Las donaciones que se le hagan, así como las herencias o legados que acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones y asignaciones hereditarias estarán exentas de toda clase de impuestos y de todo gravamen o pago que les afecten. Las donaciones no requerirán del trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título, en coordinación con el Ministerio de Relaciones Exteriores, y

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 16. Nombramiento de autoridades.

La Agencia estará afecta al Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula la nueva política de personal a los funcionarios públicos que indica, hasta el segundo nivel jerárquico.

Artículo 17. Del personal de la Agencia.

El personal de la Agencia se regirá por las normas del Código del Trabajo.

Con todo, serán aplicables a este personal las normas de probidad contenidas en la ley N° 20.880, sobre Probidad en la Función Pública y Prevención de los Conflictos de Intereses, y las disposiciones del Título III de la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley Nº 1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, debiendo dejarse constancia en los contratos respectivos de una cláusula que así lo disponga.

Al personal de la Agencia también le serán aplicables los artículos 61, 62, 63, 64, 90 y 90 A según corresponda, del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Asimismo, el personal estará sujeto a responsabilidad administrativa, sin perjuicio de la responsabilidad civil o penal que pudiere afectarle por los actos realizados en el ejercicio de sus funciones. La responsabilidad disciplinaria del personal de la Agencia por los actos realizados en el ejercicio de sus funciones podrá hacerse efectiva por la autoridad respectiva, de acuerdo al procedimiento establecido en el Título V “De la Responsabilidad Administrativa” del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

En el caso de cese de funciones de los trabajadores que hubieren ingresado a la Agencia en virtud de las disposiciones del Título VI de la ley N° 19.882, sólo tendrán derecho a la indemnización contemplada en el artículo quincuagésimo octavo de dicha ley. Estos trabajadores no tendrán derecho a las indemnizaciones establecidas en el Código del Trabajo.

El Director o Directora de la Agencia, sin perjuicio de lo que establezca el contrato, tendrá la facultad para aplicar las normas relativas a las destinaciones, comisiones de servicio y cometidos funcionarios de los artículos 73 a 78 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo. Para estos efectos, los viáticos se pagarán conforme al decreto con fuerza de ley N° 262, promulgado y publicado el año 1977, del Ministerio de Hacienda, y al decreto supremo N° 1, promulgado y publicado el año 1991, del Ministerio de Hacienda, o el texto que lo reemplace.

La Agencia no podrá celebrar contratos de trabajo estableciendo el pago de indemnizaciones por causas distintas a las indicadas en los artículos 161, 162 y 163 del Código del Trabajo, y en caso alguno se podrá alterar el monto que entregue la base de cálculo dispuesta en dichas normas. Para el caso de evaluación deficiente de su desempeño, se podrá aplicar la causal del artículo 160 N° 7 del mismo cuerpo legal.

Una resolución dictada por el Director o la Directora de la Agencia, visada por la Dirección de Presupuestos, establecerá en forma anual la estructura de la dotación de trabajadores de la Agencia, indicando el número máximo de trabajadores que podrá ocupar según el régimen de remuneraciones.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará la estructura interna del Servicio, de conformidad con lo dispuesto en la ley N° 18.575, orgánica constitucional de Bases Generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley N° 1, promulgado el año 2000 y publicado el año 2001, del Ministerio Secretaría General de la Presidencia, con sujeción a la planta y dotación máxima del personal.

La Agencia deberá cumplir con las normas establecidas en el decreto ley N° 1.263, promulgado y publicado el año 1975, de Administración Financiera del Estado.

Artículo 18. Prohibiciones e inhabilidades.

Prohíbese al personal de la Agencia prestar por sí o a través de otras personas naturales o jurídicas, servicios personales a personas o a entidades sometidas a la fiscalización de la Agencia, o a los directivos, jefes o empleados de ellas, sean éstas públicas o privadas.

El personal de la Agencia no podrá intervenir, en razón de sus funciones, en asuntos en que tenga interés él o ella, su cónyuge, su conveniente civil, sus parientes consanguíneos del primero a cuarto grado inclusives, o por afinidad de primero y segundo grado.

Asimismo, les está prohibido actuar por sí o a través de sociedades de que formen parte, como lobbistas o gestores de intereses de terceras personas ante cualquier institución sometida a la fiscalización de la Agencia.

En todo caso, quedarán exceptuados de estas prohibiciones e inhabilidades el ejercicio de derechos que atañan personalmente al funcionario o funcionaria, o que se refieran a la administración de su patrimonio. El desempeño de funciones en la Agencia será de dedicación exclusiva y será incompatible con todo otro empleo o servicio retribuido con fondos fiscales o municipales y con las funciones, remuneradas o no, de consejero, director o trabajador de instituciones fiscales, semifiscales, organismos autónomos nacionales o extranjeros, empresas del Estado y, en general, de todo servicio público creado por ley. No obstante, será compatible con cargos docentes en instituciones públicas o privadas reconocidas por el Estado hasta un máximo de doce horas semanales, para lo cual deberá prolongar su jornada a fin de compensar las horas durante las cuales no haya podido desempeñar su cargo.

Igualmente, quedará exceptuada la atención no remunerada prestada a sociedades de beneficencia, instituciones de carácter benéfico y, en general, a instituciones sin fines de lucro. Con todo, para que operen estas excepciones, será necesario obtener autorización previa y expresa del jefe superior del Servicio.

Al personal de la Agencia le serán aplicables los literales a), e), f), g), h), i), j), k), l) y m) del artículo 84 del decreto con fuerza de ley N° 29, promulgado el año 2004 y publicado el año 2005, del Ministerio de Hacienda, que fija el texto refundido, coordinado y sistematizado de la ley N° 18.834, sobre Estatuto Administrativo.

Artículo 19. Notificación responsable de vulnerabilidades.

No serán aplicables las obligaciones previstas en el artículo 175 del Código Procesal Penal y en el artículo 61, literal k), del Estatuto Administrativo, a los trabajadores de la Agencia respecto de la información que reciban por parte de las personas que les notifiquen vulnerabilidades de ciberseguridad. La Agencia deberá mantener en secreto la notificación, sus antecedentes y la identidad de quien la realice, no pudiendo esta última ser revelada sin el consentimiento expreso de la persona que la realizó.

Párrafo 3°. Consejo Multisectorial sobre Ciberseguridad

Artículo 20. Consejo Multisectorial sobre Ciberseguridad.

Créase el Consejo Multisectorial sobre Ciberseguridad, en adelante el Consejo, de carácter consultivo y que tendrá por función asesorar y formular recomendaciones a la Agencia en el análisis y revisión periódica de la situación de ciberseguridad del país, en el estudio de las amenazas existentes y potenciales en el ámbito de ciberseguridad, y proponer medidas para abordarlas.

El Consejo estará integrado por el Director o Directora Nacional de la Agencia, quien lo presidirá, y seis consejeros ad honorem designados por el Presidente de la República, escogidos entre personas de destacada labor en el ámbito de la ciberseguridad o de las políticas públicas vinculadas a la materia, provenientes dos del sector industrial o comercial, dos del ámbito académico y dos de las  organizaciones de la sociedad civil, cuyo objeto o razón social se refiera a materias de esta ley, quienes permanecerán en su cargo durante seis años, renovándose en tríos cada tres años, pudiendo ser reelegidos en sus cargos por una sola vez.

Los integrantes del Consejo estarán obligados a presentar una declaración de intereses y patrimonio, en conformidad a lo dispuesto por la ley N° 20.880, sobre probidad en la función pública y prevención de los conflictos de intereses, y estarán afectos al principio de abstención contenido en el artículo 12 de la ley N° 19.880, que establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado.

Artículo 21. Funcionamiento del Consejo.

El Consejo sesionará, a lo menos, cuatro veces al año; sus recomendaciones serán de carácter público y deberán recoger la diversidad de opiniones existentes en él cuando no haya unanimidad respecto de las mismas. Excepcionalmente y mediante decisión fundada, el Director o Directora podrá decretar secreta o reservada una parte o toda una sesión del Consejo, de lo cual se deberá dejar constancia en el acta respectiva. En este caso, se aplicará lo dispuesto en el artículo 51.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento de sus funciones. La Agencia prestará el apoyo técnico y administrativo indispensable para el adecuado funcionamiento del Consejo.

Un reglamento expedido por el Ministerio encargado de la seguridad pública determinará las demás normas necesarias para el correcto funcionamiento del Consejo.

Artículo 22. De las causales de cesación.

Serán causales de cesación en el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Haber sido condenado por delitos que merezcan pena aflictiva por sentencia firme o ejecutoriada.

f) Falta grave al cumplimiento de las obligaciones como consejero. Para estos efectos, se considerará falta grave:

i. Inasistencia injustificada a cuatro sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de cesación referidas anteriormente deberá comunicar de inmediato dicha circunstancia al Consejo, cuando correspondiere. Respecto de la causal de la letra f), la concurrencia de dichas circunstancias facultará al Presidente de la República para decretar la remoción.

Tan pronto como el Consejo tome conocimiento de que una causal de cesación afecta a un consejero, el referido consejero cesará automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al nombramiento de uno nuevo, de conformidad con el procedimiento establecido en esta ley. El consejero nombrado en reemplazo durará en el cargo sólo por el tiempo que falte para completar el período del consejero reemplazado.

Párrafo 4°. Red de Conectividad Segura del Estado

Artículo 23. Red de Conectividad Segura del Estado.

Créase la Red de Conectividad Segura del Estado, en adelante RCSE, que proveerá servicios de interconexión y conectividad a internet a los organismos de la Administración del Estado señalados en el artículo 1° de la presente ley.

La Agencia podrá suscribir los convenios de interconexión con instituciones públicas y privadas que considere necesarios para el mejor funcionamiento de la RCSE y de los servicios adicionales que preste.

Un reglamento expedido por el Ministerio encargado de la seguridad pública y visado por el Ministro de Hacienda regulará el funcionamiento de la RCSE y las obligaciones especiales de los organismos de la Administración del Estado.

Párrafo 5°. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 24. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática.

Créase dentro de la Agencia Nacional de Ciberseguridad el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, en adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante ciberataques o incidentes de ciberseguridad, cuando éstos sean de efecto significativo.

b) Coordinar a los CSIRT que pertenezcan a organismos de la Administración del Estado frente a ciberataques o incidentes de ciberseguridad de efecto significativo. La misma coordinación deberá establecer con el CSIRT de la Defensa Nacional. En el ejercicio de esta función, el CSIRT Nacional podrá realizar todas las acciones necesarias para asegurar una respuesta rápida, incluida la supervisión de las medidas adoptadas por éstos.

Cuando los ciberataques o incidentes puedan afectar el normal funcionamiento del sistema financiero, la respuesta del CSIRT Nacional deberá realizarse en coordinación con el Consejo de Estabilidad Financiera creado por la ley N° 20.789. Sin perjuicio de la obligación del CSIRT Nacional de comunicar al mencionado Consejo sobre el incidente, podrá tomar medidas sin esperar respuesta en casos de urgencia.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de Seguridad Informática extranjeros o sus equivalentes para el intercambio de información de ciberseguridad, siempre dentro del marco de sus competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT que pertenezcan a organismos de la Administración del Estado en la implementación de políticas y acciones relativas a ciberseguridad.

e) Supervisar incidentes a escala nacional.

f) Efectuar un análisis dinámico de riesgos e incidentes y de conocimiento de la situación.

g) Realizar entrenamiento, educación y capacitación en materia de ciberseguridad.

h) Requerir a las instituciones afectadas o a los CSIRT correspondientes, información anonimizada de incidentes de ciberseguridad y vulnerabilidades encontradas y los planes de acción respectivos para mitigarlos.

i) Difundir alertas tempranas, avisos e información sobre riesgos e incidentes para la comunidad.

j) Elaborar un informe con los criterios técnicos para la determinación de las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación.

TÍTULO IV. Coordinación regulatoria y otras disposiciones

Artículo 25. Coordinación regulatoria.

Cuando la Agencia deba dictar protocolos, estándares técnicos o instrucciones de carácter general en el ejercicio de sus funciones, y estos tengan efectos en las áreas de competencia de otra entidad sectorial, deberá previamente remitir la información relevante a dicha entidad y solicitar un informe con el propósito de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración efectivas entre ambas autoridades.

La autoridad sectorial requerida deberá evacuar su informe dentro de un plazo de treinta días corridos a partir de la fecha en que recibió la solicitud indicada en el inciso anterior. La Agencia considerará el contenido de este informe en la motivación del acto administrativo de carácter general que emita. Transcurrido el plazo sin que se hubiere recibido el informe correspondiente, la Agencia procederá a emitir los protocolos, estándares técnicos o instrucciones generales requeridos.

Cuando una autoridad sectorial, en el ejercicio de sus atribuciones establecidas en sus leyes orgánicas, deba emitir actos administrativos de carácter general que tengan efectos en los ámbitos de competencia de la Agencia en conformidad a la presente ley, deberá remitir a la Agencia la información pertinente y solicitar un informe con el objeto de prevenir posibles conflictos normativos y garantizar la coordinación, cooperación y colaboración entre ambas entidades. Además, en el ejercicio de estas atribuciones, las autoridades sectoriales deben tener en cuenta, al menos, los protocolos, estándares técnicos e instrucciones generales previamente emitidos por la Agencia.

Lo establecido en los incisos anteriores no se aplicará en los casos en que el acto administrativo respectivo requiera una aplicación inmediata o en el plazo más breve posible atendida a su naturaleza y urgencia, siempre que se justifique dicha circunstancia y se deje constancia. No obstante, en estos casos, la Agencia deberá, en un plazo de tres días corridos, proporcionar a las autoridades sectoriales competentes, o viceversa según corresponda, todos los documentos tenidos a la vista y solicitar un informe con el fin de cumplir con los objetivos mencionados en los incisos primero y tercero.

Artículo 26. Normativa Sectorial.

Las autoridades sectoriales podrán emitir normativas generales, técnicas e instrucciones necesarias para fortalecer la ciberseguridad en las instituciones de su sector, en conformidad con la regulación respectiva y siguiendo lo dispuesto en el artículo anterior, cuando corresponda.

Las instituciones supervisadas deberán cumplir obligatoriamente con estas normas e instrucciones en la gestión de sus riesgos, de acuerdo con la autoridad sectorial que las haya emitido. La fiscalización y sanción relacionadas con estas disposiciones se regirán por las leyes respectivas de dicha autoridad sectorial.

Cuando las normas o instrucciones emitidas por una autoridad sectorial establezcan obligaciones para un sector a fin de prevenir incidentes de ciberseguridad, que tengan, al menos, efectos equivalentes a las obligaciones previstas en los protocolos, normas o instrucciones de la Agencia, prevalecerán las disposiciones de la autoridad sectorial. Esto no afectará los deberes de coordinación establecidos en el artículo 25 ni la aplicación de las normas de la presente ley. No obstante, si las normas o instrucciones de una autoridad sectorial no cubren a todas las entidades de un sector o solo se aplican a una parte de sus supervisados, los protocolos, normas o instrucciones de la Agencia seguirán siendo plenamente aplicables a las entidades no exceptuadas en los términos indicado en este inciso.

Para efectos de lo indicado en el inciso anterior, la Agencia y la autoridad sectorial correspondiente deberán previamente dictar una norma conjunta de carácter general. Dicha norma tendrá por objeto establecer criterios para la evaluación de la equivalencia de los efectos entre una normativa o instrucción.

Artículo 27. Incidentes de efecto significativo.

Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales. Para determinar la importancia de los efectos de un incidente, se tendrán especialmente en cuenta los siguientes criterios:

a) El número de personas afectadas.

b) La duración del incidente.

c) La extensión geográfica con respecto a la zona afectada por el incidente.

Los CSIRT que pertenezcan a los organismos de la Administración del Estado tendrán la obligación de tomar las providencias necesarias para apoyar en el restablecimiento del servicio afectado, bajo la coordinación del CSIRT Nacional.

Deberá omitirse en los reportes de incidentes de ciberseguridad todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la forma, así como las condiciones de anonimato, la taxonomía del informe y la periodicidad, serán establecidos en el reglamento de la presente ley.

Artículo 28. Centros de Certificación.

Los operadores de importancia vital deberán obtener las certificaciones de ciberseguridad que señala esta ley y las que determine la Agencia mediante reglamento. Para estos efectos, solo los organismos que sean parte del registro de entidades certificadoras autorizadas a cargo de la Agencia, estarán habilitadas para emitir certificaciones válidas que esta ley exija.

Para formar parte de este registro bastará acreditar el cumplimiento de los requisitos que establezca el reglamento, pudiendo mantenerse en tanto cumplan los referidos requisitos.

La Agencia podrá homologar certificaciones técnicas internacionales o extranjeras sobre ciberseguridad mediante resolución fundada de su director o directora.

TÍTULO V. Del Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional

Artículo 29. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional.

Créase el Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional, en adelante CSIRT de la Defensa Nacional, dependiente del Ministerio de Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional.

El CSIRT de la Defensa Nacional dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional.

Para los efectos presupuestarios, el CSIRT a que se refiere este artículo dependerá del Ministerio de Defensa Nacional; se regirá por el reglamento que este Ministerio dicte al efecto y, en lo que le sea aplicable, por la presente ley.

Artículo 30. De las funciones del CSIRT de la Defensa Nacional.

Las funciones principales del CSIRT de la Defensa Nacional serán las siguientes:

a) Conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la defensa nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y del Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.

d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.

Artículo 31. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional.

En el sector de la defensa nacional se constituirán Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales de la Defensa Nacional, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la defensa nacional.

Se podrán constituir CSIRT Institucionales, conforme a los lineamientos entregados por el CSIRT de la Defensa Nacional.

Las funciones de los CSIRT Institucionales de la Defensa Nacional serán determinadas por la reglamentación que el Ministerio de Defensa Nacional dicte al efecto, de conformidad a la política de ciberdefensa y a los lineamientos generales que entregue la Agencia.

Artículo 32. Deber de reporte al CSIRT de la Defensa Nacional.

Todas las instituciones de la defensa nacional deberán reportar los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT de la

Defensa Nacional. El CSIRT de la Defensa Nacional reportará a la Agencia todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional, conforme a lo que determine el reglamento.

TÍTULO VI. De la reserva de información en el sector público en materia de ciberseguridad

Artículo 33. De la reserva de información.

Se considerarán secretos y de circulación restringida, para todos los efectos legales, los antecedentes, datos, informaciones y registros que obren en poder de la Agencia, de los CSIRT, sean Nacional, de Defensa o que pertenezcan a organismos de la Administración del Estado o de su personal, cualquiera que sea su cargo o la naturaleza de su vinculación jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros antecedentes respecto de los cuales el personal de tales organismos del Estado tome conocimiento en el desempeño de sus funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho carácter con la autorización de su Director o Directora Nacional, en las condiciones que éste indique.

Los funcionarios y funcionarias de la Agencia y del CSIRT Nacional, de Defensa o de los que pertenezcan a organismos de la Administración del Estado que hubieren tomado conocimiento de los antecedentes a que se refiere el inciso primero, estarán obligados a mantener el carácter secreto de su existencia y contenido aun después del término de sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información contenida en los sistemas de gestión de seguridad de la información y los registros previstos en el artículo 8°, entendiéndose para todo efecto que su divulgación, comunicación o conocimiento afectarán la seguridad de la Nación o el interés nacional.

Adicionalmente, serán considerada como información secreta o reservada, la siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres, y

iii. Los planes de acción y mitigación de riesgos de ciberseguridad.

Artículo 34. Extensión de la obligación de reserva.

La obligación de guardar secreto regirá, además, para aquellos que, sin ser funcionarios o funcionarias de la Agencia, tomaren conocimiento de las solicitudes para la ejecución de procedimientos especiales de obtención de información de los antecedentes que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 35. Deber de reserva de la Agencia.

La Agencia deberá mantener y cautelar la reserva de la información que llegue a conocer en el desempeño de sus funciones cuando ella tenga tal calidad en virtud de una norma legal o porque, habiendo sido requerida por ella, le sea entregada bajo tal calidad.

Asimismo, deberá procurar el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y el derecho a la protección de datos personales.

Sin perjuicio de lo anterior, no se incumple el deber de reserva en aquellos casos en que la Agencia o el CSIRT Nacional, en cumplimiento de sus funciones, deba difundir antecedentes que se encontraren sujetos a reserva, siempre que ello permita gestionar, prevenir o contener un incidente de ciberseguridad.

Artículo 36. Sanciones.

La infracción a las obligaciones dispuestas en el presente Título, serán sancionadas en la forma prevista en los artículos 246, 247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII. De las infracciones y sanciones.

Artículo 37. Competencia de la autoridad sectorial.

La autoridad sectorial será competente para fiscalizar, conocer y sancionar las infracciones, así como ejecutar las sanciones a la normativa sobre ciberseguridad que hubiere dictado y cuyos efectos sean al menos equivalentes al de la normativa dictada por la Agencia, conforme lo dispuesto en el artículo 26. Para este efecto, las sanciones y procedimientos sancionatorios serán los que correspondan a la autoridad sectorial de conformidad a su normativa. Fuera de dichos casos, corresponderá a la Agencia fiscalizar, conocer y sancionar las infracciones así como ejecutar las sanciones a la presente ley, sin perjuicio de la facultad de los organismos de la Administración del Estado de poner en conocimiento del organismo competente las infracciones a la norma de que tomaren conocimiento.

Artículo 38. Infracciones.

Las infracciones a las obligaciones que esta ley prescribe a los sujetos obligados por ella se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. Entregar fuera de plazo la información que se le requiera cuando ella no fuere necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no esté sancionado como infracción grave o gravísima; y

3. Cualquier infracción a las obligaciones que esta ley establece y que no tenga señalada una sanción especial.

Se considerarán infracciones graves las siguientes:

1. No haber implementado los protocolos y estándares establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad;

2. No haber implementado los estándares particulares de ciberseguridad;

3. Entregar fuera de plazo la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de ciberseguridad;

4. Entregar a la Agencia de información manifiestamente falsa o errónea.

5. Incumplir la obligación de reportar establecida en el artículo 9;

6. Negarse injustificadamente a cumplir una instrucción de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial; y

7. La reincidencia en una misma infracción leve dentro de un año.

Se considerarán infracciones gravísimas las siguientes:

1. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente de ciberseguridad;

2. Incumplir las instrucciones generales o particulares impartidas por la Agencia durante la gestión de un incidente de impacto significativo;

3. No entregar la información que se le requiera cuando ella fuere necesaria para la gestión de un incidente de impacto significativo; y

4. La reincidencia en una infracción grave dentro de un año.

Artículo 39. De las infracciones de los Operadores de Importancia Vital.

Sin perjuicio de lo prescrito en el artículo precedente, los Operadores de Importancia Vital podrán ser sancionados por infringir las disposiciones del artículo 8º, las que se califican en leves, graves y gravísimas.

Se considerarán infracciones leves las siguientes:

1. No mantener el registro de las acciones de seguridad que señala la letra b);

2. No comunicar al CSIRT Nacional la realización continua de operaciones de revisión, ejercicios y demás acciones que señala el literal d);

3. No contar con programas de capacitación, formación y educación continua para los trabajadores, según dispone el literal g);

4. No designar un delegado de ciberseguridad, según dispone la letra i);

5. No dar cumplimiento a la instrucción particular de la Agencia en orden a certificar los planes de continuidad operacional del párrafo segundo de la letra c); y

6. No contar con las certificaciones que exija la ley, de acuerdo al literal f).

Se considerarán infracciones graves las siguientes:

1. No haber implementado el sistema de gestión de seguridad de la información continuo al que se refiere el literal a);

2. No haber elaborado o implementado los planes de continuidad operacional y ciberseguridad a los que se refiere la letra c);

3. No informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, en los casos que señala la letra g);

4. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e); y

5. La reincidencia en una misma infracción leve dentro del periodo de un año.

Se considerarán infracciones gravísimas las siguientes:

1. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e), cuando este posea un impacto significativo; y

2. La reincidencia en una misma infracción grave dentro del periodo de un año.

Artículo 40. De las sanciones.

La infracción a los preceptos de esta ley conlleva la imposición de una multa a beneficio fiscal, de acuerdo a la siguiente escala:

1. Las infracciones leves serán sancionadas con multa de hasta 5.000 unidades tributarias mensuales; o con hasta 10.000 unidades tributarias mensuales si se tratare de un operador de importancia vital;

2. Las infracciones graves serán sancionadas con multa de hasta 10.000 unidades tributarias mensuales; o con hasta 20.000 unidades tributarias mensuales si se tratare de un operador de importancia vital; y

3. Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 unidades tributarias mensuales; o con hasta 40.000 unidades tributarias mensuales si se tratare de un operador de importancia vital.

La multa será fijada teniendo en consideración el grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del incidente, el grado de exposición del infractor a los riesgos, la gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas, la reiteración en la infracción dentro del plazo de 3 años contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.

Cuando por unos mismos hechos y fundamentos jurídicos, el infractor pudiese ser sancionado con arreglo a esta ley y a otra u otras leyes, de las sanciones posibles, se le impondrá la de mayor gravedad.

En ningún caso se podrá aplicar al infractor, por los mismos hechos y fundamentos jurídicos, dos o más sanciones administrativas.

Las infracciones previstas en esta ley prescribirán a los tres años de cometidas, plazo que se interrumpirá con la notificación de la formulación de cargos por los hechos constitutivos de las mismas.

Artículo 41. Procedimiento simplificado.

Tratándose de la formulación de cargos por infracciones calificadas como leves en conformidad al artículo 38, la Agencia estará facultada para proponer de manera inmediata la sanción a aplicar, la cual quedará firme si el presunto infractor opta por allanarse a los cargos formulados en su contra. En caso contrario, si el presunto infractor decide rechazar la imputación y presentar descargos, se procederá conforme a lo indicado en el artículo 40 de la presente ley.

Artículo 42. Procedimiento administrativo sancionador.

El procedimiento administrativo se regirá por lo prescrito por la ley Nº19.880, que establece bases de los procedimientos administrativos que rigen los actos de los organismos de la Administración del Estado, sin perjuicio de las siguientes disposiciones:

a) Toda sanción deberá fundarse en un procedimiento que se iniciará con la formulación precisa y fundada de los cargos y contendrá la descripción de los hechos en los que se fundamentan y de cómo éstos constan en la investigación, la indicación de por qué se consideran una infracción a la normativa, especificando la o las normas que se estimen infringidas y el presunto responsable de la infracción. Además, se designará al funcionario a cargo de la instrucción del procedimiento. Se fijará un plazo para la formulación de descargos que no podrá ser inferior a quince ni superior a treinta días. Las notificaciones del procedimiento deberán realizarse a la dirección de correo electrónico que haya sido proporcionada a la Agencia, de conformidad al reglamento.

b) En los descargos deberán señalarse todas las circunstancias o antecedentes de hecho y de derecho que eximan o atenúen la presunta responsabilidad de la persona objeto de cargos, así como aquellas que nieguen la efectiva ocurrencia de los hechos, o que demuestren que éstos no constituyen infracción.

Todo ello, sin perjuicio de otras presentaciones o antecedentes posteriores que se hagan valer en el curso del procedimiento sancionatorio con el mismo objetivo. Asimismo, deberán solicitarse las diligencias probatorias que correspondieren.

c) Vencido el plazo para formular descargos, se abrirá un término probatorio por un plazo no inferior a diez ni superior a veinte días, según la naturaleza y complejidad del asunto. Dicho plazo podrá prorrogarse por una sola vez y hasta por un máximo de quince días. Se podrá rendir prueba mediante cualquier medio admisible en Derecho, los que se apreciarán de acuerdo a las reglas de la sana crítica.

d) Excepcionalmente, se realizarán las diligencias que, decretadas de oficio o a petición de parte, se estimen estrictamente necesarias para la resolución del asunto. Las diligencias podrán solicitarse dentro de los cinco días siguientes al vencimiento del término probatorio.

e) Una vez transcurrido el plazo mencionado en el literal previo, el procedimiento deberá concluir. El instructor del procedimiento emitirá un informe en el cual deberá incluir un análisis detallado de todas las defensas, alegatos y pruebas presentadas durante el procedimiento sancionatorio a partir del cual se determinará si se ha infringido la normativa vigente y si procede la imposición de la sanción respectiva o la absolución de los cargos. El informe deberá emitirse dentro del plazo de quince días.

f) Una vez recibido el informe del instructor del procedimiento, corresponderá al Subdirector de la Agencia resolver los procesos sancionatorios en el plazo de quince días, dictando al efecto resolución fundada en la cual absolverá al infractor o aplicará la sanción, en su caso. La resolución del Subdirector deberá incluir el mismo contenido que el informe señalado en el literal precedente.

Artículo 43. De los recursos.

En contra de la resolución del Subdirector mediante la cual se concluye el procedimiento administrativo procederán los recursos que establezca la ley Nº19.880. El recurso deberá resolverse dentro del plazo de quince días. La interposición del recurso suspenderá el plazo para reclamar de ilegalidad, siempre que se trate de materias por las cuales procede dicho recurso.

Artículo 44. Forma de pago de las multas.

Las multas deberán pagarse dentro de los diez días siguientes contados desde que el acto administrativo que las impone quede firme. Vencido ese plazo, la resolución que establezca la sanción tendrá mérito ejecutivo y se hará exigible por la Tesorería General de la República. Para su cobro se aplicará el inciso segundo del artículo 35 del decreto ley N° 1.263, de 1975, orgánico de Administración Financiera del Estado.

El pago de toda multa deberá ser acreditado ante la Agencia, dentro de los diez días siguientes a la fecha en que ésta debió ser pagada.

El retardo en el pago de estas multas devengará los intereses y reajustes establecidos en el artículo 53 del Código Tributario.

Artículo 45. Pronto pago.

El sancionado que no interponga recurso alguno podrá, dentro de los cinco días siguientes a que le sea notificada la resolución del Subdirector que le impone la sanción, pagar directamente en la Tesorería General de la República en cuyo caso, el monto de la misma será reducido en un veinticinco por ciento. Una vez ejercido este derecho, se entenderán renunciado todos los recursos.

Lo dicho en este artículo no será aplicable para el caso previsto en el artículo anterior.

Artículo 46. Procedimiento de reclamación judicial.

Las personas que estimen que un acto administrativo que paraliza el procedimiento, o una resolución final o de término emanado de la Agencia, sea ilegal y les cause perjuicio, podrán deducir un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o la del lugar donde se encuentre domiciliado el reclamante, a elección de este último. El reclamo deberá interponerse dentro de los quince días hábiles siguientes a la notificación de la resolución impugnada, los que deberán computarse de acuerdo al artículo 25 de la ley N°19.880, según las siguientes reglas:

a) El reclamante señalará en su escrito, con precisión, la resolución objeto del reclamo, la o las normas legales que se suponen infringidas, la forma en que se ha producido la infracción y, cuando procediere, las razones por las cuales el acto le causa agravio.

b) La Corte podrá declarar inadmisible la reclamación si el escrito no cumple con las condiciones señaladas en la letra a) anterior. Asimismo, podrá decretar orden de no innovar cuando la ejecución del acto impugnado pueda ocasionar un daño irreparable al recurrente.

c) Recibida la reclamación, la Corte requerirá el informe de la Agencia, concediéndole un plazo de diez días hábiles al efecto.

d) Evacuado el traslado o teniéndosele por evacuado en rebeldía, la Corte podrá abrir un término de prueba, si así lo estima necesario, el que se regirá por las reglas de los incidentes que contempla el Código de Procedimiento Civil.

e) Vencido el término de prueba, se ordenará traer los autos en relación. La vista de esta causa gozará de preferencia para su inclusión en la tabla.

f) Si la Corte da lugar al reclamo, en su sentencia decidirá si existió agravio y ordenará, cuando sea procedente, la rectificación del acto impugnado y la dictación de la respectiva resolución, según corresponda.

g) Tratándose de reclamaciones en contra de una resolución que resuelve un procedimiento sancionatorio, la Corte podrá rechazar o acoger la resolución impugnada, establecer o desechar la comisión de la infracción, según corresponda, y mantener, dejar sin efecto o modificar la sanción impuesta al responsable o su absolución, según sea el caso.

h) Contra la resolución de la Corte de Apelaciones se podrá apelar ante la Corte Suprema, dentro del plazo de diez días hábiles, la que resolverá en cuenta.

i) En todo aquello no regulado por el presente artículo, regirán las normas establecidas en el Código Orgánico de Tribunales y en el Código de Procedimiento Civil, según corresponda.

Artículo 47. Responsabilidad administrativa del jefe superior del organismo de la administración del Estado.

El jefe superior del organismo de la administración del Estado deberá velar porque el organismo respectivo aplique las medidas idóneas y necesarias para prevenir, reportar y resolver incidentes de ciberseguridad con arreglo a lo establecido en esta ley.

Asimismo, los organismos de la Administración del Estado deberán adoptar las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia.

TÍTULO VIII. Del Comité Interministerial sobre Ciberseguridad

Artículo 48. Comité Interministerial sobre Ciberseguridad.

Créase el Comité Interministerial sobre Ciberseguridad, en adelante el Comité, que tendrá por objeto asesorar al Presidente de la República en materias de Ciberseguridad relevantes para el funcionamiento del país.

En el ejercicio de sus funciones, el Comité deberá:

a) Asesorar al Presidente de la República en el análisis y definición de la Política Nacional de Ciberseguridad, que contendrá las medidas, planes y programas de acción específicos que se aplicarán para su ejecución y cumplimiento.

b) Proponer al Presidente de la República cambios a la normativa constitucional, legal o reglamentaria vigente cuando ésta incida en materias de ciberseguridad.

c) Coordinar la implementación de la Política Nacional de Ciberseguridad.

d) Apoyar las funciones de la Agencia Nacional de Ciberseguridad en lo que resulte necesario.

e) Revisar y tener en consideración las recomendaciones del Consejo Multisectorial sobre Ciberseguridad.

Artículo 49. De los integrantes del Comité.

El Comité estará integrado por los siguientes miembros permanentes:

a) Por el Subsecretario del Interior o quien éste designe.

b) Por el Subsecretario de Defensa o quien éste designe.

c) Por el Subsecretario de Relaciones Exteriores o quien éste designe.

d) Por el Subsecretario General de la Presidencia o quien éste designe.

e) Por el Subsecretario de Telecomunicaciones o quien éste designe.

f) Por el Subsecretario de Hacienda o quien éste designe.

g) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o quien éste designe.

h) Por el Director o Directora Nacional de la Agencia Nacional de Inteligencia.

i) Por el Director o Directora Nacional de la Agencia Nacional de Ciberseguridad, quien lo presidirá.

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios o funcionarias de la Administración del Estado u otras autoridades públicas, así como a representantes de entidades internacionales, públicas o privadas, académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 50. De la Secretaría Ejecutiva.

El Comité contará con una Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico, administrativo y de contenidos para el desarrollo de las reuniones del Comité.

Al Director o Directora Nacional de la Agencia le corresponderá, entre otras funciones, convocar, dirigir y registrar las sesiones e implementar los acuerdos que se adopten.

Artículo 51. De la información reservada.

Constituido el Comité en sesión secreta, los funcionarios o funcionarias que estén en conocimiento de información reservada que sea atingente a los fines del Comité, podrán compartirla para su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de violación de secretos contemplado en los artículos 246, 247 y 247 bis del Código Penal.

Artículo 52. Del reglamento.

Un reglamento expedido por el Ministerio encargado de la seguridad pública fijará las normas de funcionamiento del Comité.

Título IX. Órganos autónomos constitucionales

Artículo 53. Regímenes especiales.

El Senado y la Cámara de Diputados, el Poder Judicial, la Contraloría General de la República, el Banco Central, el Ministerio Público, el Servicio Electoral y el Consejo Nacional de Televisión deberán adoptar las medidas de seguridad de sus redes y sistemas informáticos que sean pertinentes. Para estos efectos, la Corte Suprema, el respectivo jefe de servicio o los órganos colegiados que ejerzan dicha función, podrán dictar la normativa que sea conveniente a tales efectos, pudiendo considerar en su formulación las recomendaciones que efectúe la Agencia.

Las instituciones y órganos señalados en este artículo no estarán sujetos en modo alguno a la regulación, fiscalización o supervigilancia de la Agencia; sin perjuicio de que deberán convenir mecanismos de reporte de incidentes de ciberseguridad y de coordinación y cooperación para la respuesta a incidentes de ciberseguridad.

Asimismo, si el órgano autónomo constitucional revistiera el carácter de autoridad sectorial, deberá considerársele para los efectos de los artículos 6, 25 y 26.

TÍTULO X. De las modificaciones a otros cuerpos legales

Artículo 54. Incorpórase, en el artículo 25 de la ley N° 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional, la siguiente letra k), nueva:

“k) Conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa.”.

Artículo 55. Introdúcense las siguientes enmiendas en la ley N° 21.459, que establece normas sobre delitos informáticos, deroga la ley N° 19.223 y modifica otros cuerpos legales con el objeto de adecuarlos al Convenio de Budapest:

1. Incorpórase, en el artículo 2°, el siguiente inciso final, nuevo:

“No será objeto de sanción penal por haber incurrido en los hechos tipificados en el inciso primero, el que habiendo accedido a un sistema informático cuyo responsable tenga domicilio en Chile, lo hiciera cumpliendo con las siguientes condiciones:

1) Encontrarse inscrito en el registro que al efecto lleve la Agencia Nacional de Ciberseguridad;

2) Que el acceso se haya realizado habiendo informado previamente de ello a la Agencia;

3) Que el acceso y las vulnerabilidades de seguridad detectadas hayan sido reportadas al responsable del sistema informático y a la Agencia, tan pronto se hubiere realizado;

4) Que el acceso no haya sido realizado con el ánimo de apoderarse o de usar la información contenida en el sistema informático, ni con intención fraudulenta. Tampoco podrá haber actuado más allá de lo que era necesario para comprobar la existencia de una vulnerabilidad, ni utilizando métodos que pudieran conducir a denegación de servicio, a pruebas físicas, utilización de código malicioso, ingeniería social y alteración, eliminación, exfiltración o destrucción de datos;

5) No haber divulgado públicamente la información relativa a la potencial vulnerabilidad;

6) Que se trate de un acceso a un sistema informático de los organismos de la administración del Estado. En el resto de los casos, requerirá del consentimiento del responsable del sistema informático.

7) Haber dado cumplimiento a las demás condiciones sobre comunicación responsable de vulnerabilidades que al efecto hubiere dictado la Agencia.

2. Derógase el artículo 16.

DISPOSICIONES TRANSITORIAS

Artículo primero.

Entrada en vigencia y personal.

Facúltase al Presidente de la República para que en el plazo de un año de publicada en el Diario Oficial la presente ley, establezca mediante uno o más decretos con fuerza de ley expedidos a través del Ministerio del Interior y Seguridad Pública, los que también deberán ser suscritos por el Ministro de Hacienda, las normas necesarias para regular las siguientes materias:

1. Determinar la fecha para la iniciación de actividades de la Agencia, la cual podrá contemplar un período para su implementación y uno a contar del cual entrará en operaciones.

2. Determinar un periodo para la vigencia de las normas establecidas por la presente ley el cual no podrá ser inferior a seis meses desde su publicación.

3. Fijar el sistema de remuneraciones del personal de la Agencia y las normas necesarias para la fijación de las remuneraciones variables, en su aplicación transitoria.

4. Fijar la planta de personal de Directivos de la Agencia, pudiendo al efecto fijar el número de cargos, los requisitos para el desempeño de los mismos, sus denominaciones y los cargos que se encuentren afectos al Título VI de la ley N° 19.882. Además, determinará la fecha de entrada en vigencia de dicha planta.

5. El personal que a la fecha de inicio de actividades de la Agencia se encuentre prestando servicios a honorarios en la Subsecretaría del Interior y cuyo traspaso se determine de conformidad a los párrafos tercero y cuarto de este numeral, podrá optar por modificar su estatuto laboral al Código del Trabajo, siempre que cumpla con los requisitos respectivos y otorgue previamente su consentimiento.

En la medida que el personal señalado en el párrafo anterior cumpla con los requisitos respectivos y dé su consentimiento, las modificaciones de estatuto laboral señaladas en el mencionado párrafo precedente deberán incluirse en la dotación máxima de personal del primer presupuesto que se fije para la Agencia.

En el respectivo decreto con fuerza de ley, se determinará la forma y el número de personas a honorarios a traspasar sin solución de continuidad, desde la Subsecretaría del Interior a la Agencia, además, el plazo en que se llevará a cabo este proceso. Conjuntamente con el traspaso del personal, se traspasarán los recursos presupuestarios que se liberen por este hecho y, a su vez, un número equivalente al de los honorarios traspasados deberá ser reducido del número máximo de personas a ser contratadas a honorarios fijado en las glosas presupuestarias correspondientes de la Subsecretaría del Interior.

La individualización del personal traspasado conforme al párrafo anterior, se realizará a través de decretos expedidos bajo la fórmula “Por orden del Presidente de la República”, por intermedio del Ministerio del Interior y Seguridad Pública.

El personal a honorarios que pase a ser Código del Trabajo de acuerdo a lo señalado en este artículo, mantendrá una remuneración líquida mensualizada que le permita mantener su honorario líquido mensual.

6. Determinar la dotación máxima de personal de la Agencia.

7. Podrá disponer el traspaso, en lo que corresponda, de toda clase de bienes, desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

Artículo segundo.

El Presidente de la República, sin sujetarse a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la publicación de la presente ley, al primer Director o Directora de la Agencia Nacional de Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año y en tanto se efectúa el proceso de selección pertinente que establece la señalada ley para los cargos del Sistema de Alta Dirección Pública. En el acto de nombramiento, el Presidente de la República fijará el grado de la escala única de sueldos y la asignación de alta dirección pública que le corresponderá al Director o Directora, siempre que no se encuentre vigente la respectiva planta de personal. La remuneración del primer Director o Directora se financiará con cargo al presupuesto de la Subsecretaría del Interior, incrementándose para ese sólo efecto en un cargo su dotación máxima de personal, siempre que no se encuentre vigente la respectiva planta de personal. El primer Director de la Agencia Nacional de Ciberseguridad no podrá participar del primer proceso de selección por Alta Dirección Pública para la provisión de su cargo.

Artículo tercero.

El Presidente de la República, por decreto supremo expedido por intermedio del Ministerio de Hacienda, conformará el primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos, programas, ítems, asignaciones y glosas presupuestarias que sean pertinentes.

Artículo cuarto.

Dentro del plazo de ciento ochenta días posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad Pública deberá expedir los reglamentos señalados en esta ley.

Artículo quinto.

Renovación de los miembros del Consejo Multisectorial sobre Ciberseguridad. Para los efectos de la renovación parcial de los miembros del Consejo Multisectorial sobre Ciberseguridad a que se refiere el inciso segundo del artículo 20, sus miembros durarán en sus cargos el número de años que a continuación se indica, sin perjuicio de que podrán ser designados por un nuevo período:

a) Tres consejeros durarán en sus cargos un plazo de tres años.

b) Tres consejeros durarán en sus cargos un plazo de seis años.

Artículo sexto.

El mayor gasto fiscal que represente la aplicación de la presente ley durante su primer año presupuestario de vigencia se financiará con cargo al presupuesto el Ministerio del Interior y Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho presupuesto en la parte del gasto que no pudiere financiar con esos recursos. Para los años siguientes, se financiará de acuerdo con lo determinen las respectivas Leyes de Presupuestos del Sector Público.”

14Ene/24

Proyecto de Reglamento de 2 de agosto de 2023, de la Ley nº 30.999

REGLAMENTO DE LA LEY N° 30999, LEY DE CIBERDEFENSA

TÍTULO PRELIMINAR

DISPOSICIONES GENERALES

Artículo I.- Objeto

El presente reglamento tiene por objeto desarrollar el marco normativo contenido en la Ley N° 30999 – Ley de Ciberdefensa, regulando las operaciones militares en y mediante el ciberespacio para preservar la seguridad nacional, a cargo de los órganos ejecutores del Ministerio de Defensa, dentro de su ámbito de competencia.

Artículo II.- Finalidad

El presente reglamento tiene por finalidad la defensa y protección de la soberanía, los intereses nacionales, los activos críticos nacionales y recursos claves, para mantener las capacidades nacionales frente a amenazas o ataques en y mediante el ciberespacio, cuando estos afecten la seguridad nacional.

Artículo III.- Principios que rigen las Operaciones de Ciberdefensa

3.1 Los principios que regulan las operaciones militares en y mediante el ciberespacio, cuando afecten la seguridad nacional, son los siguientes:

a. Principio de legalidad:

Las operaciones militares en y mediante el ciberespacio se enmarcan en la normativa legal vigente; durante el ejercicio de la función militar, el personal militar sujeta su accionar y conducta a lo previsto en la Constitución Política del Perú y la legislación nacional, en observancia de las normas de los Derechos Humanos y el Derecho Internacional Humanitario.

b. Principio de necesidad militar:

Implica la existencia de un equilibrio entre la obtención de una ventaja directa y concreta sobre el adversario en y mediante el ciberespacio y los condicionamientos humanitarios, de forma que no se cause daños desproporcionados en relación con el objetivo de que el adversario se debilite o se rinda. Supone optar por el mal menor para no causar a la parte adversa mayor violencia que la exigida por el desarrollo de las hostilidades.

c. Principio de proporcionalidad:

Implica la autorización de una operación militar cuando sea previsible que no cause daños incidentales entre la población civil o daños a bienes de carácter civil, que sean excesivos en relación con la ventaja militar concreta y prevista. Asimismo, cuando corresponda, es la equivalencia entre la gravedad de la amenaza o resistencia y el nivel de fuerza empleado, debiendo ser ésta el mínimo necesario para alcanzar el objetivo legal buscado.

d. Principio de oportunidad:

Implica la acción oportuna de las Operaciones militares en y mediante el ciberespacio ante amenazas, que de no ser ejecutada de inmediato ocasiona perjuicios vitales.

3.2 Los principios que sustentan las operaciones militares en el ciberespacio sirven de criterio interpretativo para resolver las cuestiones que puedan suscitarse en la aplicación de la Ley y el presente Reglamento.

Artículo IV. Definición de términos

Para efectos de la Ley y el Reglamento se establecen las siguientes definiciones:

a. Activos Críticos Nacionales:

Es la establecida en el inciso 3.4 del artículo 3 del Decreto Supremo N° 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.

b. Acto Hostil en el Ciberespacio:

Es toda acción en y mediante el ciberespacio que atenta contra la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC. Da derecho al ejercicio de la legítima defensa conforme a las reglas de enfrentamiento establecidas por la autoridad competente. Con frecuencia son no cinéticos, dificultando la determinación y atribución.

c. Amenaza en el Ciberespacio:

Todo acto fuente, circunstancia o evento de origen externo o interno con la capacidad potencial de generar, a través del uso de sistemas, herramientas cibernéticas o cualquier otro instrumento en y mediante el ciberespacio, efectos adversos, daños o perjuicios a la seguridad nacional, soberanía, los intereses nacionales, los ACN/RC. Entiéndase también como ciberamenazas.

d. Arma Cibernética:

Agente de software empleado para objetivos de interés militar como parte de una acción ofensiva en y mediante el ciberespacio. Entiéndase también como ciberarma.

e. Ciberespacio:

Comprende el conjunto de redes interconectadas e interdependientes de infraestructura de tecnología de la información y datos almacenados, que incluyen a la Internet, las redes de telecomunicaciones, los sistemas informáticos, procesadores y controladores integrados, junto con los usuarios que interactúan con ellos, entiéndase también como entorno digital. Conceptualmente es un ámbito sin un espacio físico más allá de la jurisdicción de cualquier nación.

f. Ciberseguridad:

Es la establecida en el inciso h) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

g. Incidente de Seguridad Digital:

Es la establecida en el inciso e) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

h. Intención Hostil en el Ciberespacio:

Es toda acción que evidencia la voluntad o preparación para ejecutar un acto hostil en o mediante el ciberespacio que atente contra la seguridad nacional, la soberanía, los intereses nacionales, los ACN/RC. Al igual que los actos hostiles son con frecuencia no cinéticos, lo que dificulta su determinación y atribución.

i. Marco de Seguridad Digital del Estado Peruano:

Es la establecida en el artículo 31 del Decreto Legislativo N° 1412, que aprueba la Ley de Gobierno Digital.

j. Operaciones Militares en el ciberespacio:

Es el empleo de las capacidades de ciberdefensa por parte de los órganos ejecutores del Ministerio de Defensa, de acuerdo con sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o ataques en y mediante el ciberespacio que atenten contra la seguridad nacional, la soberanía, los intereses nacionales y/o los ACN/RC. Entiéndase también como ciberoperaciones.

k. Recursos Claves:

Es la establecida en el inciso 3.13 del artículo 3 del Decreto Supremo N° 106-2017-PCM, Decreto Supremo que aprueba el Reglamento para la Identificación, Evaluación y Gestión de Riesgos de los Activos Críticos Nacionales.

l. Riesgo de Seguridad Digital:

Es la establecida en el inciso g) del artículo 3 del Decreto de Urgencia N° 007-2020, Decreto de Urgencia que aprueba el Marco de Confianza Digital y dispone medidas para su fortalecimiento.

m. Seguridad Digital:

Es la establecida en el artículo 31 del Decreto Legislativo N° 1412, que aprueba la Ley de Gobierno Digital.

n. Seguridad Nacional: Es la situación en la cual el Estado tiene garantizada su independencia, soberanía e integridad y, la población los derechos fundamentales establecidos en la Constitución. Esta situación contribuye a la consolidación de la paz, al desarrollo integral y a la justicia social, basada en los valores democráticos y en el respeto a los derechos humanos.

o. Uso de la fuerza:

Entiéndase por uso de la fuerza, a la actuación que realizan las Fuerzas Armadas, en y mediante el ciberespacio, con los medios y métodos que correspondan, los cuales se encontrarán delimitados a lo que dispone el artículo 51 de la Carta de las Naciones Unidas, la ley de Ciberdefensa y las normas del Derecho Internacional de los Derechos Humanos y del Derecho Internacional Humanitario que sean aplicables.

p. Vulnerabilidades Cibernéticas:

Debilidad o ausencia de capacidad para la defensa cibernética que puede ser utilizada por una amenaza. Esto comprende, pero no se limita a, un diseño deficiente, errores de configuración o técnicas de codificación, debilidades tecnológicas o políticas de seguridad inadecuadas e inseguras.

Artículo V. Acrónimos

Para efectos del presente Reglamento se aplican los siguientes acrónimos:

a. ACN:

Activos críticos nacionales

b. RC:

Recursos clave

c. REN:

Reglas de enfrentamiento

d. JCFFAA:

Jefe del Comando Conjunto de las Fuerzas Armadas

e. COCID:

Comando Operacional de Ciberdefensa

TÍTULO I. DE LA CIBERDEFENSA

CAPÍTULO I. DEL MINISTERIO DE DEFENSA

Artículo 1.- Rol del Ministerio de Defensa en la Ciberdefensa

Para la gestión del Marco de Seguridad Digital del Estado Peruano, en el ámbito de la defensa, el Ministerio de Defensa, dentro del alcance de sus funciones y competencias dirige, norma, supervisa y evalúa las disposiciones en materia de ciberdefensa. El Ministerio de Defensa, es el órgano encargado de gestionar la ciberdefensa. Asimismo, dicta políticas y lineamientos para el planeamiento y conducción de operaciones militares en y mediante en el ciberespacio conforme a la Política de Seguridad y Defensa Nacional aprobada por el Consejo de Seguridad y Defensa Nacional y de manera articulada con los objetivos de seguridad nacional y con la Política Nacional de Transformación Digital.

CAPÍTULO II. DE LOS ÓRGANOS EJECUTORES DEL MINISTERIO DE DEFENSA EN MATERIA DE CIBERDEFENSA

Artículo 2.- Órganos Ejecutores del Ministerio de Defensa y componentes de ciberdefensa

La Ciberdefensa comprende al COCID, y a sus componentes de ciberdefensa que son: el Componente de Ciberdefensa del Ejército del Perú, Componente de Ciberdefensa de la Marina de Guerra del Perú y Componente de Ciberdefensa de la Fuerza Aérea del Perú, los cuales ejecutan operaciones de ciberdefensa en y mediante el ciberespacio.

Artículo 3.- Responsabilidades del Comando Operacional de Ciberdefensa

Son responsabilidades del COCID los siguientes:

a. Planear, organizar y conducir a nivel operacional las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa conjuntas.

b. Proteger sus sistemas de información y el segmento del ciberespacio asignado.

c. Garantizar la libertad de acción conjunta en y mediante el ciberespacio de las fuerzas militares asignadas, así como negar la misma al adversario; empleando los componentes de ciberdefensa de las Instituciones Armadas.

d. Gestionar el registro de incidentes, el intercambio de información sobre ataques informáticos y patrones de amenazas entre los componentes de ciberdefensa de las Instituciones Armadas. Dicho registro es interno y de uso exclusivo del Comando Operacional de Ciberdefensa, y tiene relevancia únicamente para las operaciones que realicen las Fuerzas Armadas.

e. Otras que se asignen en la normativa legal sobre la materia.

Artículo 4.- Responsabilidades de los Componentes de Ciberdefensa de las Instituciones Armadas

Son responsabilidades de los Componentes de Ciberdefensa de las Instituciones Armadas los siguientes:

a. Planear, organizar y conducir a nivel táctico las operaciones militares en y mediante el ciberespacio, ejerciendo el comando y control de las operaciones de ciberdefensa propias.

b. Proteger sus sistemas de información y el segmento del ciberespacio propio o asignado.

c. Alistar integralmente a las unidades a su cargo, para el eficiente desempeño de sus funcione

s. d. Desarrollar y mantener un óptimo nivel de sus capacidades de ciberdefensa.

e. Garantizar la libertad de acción en y mediante el ciberespacio propio o asignado, así como negar la misma a los adversarios.

f. Otras que se asignen en la normativa legal sobre la materia.

CAPÍTULO III. CAPACIDADES DE CIBERDEFENSA

Artículo 5.- De las medidas pasivas y activas de Ciberdefensa

5.1 Medidas pasivas en ciberdefensa:

Conjunto de actividades de prevención, protección y resiliencia del ciberespacio propio y/o asignado. Son de aplicación constante y generalizada, abarcando al personal, medios y sistemas propios o asignados. Involucra, pero no se limita a, el monitoreo de redes propias o asignadas, mantenimiento de sistemas informáticos, actualizaciones de seguridad y operativas, establecimiento de políticas, disposiciones, procedimientos y reglas de seguridad institucional, robustecimiento en la infraestructura cibernética propia y la concientización en materia de ciberdefensa, entre otras.

5.2 Medidas activas en ciberdefensa:

Conjunto de actividades de naturaleza proactiva, reactiva o de recuperación, en o mediante el ciberespacio propio, asignado y/o de interés. Estas medidas se aplican ante la necesidad militar para la defensa y la Seguridad Nacional. Involucra, pero no se limita a, el análisis de vulnerabilidades, una intensa labor de detección, evaluación, identificación y reconocimiento de actos hostiles o amenazas en el ciberespacio; o la aplicación de acciones cibernéticas sobre medios o sistemas que constituyen una amenaza, para degradar o neutralizar sus capacidades y formas de acción, a fin de impedir que estas puedan afectar la libertad de acción en el ciberespacio propio, asignado y/o de interés, entre otras.

Artículo 6.- Capacidades de Ciberdefensa de los Órganos Ejecutores del Ministerio de Defensa

En el ámbito de sus competencias, el COCID y los Componentes de Ciberdefensa de las Instituciones Armadas cuentan con las capacidades siguientes:

 a. Capacidad de Defensa:

Consiste en la prevención, protección y resiliencia de las diferentes plataformas tecnológicas o sistemas de información ante amenazas cibernéticas, actos hostiles u otros incidentes de seguridad digital; recurriendo a medidas pasivas y activas.

b. Capacidad de Explotación:

Consiste en la búsqueda, identificación, reconocimiento, vigilancia y seguimiento de ciberamenazas en y mediante el ciberespacio; recurriendo a medidas pasivas y activas.

c. Capacidad de Respuesta:

Consiste en limitar o negar, temporal o permanentemente, el uso del ciberespacio del objetivo militar mediante la degradación o neutralización de sus sistemas, impactando en sus capacidades; recurriendo a medidas activas.

d. Capacidad de Investigación Digital:

Consiste en el análisis de evidencia digital con la finalidad de determinar su funcionalidad, comportamiento, origen e impacto; así como su explotación futura a través de un proceso de ingeniería inversa. Engloba técnicas de investigación y análisis forense digital para recolectar, analizar y preservar evidencias sobre actos maliciosos en el ciberespacio, recurriendo a medidas pasivas y activas. Entiéndase también como Investigación Forense Digital. Esta capacidad de ciberdefensa se ejerce de acuerdo a las competencias asignadas, la cual no se vincula ni contrapone con la Investigación Digital que pueda realizar cualquier otra entidad pública o privada.

CAPÍTULO IV. OPERACIONES MILITARES EN Y MEDIANTE EL CIBERESPACIO

Artículo 7.- De las Operaciones Militares en y mediante el ciberespacio

Es el eficiente y eficaz empleo de las capacidades de ciberdefensa, articuladas sistémicamente por los Componentes de Ciberdefensa, de acuerdo a sus funciones y en el ámbito de sus respectivas competencias, contra las amenazas o ataques en y mediante el ciberespacio, cuando estos afecten la Seguridad Nacional. Entiéndase también como ciberoperaciones. Comprende el conjunto de acciones orientadas, planificadas, organizadas y coordinadas para ser ejecutadas en y mediante el ciberespacio, con la finalidad de generar los efectos militares deseados para la Seguridad Nacional.

CAPÍTULO V. DEL USO DE LA FUERZA EN Y MEDIANTE EL CIBERESPACIO

Artículo 8.- Del uso de la fuerza en las operaciones de Ciberdefensa

8.1 Los Componentes de Ciberdefensa de las Instituciones Armadas recurren al uso de la fuerza en y mediante el ciberespacio para degradar o neutralizar las capacidades y formas de acción del adversario, que afecten la libertad de acción propia en el ciberespacio, ante la necesidad militar para la Defensa y la Seguridad Nacional.

8.2 El uso de la fuerza en y mediante el ciberespacio sólo se atribuye a los componentes mencionados en el párrafo precedente en operaciones militares bajo la conducción del JCCFFAA, de conformidad con lo dispuesto en las normas de derecho internacional de derechos humanos y del derecho internacional humanitario.

Artículo 9.- De la Legítima Defensa Es el derecho que tiene el Estado, mediante el empleo de los componentes de ciberdefensa de las Instituciones Armadas, de emplear la fuerza en y mediante el ciberespacio para impedir, contener y/o neutralizar un acto o intención hostil, que atente o ponga en riesgo la Seguridad Nacional.

Artículo 10.- Autorización para el uso de la fuerza La autorización para el uso de la fuerza en las operaciones militares en y mediante del ciberespacio que atente con la seguridad nacional está sujeta a disposición expresa, por parte del señor Presidente de la República, Jefe Supremo de las Fuerzas Armadas, y se ejecuta a través de los procedimientos establecidos para las otras operaciones y acciones militares, conforme a la normativa establecida para tal fin.

Artículo 11.- Reglas de enfrentamiento Son instrucciones emitidas por el Jefe del Comando Conjunto de las Fuerzas Armadas, mediante los cuales se mantiene el control sobre el uso de la fuerza por parte de las Fuerzas Armadas durante la ejecución de las operaciones militares en y mediante el ciberespacio ante un acto hostil e intención hostil que afecten la seguridad nacional.

Artículo 12.- Finalidades de las reglas de enfrentamiento Las REN comprenden las siguientes finalidades:

a. Legal.  

Las REN constituyen un medio para asegurar que la actuación militar se sujete al marco jurídico vigente, tanto nacional como internacional durante la ejecución de las operaciones militares en y mediante el ciberespacio.

b. Militar.

Las REN sirven de guía a los comandantes en lo referido al uso de la fuerza, durante la ejecución de las operaciones militares en y mediante el ciberespacio estableciendo límites a su accionar.

c. Política.

Las REN son una forma de asegurar que las Fuerzas Armadas actúen según los lineamientos políticos del nivel estratégico, vinculados al estado final deseado.

Artículo 13.- Requerimiento, autorización o negación e implementación de REN

13.1 Cuando resulte necesario, el comandante militar que conduce las operaciones en y mediante el ciberespacio, puede requerir ante su superior inmediato la implementación, modificación o cancelación de alguna REN, a través del mecanismo de solicitud formal establecido por el JCCFFAA.

13.2 El comando superior que recibe la solicitud de implementación, modificación o cancelación de alguna REN se encuentra facultado para autorizar o denegar dicha solicitud, empleando los mecanismos formales establecidos por el JCCFFAA. Asimismo, el comando superior que recibe la solicitud, se encuentra facultado a incorporar restricciones adicionales a las REN liberadas.

Artículo 14.- De la responsabilidad y su exención Los supuestos de exención de responsabilidad penal derivados del uso de la fuerza durante las operaciones militares en y mediante el ciberespacio en aplicación de la Ley N° 30999, Ley de Ciberdefensa y el presente reglamento son regulados conforme a lo establecido en los numerales 3, 8 y 11 del artículo 20 del Código Penal, y en la Ley N° 27936, en materia de legítima defensa y cumplimiento del deber.

TÍTULO II. DE LA SEGURIDAD DE LOS ACTIVOS CRÍTICOS NACIONALES Y RECURSOS CLAVES

CAPÍTULO I. DE LA PROTECCIÓN DE CONTROL DE LOS ACN/RC

Artículo 15.- Protección y control de los activos críticos nacionales y recursos claves en y mediante el ciberespacio

15.1 Se considera que la seguridad digital de los ACN/RC es afectada cuando se genera un ataque directo o inminente a sus recursos, infraestructura y sistema en sus componentes digitales, por la materialización de riesgos derivados de amenazas y vulnerabilidades en y mediante el ciberespacio, y que generen como consecuencia daños a la persona, prosperidad económica, social y la seguridad nacional.

15.2 En el ámbito de la seguridad nacional, cuando la capacidad de protección en el ciberespacio de los operadores de los ACN/RC, del sector responsable de cada uno de ellos y/o de la Dirección Nacional de Inteligencia sean sobrepasados, la protección y control de los mismos estará a cargo del COCID siguiendo el protocolo descrito en artículo 17 del presente reglamento, con la finalidad de mantener las capacidades nacionales.

CAPÍTULO I.I DE LOS PROTOCOLOS DE ESCALAMIENTO, COORDINACIÓN, INTERCAMBIO Y ACTIVACIÓN PARA LA PROTECCIÓN DE LOS ACN/RC

Artículo 16.- De los responsables y etapas para la protección de los ACN/RC La protección de los ACN/RC en y mediante el ciberespacio se realiza a través de los siguientes responsables y etapas:

16.1 En un primer momento, la ciberseguridad del ACN/RC está a cargo de su propio operador para preservar la Seguridad Digital, en cumplimiento de la normatividad vigente en Seguridad y Confianza Digital; asimismo, coordina con el Sector Responsable y la Presidencia del Consejo de Ministros, a través del Secretaría de Gobierno y Transformación Digital.

16.2 En un segundo momento, a su solicitud, cuando se presente un incidente que no pueda ser gestionado por el operador o supere sus capacidades, la Dirección Nacional de Inteligencia (DINI) complementa la capacidad de ciberseguridad del operador del ACN/RC, en coordinación con la Presidencia del Consejo de Ministros, a través del Secretaría de Gobierno y Transformación Digital.

16.3 En un tercer momento, cuando la capacidad de ciberseguridad de los Operadores de los ACN/RC, el sector responsable y la DINI sea sobrepasada, el Ministerio de Defensa, a través del Comando Conjunto de las Fuerzas Armadas y el COCID complementa las capacidades de ciberseguridad con sus capacidades de ciberdefensa.

16.4 En un cuarto momento, la Secretaria de Gobierno y Transformación Digital, a través del Centro Nacional de Seguridad Digital puede acudir a la asistencia internacional en materia de Seguridad Digital cuando las capacidades de ciberseguridad y ciberdefensa nacionales hayan sido sobrepasadas. La asistencia internacional complementa las capacidades de Ciberseguridad de los operadores de los ACN/RC, el sector responsable, la DINI y las capacidades de Ciberdefensa del MINDEF.

Artículo 17.- Sobre el Protocolo de escalamiento, coordinación, intercambio y activación de incidentes de seguridad digital

17.1 El Protocolo de escalamiento, coordinación, intercambio y activación, debe incluir los procedimientos detallados, criterios y condiciones para la identificación y cambio de momento a los cuales se refiere el artículo precedente del presente reglamento, así como la asignación de responsabilidades y la cadena de autoridad apropiada, de acuerdo a la normativa legal vigente.

17.2 El Protocolo de escalamiento, coordinación, intercambio y activación debe ser legible para humanos y adecuados para su uso mediante plataformas digitales o aplicaciones informáticas que automaticen el intercambio de información.

17.3 La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital elabora y emite el Protocolo de escalamiento, coordinación, intercambio y activación de incidentes de seguridad digital de los ACN/RC, de conformidad con lo establecido en el artículo 13 de la Ley.

17.4 Cuando algún incidente de seguridad digital comprometa los ACN/RC, se ejecuta el Protocolo de escalamiento, coordinación, intercambio y activación a través de las Directivas y/o lineamientos emitidos por la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital.

17.5 El referido protocolo se ejecuta con la comunicación directa e inmediata desde la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno y Transformación Digital al titular o representante del sector correspondiente.

DISPOSICIÓN COMPLEMENTARIA FINAL ÚNICA

Entrenamiento de capacidades en ciberdefensa Los Órganos Ejecutores del Ministerio de Defensa establecen de manera permanente ejercicios en ciberdefensa con la finalidad de entrenar las capacidades en ciberdefensa. La Secretaría de Gobierno y Transformación Digital, a través del Centro Nacional de Seguridad Digital realiza entrenamientos de forma periódica en coordinación con el COCID y sus componentes de ciberdefensa.

16Ene/23

Resolución 1/2023, de 2 de enero de 2023. Resolución 1/2023-1-APN-SDG#JGM. sobre procedimiento de Consulta respecto del documento Segunda Estrategia Nacional de Ciberseguridad.

JEFATURA DE GABINETE DE MINISTROS SECRETARÍA DE GABINETE

Resolución 1/2023

RESOL-2023-1-APN-SDG#JGM

Ciudad de Buenos Aires, 02/01/2023

VISTO el Expediente nº EX-2022-122073106- -APN-SSTI#JGM del Registro de la JEFATURA DE GABINETE DE MINISTROS, la Ley de Ministerios nº 22.520 (texto ordenado por Decreto nº 438/92) y sus modificatorias, los Decretos Nros. 1063 de fecha 4 de octubre de 2016 y su modificatorio, 577 de fecha 28 de julio de 2017 y su modificatorio 480 de fecha 11 de julio de 2019, 50 de fecha 19 de diciembre de 2019 y sus modificatorios y la Resolución de la ex SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS N° 829 de fecha 24 de mayo de 2019, y

CONSIDERANDO:

Que por el Decreto nº 577 del 28 de julio de 2017 y su modificatorio, se creó el COMITÉ DE CIBERSEGURIDAD en la órbita de la entonces SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS, estableciendo entre las tareas a su cargo la de “Desarrollar la Estrategia Nacional de Ciberseguridad, en coordinación con las áreas competentes de la Administración Pública Nacional” y “Elaborar el plan de acción necesario para la implementación de la Estrategia Nacional de Ciberseguridad”.

Que a través del Decreto nº 480 del 11 de julio de 2019, se actualizó la conducción del COMITÉ DE CIBERSEGURIDAD, estableciendo que el mismo será presidido por el entonces Secretario de Gobierno de Modernización, en su carácter de Vicejefe de Gabinete de la JEFATURA DE GABINETE DE MINISTROS.

Que, de conformidad con lo previsto en el artículo 9º del Título III de la Ley de Ministerios nº 22.520 (texto ordenado por Decreto nº 438/92) y sus modificatorias, la Vicejefatura de Gabinete se encuentra en cabeza del Secretario de Gabinete de la JEFATURA DE GABINETE DE MINISTROS (artículo 3° del Decreto nº 451 del 3 de agosto de 2022).

Que, a través de la Resolución de la ex SECRETARÍA DE GOBIERNO DE MODERNIZACIÓN de la JEFATURA DE GABINETE DE MINISTROS nº 829 del 24 de mayo de 2019 se aprobó la primera ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, con el objetivo de establecer los principios esenciales y objetivos centrales de la REPÚBLICA ARGENTINA en torno a la protección del ciberespacio.

Que dicha ESTRATEGIA nació como un documento fundacional, dirigido a servir de punto de partida para el despliegue de acciones y políticas en pos del cumplimiento de los objetivos allí estipulados.

Que, asimismo, las complejidades que exhibe el ciberespacio y los desafíos que se presentan en la protección del entorno digital frente al avance de nuevas tecnologías, ponen de manifiesto la necesidad de actualizar la referida ESTRATEGIA.

Que, por el Decreto nº 50 del 19 de diciembre de 2019 y sus modificatorios, se estableció el organigrama de aplicación de la Administración Nacional centralizada hasta nivel de Subsecretaría, creándose la SECRETARÍA DE INNOVACIÓN PÚBLICA dependiente de la JEFATURA DE GABINETE DE MINISTROS, que entre sus competencias posee la de “Entender en la ciberseguridad y protección de infraestructuras críticas de información y comunicaciones asociadas del Sector Público Nacional y de los servicios de información y comunicaciones definidos en el artículo 1° de la Ley nº 27.078.”

Que dada la relevancia que adquiere la ciberseguridad en el estadío actual de uso e implementación de las tecnologías de la información y las comunicaciones (TIC) resulta fundamental contar con los aportes y participación de la ciudadanía, del sector público, privado, de la academia, la sociedad civil y cualquier interesado en la materia sobre el contenido de la SEGUNDA ESTRATEGIA.

Que, conforme las políticas de participación y transparencia adoptadas por la SECRETARÍA DE INNOVACIÓN PÚBLICA, resulta oportuno someter la cuestión a consulta pública, a fin de recabar información, contribuciones, propuestas, experiencias y recomendaciones de las partes interesadas sobre la SEGUNDA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD, habilitando un espacio para la participación ciudadana.

Que a través del Decreto nº 1063 de fecha 4 de octubre de 2016 y su modificatorio, se aprobó la implementación de la Plataforma de Trámites a Distancia (TAD) “como medio de interacción del ciudadano con la administración, a través de la recepción y remisión por medios electrónicos de presentaciones, solicitudes, escritos, notificaciones y comunicaciones, entre otros.”

Que el servicio jurídico permanente ha tomado la intervención de su competencia.

Que la presente medida se dicta en ejercicio de las competencias conferidas por los Decretos Nros. 577/17 y su modificatorio y 50/19 y sus modificatorios.

Por ello,

EL SECRETARIO DE GABINETE DE LA JEFATURA DE GABINETE DE MINISTROS

RESUELVE:

ARTÍCULO 1º.- Declárase la apertura del procedimiento de consulta pública respecto del documento SEGUNDA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD que, como Anexo IF-2022- 133944871- APN- SSTI#JGM, forma parte de la presente medida.

ARTÍCULO 2°.- Encomiéndese en la SECRETARÍA DE INNOVACIÓN PÚBLICA de la JEFATURA DE GABINETE DE MINISTROS, impulsar los actos administrativos y demás acciones necesarias para la implementación de la SEGUNDA ESTRATEGIA NACIONAL DE CIBERSEGURIDAD que apruebe el COMITÉ DE CIBERSEGURIDAD, así como de los objetivos en ella contenidos.

ARTÍCULO 3°.- Los interesados podrán acceder al Documento de Consulta sometido a consideración, ingresando a la página web www.argentina.gob.ar/innovación/ssti.

ARTÍCULO 4°.- Las opiniones y propuestas deberán ser presentadas por correo electrónico, dirigido a la casilla [email protected], o bien ingresando a la página https://tramitesadistancia.gob.ar/tramitesadistancia/detalle-tipo?id=5181  a través de la Mesa de Entradas Virtual (MEV) de la SECRETARÍA DE INNOVACIÓN PÚBLICA, dentro de los TREINTA (30) días hábiles contados a partir del día siguiente al de la publicación de la presente en el BOLETÍN OFICIAL DE LA REPÚBLICA ARGENTINA.

El instructivo de funcionamiento de la MEV se encuentra disponible, accediendo a https://www.boletinoficial.gob.ar/detalleAviso/primera/228458/20200430.

ARTÍCULO 5°.- Comuníquese, publíquese, dése a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y archívese.

Juan Manuel Olmos

28Feb/21

Resolución SBS nº 504-2021 de 19 de febrero de 2021

Resolución SBS nº 504-2021 de 19 de febrero de 2021, que aprueba el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico. (El Peruano, martes 23 de febrero de 2021).

SUPERINTENDENCIA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

Aprueban el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, modifican el Reglamento de Auditoría Interna, el Reglamento de Auditoría Externa, el TUPA de la SBS, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, el Reglamento de Riesgo Operacional, el Reglamento de Tarjetas de Crédito y Débito y el Reglamento de Operaciones con Dinero Electrónico

Resolución SBS nº 504-2021

Lima, 19 de febrero de 2021

LA SUPERINTENDENTA DE BANCA, SEGUROS Y ADMINISTRADORAS PRIVADAS DE FONDOS DE PENSIONES

CONSIDERANDO:

Que, el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante la Resolución SBS nº 272-2017, incorpora disposiciones que tienen por finalidad que las empresas supervisadas cuenten con una gestión de riesgos y gobierno corporativo adecuados;

Que, mediante el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante la Resolución SBS nº 2116-2009, se incluyen disposiciones que las empresas deben cumplir en la gestión efectiva del riesgo operacional;

Que, esta Superintendencia emitió la Circular G-140-2009 con la finalidad de establecer criterios mínimos para una adecuada gestión de la seguridad de la información;

Que, resulta necesario actualizar la normativa sobre gestión de seguridad de la información vía la aprobación de un reglamento, complementario al Reglamento para la Gestión del Riesgo Operacional, tomando en cuenta los estándares y buenas prácticas internacionales sobre seguridad de la información, entre los que se encuentran los publicados por el National Institute of Standards and Technology y la familia de estándares ISO/IEC;

Que, la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos, del sistema financiero, de seguros y privado de pensiones, hace necesario que las empresas de dichos sistemas supervisados fortalezcan sus capacidades de ciberseguridad y procesos de autenticación;

Que, asimismo, es necesario modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por la Resolución SBS nº 6523-2013 y normas sus modificatorias; el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias; el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus normas modificatorias; así como el Reglamento de Auditoría Externa, aprobado por la Resolución SBS nº 17026-2010 y sus normas modificatorias;

Que, para recoger las opiniones del público, se dispuso la prepublicación del proyecto de resolución sobre la materia en el portal electrónico de la Superintendencia, al amparo de lo dispuesto en el Decreto Supremo nº 001-2009-JUS;

Con el visto bueno de las Superintendencias Adjuntas de Banca y Microfinanzas, de Administradoras Privadas de Fondos de Pensiones, de Seguros, de Riesgos, de Conducta de Mercado e Inclusión Financiera y de Asesoría Jurídica; y,

En uso de las atribuciones conferidas por los numerales 7 y 9 del artículo 349 de la Ley General del Sistema Financiero y del Sistema de Seguros y Orgánica de la Superintendencia de Banca y Seguros, Ley nº 26702 y sus modificatorias, y el inciso d) del artículo 57 de la Ley del Sistema Privado de Administración de Fondos de Pensiones, cuyo Texto Único Ordenado es aprobado por Decreto Supremo nº 054-97-EF;

RESUELVE:

Artículo Primero

Aprobar el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, según se indica a continuación:

Reglamento Para la Gestión de la Seguridad de la Información y la Ciberseguridad

Capítulo I.- Disposiciones Generales

Artículo 1.- Alcance

1.1. El presente Reglamento es de aplicación a las empresas señaladas en los artículos 16 y 17 de la Ley General, así como a las Administradoras Privadas de Fondos de Pensiones (AFP), en adelante empresas, al igual que las referidas en los párrafos 1.2 y 1.3.

1.2. También es de aplicación al Banco de la Nación, al Banco Agropecuario, a la Corporación Financiera de Desarrollo (COFIDE), al Fondo MIVIVIENDA S.A., y a las Derramas y Cajas de Beneficios bajo control de la Superintendencia, en tanto no se contrapongan con las normativas específicas que regulen el accionar de dichas instituciones.

1.3. Es de aplicación a las empresas corredoras de seguros de acuerdo con lo dispuesto en la Cuarta Disposición Complementaria Final del presente Reglamento.

Artículo 2. Definiciones

Para efectos de la aplicación del presente Reglamento deben considerarse las siguientes definiciones:

a) activo de información: Información o soporte en que ella reside, que es gestionado de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. Es de valor para la empresa y tiene un ciclo de vida.

b) amenaza: Evento que puede afectar adversamente la operación de las empresas y sus activos de información, mediante el aprovechamiento de una vulnerabilidad.

c) autenticación: Para fines de esta norma, es el proceso que permite verificar que una entidad es quien dice ser, para lo cual hace uso de las credenciales que se le asignan. La autenticación puede usar uno, dos o más factores de autenticación independientes, de modo que el uso sin autorización de uno de ellos no compromete la fiabilidad o el acceso a los otros factores.

d) canal digital: Medio empleado por las empresas para proveer servicios cuyo almacenamiento, procesamiento y transmisión se realiza mediante la representación de datos en bits.

e) Ciberseguridad: Protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos.

f) credencial: Conjunto de datos que es generado y asignado a una entidad o un usuario para fines de autenticación.

g) directorio: Directorio u órgano equivalente.

h) entidad: Usuario, dispositivo o sistema informático que tiene una identidad en un sistema, lo cual la hace separada y distinta de cualquier otra en dicho sistema.

i) evento: Un suceso o serie de sucesos que puede ser interno o externo a la empresa, originado por la misma causa, que ocurre durante el mismo periodo de tiempo, según lo definido en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

j) Factores de autenticación de usuario: Aquellos factores empleados para verificar la identidad de un usuario, que pueden corresponder a las siguientes categorías:

– Algo que solo el usuario conoce.

– Algo que solo el usuario posee.

– Algo que el usuario es, que incluye las características biométricas.

k) identidad: Una colección de atributos que definen de forma exclusiva a una entidad.

l) incidente: Evento que se ha determinado que tiene un impacto adverso sobre la organización y que requiere de acciones de respuesta y recuperación.

m) información: Datos que pueden ser procesados, distribuidos, almacenados y representados en cualquier medio electrónico, digital, óptico, magnético, impreso u otros, que son el elemento fundamental de los activos de información.

n) Interfaz de programación de aplicaciones:

Colección de métodos de invocación y parámetros asociados que puede utilizar un software para solicitar acciones de otro software, lo que define los términos en que estos intercambian datos. También conocido como API, por sus siglas en inglés.

o) Servicios en nube: Servicio de procesamiento de datos provisto mediante una infraestructura tecnológica que permite el acceso de red a conveniencia y bajo demanda, a un conjunto compartido de recursos informáticos configurables que se pueden habilitar y suministrar rápidamente, con mínimo esfuerzo de gestión o interacción con los proveedores de servicios.

p) reglamento: Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

q) reglamento de Gobierno corporativo y de la Gestión Integral de Riesgos: Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado por la Resolución SBS nº 272-2017 y sus normas modificatorias.

r) Reglamento para la Gestión de Riesgo operacional: Reglamento para la Gestión de Riesgo Operacional, aprobado por la Resolución SBS nº 2116-2009 y sus normas modificatorias.

s) superintendencia: Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones.

t) Procesamiento de datos: El conjunto de procesos que consiste en la recolección, registro, organización, estructuración, almacenamiento, adaptación, recuperación, consulta, uso, transferencia, difusión, borrado o destrucción de datos.

u) Usuario: persona natural o jurídica que utiliza o puede utilizar los productos ofrecidos por las empresas.

v) Vulnerabilidad: Debilidad que expone a los activos de información ante amenazas que pueden originar incidentes con afectación a los mismos activos de información, y a otros de los que forma parte o con los que interactúa.

Artículo 3. Sistema de gestión de seguridad de la información y Ciberseguridad (SGSI-C)

3.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.

3.2. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) implica, cuando menos, los siguientes objetivos:

a) Confidencialidad: La información sólo es disponible para entidades o procesos autorizados, incluyendo las medidas para proteger la información personal y la información propietaria;

b) Disponibilidad: Asegurar acceso y uso oportuno a la información; e,

c) Integridad: Asegurar el no repudio de la información y su autenticidad, y evitar su modificación o destrucción indebida.

Artículo 4. Proporcionalidad del sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C)

4.1. El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) de la empresa debe ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones.

4.2. Las disposiciones descritas en el Capítulo II, Subcapítulos I, II, III y IV del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen General):

a) Empresa Bancaria;

b) Empresa Financiera;

c) Caja Municipal de Ahorro y Crédito – CMAC;

d) Caja Municipal de Crédito Popular – CMCP;

e) Caja Rural de Ahorro y Crédito – CRAC;

f) Empresa de Seguros y/o Reaseguros, conforme a lo dispuesto en el párrafo 4.4;

g) Empresa de Transporte, Custodia y Administración de Numerario;

h) Administradora Privada de Fondos de Pensiones;

i) Empresa Emisora de Tarjetas de Crédito y/o de Débito;

j) Empresa Emisora de Dinero Electrónico; y

k) El Banco de la Nación.

4.3. Las disposiciones descritas en el Capítulo II, Subcapítulo V del presente Reglamento son de aplicación obligatoria a las siguientes empresas (Régimen Simplificado):

a) Banco de Inversión;

b) Empresa de Seguros y/o Reaseguros, no contempladas en el párrafo 4.4;

c) Entidad de Desarrollo a la Pequeña y Micro Empresa – EDPYME;

d) Empresa de Transferencia de Fondos;

e) Derrama y Caja de Beneficios bajo control de la Superintendencia;

f) La Corporación Financiera de Desarrollo –COFIDE;

g) El Fondo MIVIVIENDA S.A.;

h) El Fondo de Garantía para Préstamos a la Pequeña Industria –FOGAPI;

i) El Banco Agropecuario; y,

j) Almacenes Generales.

4.4. Las empresas de Seguros y/o Reaseguros cuyo volumen promedio de activos de los últimos tres (3) años sea mayor o igual a 450 millones de soles están comprendidas en el Régimen General del presente Reglamento.

4.5. Las empresas señaladas en el Artículo 1, no listadas en los párrafos 4.2 o 4.3 anteriores del presente Reglamento, podrán establecer un sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) conforme a las disposiciones de este Reglamento.

4.6. En caso las empresas del Sistema Financiero listadas en el párrafo 4.2 encuentren limitaciones materiales para cumplir con el Régimen General pueden solicitar autorización para la aplicación del Régimen Simplificado del presente Reglamento, para lo cual deben presentar un informe que sustente la razonabilidad de la solicitud, en términos del tamaño, la naturaleza y la complejidad de sus operaciones, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles.

4.7. Las disposiciones descritas en el Capítulo II, Subcapítulo VI (Régimen Reforzado) del presente Reglamento son de aplicación obligatoria a las empresas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, de acuerdo con lo señalado en el Reglamento para el requerimiento de patrimonio efectivo adicional, aprobado por la Resolución SBS nº 8425-2011 y sus normas modificatorias.

Artículo 5. Responsabilidades del directorio

El directorio es responsable de aprobar y facilitar las acciones requeridas para contar con un SGSI-C apropiado a las necesidades de la empresa y su perfil de riesgo, entre ellas:

a) Aprobar políticas y lineamientos para la implementación del SGSI-C y su mejora continua.

b) Asignar los recursos técnicos, de personal, financieros requeridos para su implementación y adecuado funcionamiento.

c) Aprobar la organización, roles y responsabilidades para el SGSI-C, incluyendo los lineamientos de difusión y capacitación que contribuyan a un mejor conocimiento de los riesgos involucrados.

Artículo 6. Responsabilidades de la gerencia

6.1 La gerencia general es responsable de tomar las medidas necesarias para implementar el SGSI-C de acuerdo a las disposiciones del directorio y lo dispuesto en este Reglamento.

6.2 Los gerentes de las unidades de negocios y de apoyo son responsables de apoyar el buen funcionamiento del SGSI-C y gestionar los riesgos asociados a la seguridad de la información y Ciberseguridad en el marco de sus funciones.

Artículo 7. Funciones del comité de riesgos

7.1 Adicionalmente a las funciones que se han dispuesto que el Comité de Riesgos de las empresas asuman por parte de la normativa de la Superintendencia, se encuentran las siguientes vinculadas a la seguridad de la información y ciberseguridad:

a) Aprobar el plan estratégico del SGSI-C y recomendar acciones a seguir.

b) Aprobar el plan de capacitación a fin de garantizar que el personal, la plana gerencial y el directorio cuenten con competencias necesarias en seguridad de la información y Ciberseguridad.

c) Fomentar la cultura de riesgo y conciencia de la necesidad de medidas apropiadas para su prevención.

7.2. Para el cumplimiento de las funciones indicadas en el párrafo 7.1, la empresa puede constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC). Para las empresas comprendidas en el régimen simplificado, que no cuenten con un Comité de Riesgos o un CSIC, las funciones antes indicadas son asignadas a la Gerencia General.

Artículo 8. función de seguridad de información y Ciberseguridad

8.1. Son responsabilidades de la función de seguridad de la información y ciberseguridad:

a) Proponer el Plan estratégico del SGSI-C y desarrollar los planes operativos.

b) Implementar y manejar las operaciones diarias necesarias para el funcionamiento efectivo del SGSI-C.

c) Implementar procesos de autenticación para controlar el acceso a la información y sistema que utilice la empresa, y a los servicios que provea.

d) Informar al Comité de Riesgos periódicamente sobre los riesgos que enfrenta la empresa en materia de seguridad de información y ciberseguridad.

e) Informar sobre los incidentes de seguridad de la información al Comité de Riesgos o CSIC, según los lineamientos que este establezca, y a las entidades gubernamentales que lo requieran de acuerdo con la normativa vigente.

f) Evaluar las amenazas de seguridad en las estrategias de continuidad del negocio que la empresa defina y proponer medidas de mitigación de riesgos, así como informar al Comité de Riesgos o CSIC.

g) En general realizar lo necesario para dar debido cumplimiento a lo dispuesto en el presente Reglamento.

8.2. Las empresas deben implementar la función de seguridad de la información y ciberseguridad. Además deben contar con un equipo de trabajo multidisciplinario de manejo de incidentes de ciberseguridad, el cual debe estar capacitado para implementar el plan y los procedimientos para gestionarlos, conformado por representantes de las áreas que permitan prever en ellos los aspectos legales, técnicos y organizacionales, de forma consistente con los requerimientos del programa de ciberseguridad establecidos en este Reglamento.

8.3. Las empresas comprendidas en el régimen simplificado, deben contar con una función de seguridad de la información y ciberseguridad, que cumpla por lo menos con los literales a), e), f) y g) del párrafo 8.1 del presente artículo.

Artículo 9. información a la superintendencia

Como parte de los informes periódicos sobre gestión del riesgo operacional requeridos por el Reglamento para la Gestión del Riesgo Operacional, las empresas deben incluir información sobre la gestión de la seguridad de la información y ciberseguridad.

Capítulo II.- Sistema de Gestión de Seguridad de la Información y Ciberseguridad  (SGSI-C)

Subcapítulo I.- Régimen General del Sistema de Gestión de Seguridad de la Información y Ciberseguridad. (SGSI-C)

Artículo 10. Objetivos y requerimientos del SGSI-C

Son objetivos del SGSI-C los siguientes:

1. Identificar los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos:

a) El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos.

b) Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales.

c) Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación.

d) Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa.

2. Revisar periódicamente el alcance y la efectividad de los controles mínimos indicados en el artículo 12 de este Reglamento y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información.

3. Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

Artículo 11. alcance del SGSI-C

El alcance del SGSI-C debe incluir las funciones y unidades organizacionales, las ubicaciones físicas existentes, la infraestructura tecnológica y de comunicaciones, así como el perímetro de control asociado a las relaciones con terceros, que estén bajo responsabilidad de la empresa, conforme a las disposiciones establecidas sobre subcontratación en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos.

Artículo 12. Medidas mínimas de seguridad de la información a adoptar por las empresas

Las empresas deben adoptar las siguientes medidas mínimas de seguridad de información:

1. Seguridad de los recursos humanos:

a) Implementar protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral.

b) Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad de la información.

2. Controles de acceso físico y lógico:

a) Prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota.

b) Implementar procedimientos de administración de accesos, lo que debe incluir a las cuentas de accesos con privilegios administrativos; asegurando una segregación de funciones para reducir el riesgo de error o fraude, siguiendo los principios de mínimo privilegio y necesidad de conocer.

c) Implementar procesos de autenticación para controlar el acceso a los activos de información; en particular, para el acceso a los servicios provistos a usuarios por canales digitales, los procesos de autenticación deben cumplir los requisitos establecidos en el Subcapítulo III del Capítulo II del presente Reglamento.

3. Seguridad en las operaciones:

a) Asegurar y prever el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información.

b) Mantener la operación de los sistemas informáticos acorde a procedimientos previamente establecidos.

c) Controlar los cambios en el ambiente operativo de sistemas, y mantener segregados los ambientes de desarrollo, pruebas y producción.

d) Implementar controles que aseguren la integridad de las transacciones que son ejecutadas en los servicios y sistemas informáticos.

e) Restringir la instalación de software en los sistemas operativos y prevenir la explotación de las vulnerabilidades de seguridad de la información.

f) Contar con protocolos de respuesta y recuperación ante incidentes de malware; generar y probar copias de respaldo de información, software y elementos que faciliten su restablecimiento.

g) Definir, implementar y mantener líneas base de configuración segura para el uso de dispositivos e implementación de sistemas informáticos.

h) Contar con una estrategia de copias de respaldo y procedimientos de restauración de información ante posibles incidentes, de origen interno o externo, que comprometa la disponibilidad de la información para las operaciones y del ambiente productivo del centro de procesamiento de datos.

4. Seguridad en las comunicaciones:

a) Implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta.

b) Asegurar que las redes de comunicaciones y servicios de red son gestionados y controlados para proteger la información.

c) Segregar los servicios de información disponibles, usuarios y sistemas en las redes de la empresa.

d) Implementar protocolos seguros y controles de seguridad para la transferencia de información, dentro de la organización y con partes externas.

e) Asegurar que el acceso remoto, el uso de equipos personales en la red de la empresa, dispositivos móviles y la interconexión entre redes propias y de terceros cuente con controles acorde a las amenazas de seguridad existentes.

5. Adquisición, desarrollo y mantenimiento de sistemas:

a) Implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que se procese y amenazas a las que se encuentren expuestos.

b) Asegurar que se incluyan prácticas de seguridad de la información en la planificación, desarrollo, implementación, operación, soporte y desactivación en las aplicaciones y sistemas informáticos.

c) Limitar el acceso a la modificación de librerías de programas fuente y mantener un estricto control de cambios.

d) Cuando la plataforma operativa sea cambiada, las aplicaciones críticas deben ser revisadas y probadas para evitar efectos adversos en la seguridad de estas.

e) Asegurar que se efectúen pruebas técnicas, funcionales y de seguridad de la información en los sistemas informáticos antes del pase a producción.

f) Implementar y verificar el cumplimiento de procedimientos que incluyan prácticas de desarrollo seguro de servicios y sistemas informáticos.

6. Gestión de incidentes de ciberseguridad:

a) Implementar procedimientos para la gestión de incidentes de ciberseguridad, de acuerdo a lo señalado en el párrafo 8.2 del artículo 8 del presente Reglamento; así también, intercambiar información cuando corresponda, conforme al artículo 16 del presente Reglamento.

b) Implementar una metodología para clasificar los incidentes de ciberseguridad y prever protocolos de respuesta y recuperación.

c) Contar con un servicio de operaciones de seguridad de la información, que incluya capacidades para la detección y respuesta, el monitoreo de comunicaciones en la red interna y el grado de funcionamiento de la infraestructura tecnológica.

d) Contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes, así como también a bases de conocimiento de técnicas y tácticas utilizadas por los agentes de amenazas.

e) Implementar mecanismos de reporte interno de incidentes de ciberseguridad, de acuerdo con lo señalado en el artículo 8 del presente Reglamento, y a la Superintendencia conforme al artículo 15 del presente Reglamento.

f) Identificar las posibles mejoras para su incorporación a la gestión de incidentes de ciberseguridad, luego de la ocurrencia de estos.

g) Preservar las evidencias que faciliten las investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información.

7. Seguridad física y ambiental

a) Implementar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa.

b) Adoptar medidas para evitar pérdida, daño, robo o compromiso de los activos de información y la interrupción de las operaciones, mediante la protección del equipamiento y dispositivos tomando en cuenta el entorno donde son utilizados.

8. Criptografía

a) Utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de la información, tanto cuando los datos asociados están en almacenamiento y en transmisión.

b) Implementar los procedimientos necesarios para administrar el ciclo de vida de las llaves criptográficas a utilizar.

9. Gestión de activos de información

a) Identificar los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó.

b) Asegurar que el nivel de protección y tratamiento de la información se realice acorde a su clasificación en términos de los requisitos legales, valor, criticidad y sensibilidad a la divulgación o modificación no autorizada.

c) Establecer medidas para evitar la divulgación, modificación, eliminación o destrucción no autorizadas de información, en el uso de dispositivos removibles.

Artículo 13. Actividades planificadas

En el marco del Plan estratégico del SGSI-C, la empresa debe mantener planes operativos, por lo menos para los siguientes fines:

a) Identificar los activos de información, clasificarlos, analizar las amenazas y vulnerabilidades asociadas a estos, y tomar medidas de tratamiento correspondientes.

b) Someter el SGSI-C a evaluaciones, revisiones y pruebas periódicas para determinar su efectividad, mediante servicios internos y externos, y en función al nivel de complejidad y amenazas sobre los activos de información asociados. En función a los resultados que obtenga, debe incorporar las mejoras o adoptar los correctivos.

c) Atender las necesidades de capacitación y difusión, según corresponda a los roles y funciones en la organización, en materia de seguridad de la información y ciberseguridad para asegurar la efectividad del SGSI-C.

d) Desarrollar el programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento.

e) Revisar periódicamente, y actualizar cuando corresponda, las políticas de seguridad de la información que se establezcan para implementar los requerimientos establecidos en el artículo 12 del presente Reglamento.

Subcapítulo II.- Ciberseguridad

Artículo 14. Programa de ciberseguridad

14.1 Toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.

14.2 El PG-C debe prever un diagnóstico y un plan de mejora sobre sus capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cuando menos lo siguiente:

a) Identificación de los activos de información.

b) Protección frente a las amenazas a los activos de información.

c) Detección de incidentes de ciberseguridad.

d) Respuesta con medidas que reduzcan el impacto de los incidentes.

e) Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.

Artículo 15. Reporte de incidentes de ciberseguridad significativos

15.1 La empresa debe reportar a la Superintendencia, en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de:

a) Pérdida o hurto de información de la empresa o de clientes.

b) Fraude interno o externo.

c) Impacto negativo en la imagen y reputación de la empresa.

d) Interrupción de operaciones.

15.2 La empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente.

15.3 La Superintendencia, mediante norma de carácter general, establece el contenido mínimo, formato y protocolos adicionales a utilizar en dicho reporte.

Artículo 16. intercambio de información de ciberseguridad

16.1 La empresa debe hacer los arreglos necesarios para contar con información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades.

16.2 Al intercambiar información relativa a ciberseguridad, la empresa puede suscribir acuerdos con otras empresas del sector o con terceros que resulten relevantes, de forma bipartita, colectiva o gremial, para lo cual definirán los criterios pertinentes.

16.3 Mediante norma de carácter general, la Superintendencia puede establecer requerimientos específicos para que se incorporen en el intercambio de información de ciberseguridad.

Subcapítulo III.- Autenticación

Artículo 17. Implementación de los procesos autenticación

17.1 La empresa debe implementar procesos de autenticación, conforme a la definición establecida en este Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales, previo a lo cual debe evaluar formalmente y tomar medidas sobre:

a) El o los factores de autenticación que serán requeridos.

b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.

c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.

d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.

e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.

17.2 Los procesos de autenticación deben ser reevaluados siempre que la tecnología utilizada para su implementación deje de contar con el soporte del fabricante, o tras el descubrimiento de nuevas vulnerabilidades que pueden exponerlos.

17.3 La empresa debe mantener y proteger los registros detallados de lo actuado en cada enrolamiento de usuario, intento de autenticación y cada operación que requiera de autenticación previa.

17.4 La empresa debe contar con herramientas y procedimientos para implementar el monitoreo de transacciones que permita tomar medidas de reducción de la posibilidad de operaciones fraudulentas, que incorpore los escenarios de fraude ya conocidos, y el robo o compromiso de los elementos utilizados para la autenticación.

Artículo 18. Enrolamiento del usuario en servicios provistos por canal digital

18.1 El enrolamiento de un usuario en un canal digital requiere por lo menos:

a) Verificar la identidad del usuario y tomar las medidas necesarias para reducir la posibilidad de suplantación de identidad, lo que incluye el uso de dos factores independientes de categorías diferentes, según el literal j) del artículo 2 de este Reglamento.

b) Generar las credenciales y asignarlas al usuario.

18.2 La empresa debe gestionar el ciclo de vida de las credenciales que genere y asigne a sus usuarios, para lo cual debe prever los procedimientos para su activación, suspensión, reemplazo, renovación y revocación; así también, cuando corresponda, asegurar su confidencialidad e integridad.

Artículo 19. autenticación reforzada para operaciones por canal digital

Se requiere de autenticación reforzada para aquellas acciones que puedan originar operaciones fraudulentas u otro abuso del servicio en perjuicio del cliente, como las operaciones a través de un canal digital que impliquen pagos o transferencia de fondos a terceros, registro de un beneficiario de confianza, modificación en los productos de seguro ahorro/inversión contratados, la contratación de un producto o servicio, modificación de límites y condiciones, para lo cual se requiere:

a) Utilizar una combinación de factores de autenticación, según el literal j) del artículo 2 del presente Reglamento que, por lo menos, correspondan a dos categorías distintas y que sean independientes uno del otro.

b) Generar un código de autenticación mediante métodos criptográficos, a partir de los datos específicos de cada operación, el cual debe utilizarse por única vez.

c) Cuando la operación sea exitosa, notificar los datos de la operación al usuario.

Artículo 20. Exenciones de autenticación reforzada para operaciones por canal digital

20.1 Están exentas del requisito de autenticación reforzada indicado en el artículo 19 del presente Reglamento, las siguientes operaciones realizadas por canal digital:

a) Las operaciones de pago, pagos periódicos o transferencia hacia un beneficiario registrado previamente por el usuario como beneficiario de confianza, como destinatario usual de dichas operaciones.

b) Las operaciones de pago, pagos periódicos o transferencias a cuentas en las que el cliente y el beneficiario sean la misma persona, sea natural o jurídica, y siempre que dichas cuentas se mantengan en la empresa.

20.2 Las operaciones de pago que presenten un nivel de riesgo de fraude bajo, como resultado de un análisis del riesgo en línea por operación, están exentas de la autenticación reforzada, siempre que la empresa cumpla con:

i. Implementar alguno de los estándares de la industria de pagos, EMV 3DS y tokenización de pagos EMV, en sus versiones más recientes.

ii. Definir el monto de umbral por operación por debajo del cual aplicará la exención por el citado análisis de riesgos.

iii. Medir periódicamente el ratio de fraude de las operaciones de pago por canal y tipo de operación.

iv. Actualizar periódicamente las reglas aplicables en el análisis de riesgo en función al indicador de riesgo de fraude.

v. Utilizar los datos que estén disponibles por cada tipo de operación, que incluye, pero no se limita a, los asociados al comportamiento del usuario, al medio utilizado y los que de este se pueda obtener para fines del análisis de riesgo.

20.3 Las operaciones no reconocidas por los clientes que hayan sido efectuadas en aplicación de la exención señalada en el párrafo 20.2 del presente artículo, o que fueron realizadas luego de que el usuario reportara el robo o pérdida de sus credenciales, son responsabilidad de la empresa, para lo cual deben implementar mecanismos que ante el repudio de la operación por parte del usuario garanticen su aplicación inmediata.

Artículo 21. Uso de API para la provisión de servicios en línea

21.1 El uso de interfaces de programación de aplicaciones, para proveer servicios para realizar operaciones, a través de servicios de terceros, requiere que se implementen las siguientes medidas:

a) Análisis de riesgos asociados e implementar las medidas de mitigación.

b) La autenticación mutua de los sistemas y la de los usuarios.

c) La autorización de las operaciones por parte de los usuarios.

d) El cifrado de datos en almacenamiento o transmisión.

e) Prácticas de desarrollo seguro de API y revisión de prácticas de codificación segura.

f) Análisis de vulnerabilidades y pruebas de penetración.

g) La seguridad de la infraestructura tecnológica que lo soporta.

h) Los mecanismos de tolerancia ante fallos y de contingencia.

i) Control de accesos en el entorno de datos, sistemas e infraestructura.

j) Monitoreo de eventos de seguridad de la información y gestión de estos cuando se constituyan en incidentes.

21.2 La empresa debe tomar como referencia estándares y marcos de referencia internacionales, y cuando sea factible adoptarlos en el marco de acuerdos gremiales o sectoriales, para la implementación del intercambio y encriptación de datos, así como la autenticación y la autorización de operaciones, sin que ello sea una lista restrictiva.

21.3 Las especificaciones técnicas de las API utilizadas deben encontrarse documentadas de forma que facilite su auditoría y la implementación necesaria para su uso.

21.4 Las empresas deben implementar las medidas necesarias para garantizar que el tercero autorizado por el usuario, acceda únicamente a la información indicada por este último.

Subcapítulo IV.- Provisión de Servicios por terceros

Artículo 22. Servicios provistos por terceros

En el caso de servicios provistos por terceros en aspectos referidos a gestión de tecnología de la información, a gestión de seguridad de la información o a procesamiento de datos, la empresa, además de cumplir con los requerimientos establecidos en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y el Reglamento para la Gestión de Riesgo Operacional debe:

a) Evaluar las amenazas y vulnerabilidades de seguridad de la información en la provisión de bienes y servicios e implementar medidas de tratamiento.

b) Asegurar que el arreglo contractual con el proveedor y su implementación le permiten cumplir con las obligaciones establecidas en el presente Reglamento.

c) Establecer los roles y responsabilidades que el proveedor asume contractualmente sobre la seguridad de la información y asegurar que la empresa efectúe las implementaciones complementarias correspondientes para la atención de los requerimientos del presente Reglamento.

Artículo 23. Uso de servicios en nube Para hacer uso de los servicios en nube, la empresa debe implementar políticas y procedimientos de seguridad de la información que sean de aplicación específica, que tome en cuenta un marco de buenas prácticas internacionales para el uso de estos servicios, y que además de los requerimientos del artículo 22 del Reglamento, incluya los siguientes aspectos:

a) Requerimientos de seguridad de la información que los servicios de nube deben cumplir y procedimientos para asegurar la implementación antes de su uso.

b) Lineamientos para segregación de redes que permita el aislamiento de la información de la empresa respecto a la de terceros en el entorno compartido del servicio en nube.

c) Evaluación de la disponibilidad de registro de eventos (log) que el proveedor de servicio en nube ofrece y atención de la necesidad de registros adicionales para el monitoreo de seguridad de la información.

d) Previsión de plan de capacitación para los niveles gerenciales, administradores de estos servicios, personal a cargo de su implementación y quienes hacen uso de ellos, sobre aquello necesario para el manejo de la seguridad de la información en estos.

Artículo 24. Servicios significativos de procesamiento de datos

24.1 La contratación de un servicio significativo provisto por terceros para el procesamiento de datos, incluido los servicios en nube, debe ser considerado como un cambio importante en el ambiente informático, siendo aplicable la definición de servicio significativo establecida en el Reglamento de Gobierno Corporativo y Gestión Integral de Riesgos y la normativa vigente asociada a nuevos productos y cambios importantes.

24.2 La empresa debe cumplir los siguientes aspectos referidos a la contratación de un servicio significativo provisto por terceros para el procesamiento de datos, que incluye servicios en nube, de manera complementaria a lo establecido en los artículos 22 y 23 del presente Reglamento, según corresponda:

a) Asegurar el acceso adecuado a la información, en tiempos razonables y a solo requerimiento, por parte de la Superintendencia, Auditoría Interna y la Sociedad de Auditoría Externa, en condiciones normales de operación y en regímenes especiales.

b) Gestionar los incidentes de seguridad de la información, conforme al numeral 6 del artículo 12 y de desarrollar las actividades planificadas previstas en el artículo 13 del presente Reglamento, en lo aplicable al servicio significativo de procesamiento de datos del que se trate.

c) Contar con una estrategia de salida de los servicios a cargo del proveedor que permita retomar operaciones por cuenta propia o mediante otro proveedor, de acuerdo a los tiempos objetivos de recuperación definidos por la empresa para dichos servicios. Dicha estrategia debe prever, entre otros aspectos, las acciones necesarias para la migración de la información a los recursos de la empresa o de otro proveedor.

d) Mantener un inventario de los servicios que el proveedor, a su vez, contrata con terceros (contratación en cadena) y que se encuentren relacionados a los servicios contratados por la empresa.

e) Asegurar que la información de carácter confidencial en custodia del proveedor sea eliminada definitivamente ante la resolución del acuerdo contractual.

f) Verificar anualmente que el proveedor de servicios de procesamiento de datos cuenta con controles de seguridad de la información, conforme a la normativa vigente sobre seguridad de la información, en lo aplicable al servicio provisto. Ello puede ser sustentado mediante informes independientes y reportes de auditoría que incluyen en su alcance la verificación de

dichos controles.

g) Cuando se trate de servicios en nube, para cumplir con lo requerido en el literal previo, la empresa debe evidenciar anualmente que el proveedor mantiene vigente las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018, y que cuenta con un reporte SOC 2 tipo 2 u otros equivalentes, relevantes al servicio provisto y a la zona o región desde donde se provee el servicio.

24.3 La empresa debe informar a esta Superintendencia sobre el servicio contratado, el proveedor involucrado, los niveles de servicio acordados, infraestructura tecnológica utilizada, así como los procedimientos y responsables para dar cumplimiento a los literales del a) al f), y según corresponda g) o h), del párrafo anterior; por lo menos treinta (30) días calendario antes de iniciar la provisión del procesamiento de datos.

Artículo 25. autorización para la contratación de servicio significativo de procesamiento de datos provisto por terceros desde el exterior

25.1 La empresa debe solicitar autorización de la Superintendencia, previo a la contratación de un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, en caso dicho servicio presente limitaciones para cumplir con los requerimientos establecidos en el párrafo 24.2 del artículo 24 del presente Reglamento, la cual será respondida por la Superintendencia en el plazo de sesenta (60) días hábiles. Para solicitar dicha autorización las empresas deben presentar junto con su solicitud, un informe con los sustentos legales de las limitaciones identificadas y una propuesta de plan de implementación de las medidas compensatorias.

25.2 La autorización que conceda esta Superintendencia es específica al proveedor del servicio y, al país y ciudad desde el que se recibe, así como a las condiciones generales que fueron objeto de la autorización, por lo que de existir modificaciones en ellas y, de mantenerse la limitación citada en el párrafo previo, se requiere de un nuevo procedimiento de autorización ante la Superintendencia.

Subcapítulo V.- Régimen Simplificado del SGSI-C

Artículo 26. Sistema simplificado de gestión de seguridad de la información

26.1 El régimen simplificado de gestión de seguridad de la información requiere la planificación y ejecución de las siguientes actividades mínimas, cuya periodicidad por lo menos debe ser anual:

a) Identificar con las unidades de negocio y de apoyo, cuál es la información de mayor importancia, por las obligaciones normativas o contractuales existentes, y por la necesidad de operar.

b) Identificar los dispositivos que se conectan a la red interna y todo software que se encuentre instalado en la infraestructura tecnológica, y asegurar que se encuentren acorde a una configuración segura previamente establecida.

c) Identificar las cuentas de usuario con permisos de acceso habilitados y en particular las que poseen privilegios administrativos con posibilidad de adicionar software a la infraestructura, y mantener el principio de mínimos privilegios otorgados.

d) Implementar y mantener una línea base de seguridad en sistemas operativos y aplicaciones utilizadas, incluidos los correspondientes a dispositivos móviles, estaciones de trabajo, servidores y dispositivos de comunicaciones. Identificar y evaluar la habilitación de las funciones de seguridad integradas en los sistemas operativos.

e) Priorizar y gestionar las vulnerabilidades de seguridad identificadas, para cuya identificación oportuna debe contar con los servicios de información necesarios.

f) Desarrollar una campaña de orientación para la adopción de prácticas seguras dirigida a los empleados, plana gerencial y de dirección.

26.2 En caso la empresa provea alguna de las operaciones indicadas en el artículo 19 del presente Reglamento por canal digital, en lo que corresponda a su implementación, debe cumplir con las disposiciones establecidas en el Subcapítulo III del Capítulo II del presente Reglamento.

26.3 En caso utilice servicios significativos provistos por terceros, en lo que corresponda a su implementación, la empresa debe cumplir con las disposiciones establecidas en el Subcapítulo IV del Capítulo II del presente Reglamento.

26.4 La empresa debe mantener un programa de ciberseguridad, conforme al Subcapítulo II del Capítulo II del presente Reglamento, con un alcance que por lo menos incluya los servicios indicados en los párrafos 26.2 y 26.3 del artículo 26 del presente Reglamento.

Subcapítulo VI.- Régimen reforzado del SGSI-C

Artículo 27. Requerimientos adicionales para empresa con concentración de mercado

27.1 El directorio debe designar a un director como responsable de velar por la efectividad del sistema de gestión de seguridad de la información, lo que incluye el desarrollo del plan estratégico del SGSI-C.

27.2 La empresa debe someter periódicamente a una evaluación independiente del alcance y la efectividad del SGSI-C; dicha evaluación podrá ser realizada por la unidad de auditoría interna u otro equipo que cumpla el requisito de independencia, siempre que posea experiencia previa y certificaciones internacionales que demuestren la preparación técnica necesaria.

Disposiciones Complementarias finales

Primera

La empresa puede contar con un marco para la gestión de los riesgos asociados a la seguridad de la información, que debe ser integrado en lo que corresponda en la gestión del riesgo operacional, conforme a los lineamientos establecidos en el artículo 22° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos.

Segunda

Los informes a los que se refieren los literales g) y h) del artículo 12°, y el artículo 27° del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos deben incluir la evaluación de los riesgos asociados a la seguridad de la información.

Tercera

En caso de eventos que afecten la continuidad operativa y que tengan como causa probable un incidente de seguridad de la información, es aplicable lo señalado en el artículo 15 del Reglamento para la Gestión de la Continuidad del Negocio, aprobado por la Resolución SBS nº 877-2020, sobre reporte de eventos de interrupción significativa.

Cuarta

La aplicación del presente Reglamento se extiende a las empresas corredoras de seguros del segmento 1, según segmentación establecida en el artículo 36 del Reglamento para la Supervisión y Control de los Corredores y Auxiliares de Seguros aprobado por la Resolución SBS nº 809-2019, a dichas empresas les es exigible el párrafo 26.1 del artículo 26, Subcapítulo V, Capítulo II, del presente Reglamento.

Artículo segundo

Modificar el Reglamento de Auditoría Interna, aprobado por la Resolución SBS nº 11699-2008 y sus modificatorias, conforme a lo siguiente:

En el Anexo “Actividades Programadas”, sustituir el numeral 3 de la Sección I, el numeral 1 de la Sección II, el numeral 1 de la Sección III, el numeral 2 de la Sección IV, el numeral 3 de la Sección V y el numeral 1 de la Sección VI, conforme a los siguientes textos:

“I. Empresas señaladas en los literales A, B y C del artículo 16º de la Ley General (Excepto las empresas afianzadoras y de garantías), Banco de la Nación, Banco Agropecuario, Fondo Mivivienda y Corporación financiera de desarrollo (COFIDE).

(….)

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(….)”

“II. Empresas de seguros y/o de reaseguros

1) Evaluación de la gestión de los riesgos distintos a los riegos técnicos de seguros, que incluyen riesgo operacional, de mercado, de crédito, entre otros, y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad;

(…)”

“III. Empresas de servicios complementarios y conexos

1) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y ciberseguridad.

(…)”

“IV. Empresas Afianzadoras y de Garantías

(…)

2) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre seguridad de la información y Ciberseguridad.

(…)”

“V. Derramas y Cajas de Pensiones

3) Evaluación de la gestión del riesgo operacional y del cumplimiento de los procedimientos utilizados para la administración de los riesgos de operación; así como, de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio y de seguridad de la información y Ciberseguridad;

(…)”

“VI. Administradoras privadas de Fondos de Pensiones (AFP)

1) Evaluación de la gestión del riesgo operacional y de las disposiciones de la normativa vigente sobre gestión de continuidad del negocio yd e seguridad de la información;

(…)”

Artículo Tercero

Modificar el literal b) del segundo párrafo del artículo 20° Informe sobre el sistema de control interno del Reglamento de Auditoría Externa, aprobado por Resolución SBS nº 17026-2010 y sus modificatorias, de acuerdo a lo siguiente al siguiente texto:

“Artículo 20°.- Informe sobre el sistema de control interno

(…)

b) Evaluación de los sistemas de información de la empresa en el ámbito de la auditoría externa, que incluye, entre otros, el flujo de información en los niveles internos de la empresa para su adecuada gestión, y la revisión selectiva de la validez de los datos contenidos en la información complementaria a los estados financieros (anexos y reportes) que presentan las empresas a esta Superintendencia, según las normas vigentes sobre la materia; donde deben precisarse los sistemas que fueron parte del alcance de dicha evaluación; ,y

(…)”

Artículo cuarto

Modificar el procedimiento nº 123 relativo a la “Autorización del Procesamiento Principal en el Exterior” por “Autorización para la contratación del servicio significativo de Procesamiento de Datos provisto por terceros desde el Exterior” e incorporar el procedimiento nº198 relativo a “Autorización para aplicar el Régimen Simplificado del Sistema de Gestión de la Seguridad de la Información y la Ciberseguridad” en el Texto Único de Procedimientos Administrativos de la Superintendencia de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones, aprobado mediante Resolución nº 1678-2018, cuyo texto se anexa a la presente la presente resolución y se publica en el Portal Web institucional (www.sbs.gob.pe).

Artículo Quinto

Modificar el Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 y sus modificatorias, de acuerdo a lo siguiente:

1. Incorporar en el Artículo 2 del Reglamento de Gobierno Corporativo y de la Gestión Integral de Riesgos, aprobado mediante Resolución SBS nº 272-2017 el siguiente texto:

“rr) Proveedor: tercero contratado para brindar bienes y/o servicios a una empresa, incluso bajo la modalidad de subcontratación. Las empresas que forman parte del mismo grupo económico que la empresa contratante también son consideradas como terceros.”

2. Modificar en el Artículo 2 Definiciones y/o referencias, el literal jj) Subcontratación, de acuerdo a lo siguiente:

“jj) Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.”

3. Sustituir el Capítulo IV, así como su referencia en el Índice de dicho Reglamento por “Bienes y/o Servicios Provistos por Terceros”, con el siguiente texto:

“Capítulo IV.- Bienes y/o Servicios Provistos por Terceros

Artículo 35.- Aspectos generales

35.1. Los bienes y/o servicios provistos por terceros son aquellos entregados a la empresa por parte de un proveedor.

35.2. En caso se trate de un bien y/o servicio que pudiera ser desarrollado por la empresa pero decide solicitarlo a través de un tercero, se configura la modalidad de subcontratación.

35.3. Los bienes y/o servicios significativos provistos por terceros son aquellos que, en caso de falla o suspensión, pueden poner en riesgo importante a la empresa al afectar sus ingresos, solvencia, continuidad operativa o reputación. En caso de que algún bien y/o servicio significativo sea provisto por un tercero bajo la modalidad de subcontratación, la subcontratación se considera significativa.

35.4. Un proveedor es considerado significativo cuando provee servicios significativos, se encuentre o no, bajo la modalidad de subcontratación.

Artículo 36.- Bienes y/o servicios provistos por terceros

36.1 Los riesgos asociados a la entrega de bien y/o servicios provistos por terceros deben ser gestionados como parte del marco de gestión integral de riesgos de la empresa.

36.2 La empresa es responsable de los resultados de los bienes y/o servicios provistos por terceros bajo la modalidad de subcontratación.

36.3 La empresa debe realizar una evaluación de los riesgos asociados a los servicios significativos provistos por terceros, ya sea que se encuentren o no bajo la modalidad de subcontratación. Dicha evaluación debe ser presentada al directorio para su aprobación.

36.4 En el caso de subcontratación significativa se debe contar con cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la unidad de auditoría interna, de la sociedad de auditoría externa, así como por parte de la Superintendencia o las personas que esta designe, en los contratos suscritos con los proveedores.

36.5 La subcontratación de las funciones de la gestión de riesgos es considerada como significativa para fines de este Reglamento.

36.6 Esta Superintendencia puede definir requisitos adicionales para algunos bienes y/o servicios específicos provistos por terceros.

artículo 37°.- Autorización para la contratación de bienes y/o servicios significativos provistos por terceros

La contratación de los siguientes bienes y/o servicios significativos requiere autorización previa de esta Superintendencia y debe sujetarse a lo establecido en las normas reglamentarias específicas:

a) La subcontratación significativa de auditoría interna, de acuerdo con lo establecido en el Reglamento de Auditoría Interna o norma que lo sustituya;

b) Otros que indique la Superintendencia mediante norma general.”

Artículo sexto

Modificar el Reglamento de Riesgo Operacional, aprobado por Resolución SBS nº 2116-2009, según se indica a continuación:

1. Sustituir el literal i del artículo 2 y el artículo 14, de acuerdo con el siguiente texto:

“Artículo 2.- Definiciones

(…)

i. Subcontratación: Modalidad mediante la cual una empresa contrata a un proveedor para que este entregue bienes y/o servicios que podrían ser desarrollados por ella.

(…)

2. Sustituir el artículo 14 de acuerdo con el siguiente texto:

“Artículo 14.- Bienes y/o servicios provistos por terceros

La empresa debe contar con políticas y procedimientos apropiados para gestionar los riesgos asociados a los servicios provistos por terceros, y contar con un registro de estos.

La empresa debe implementar un procedimiento para la identificación de aquellos proveedores significativos precisando los casos en los que se encuentren bajo la modalidad de subcontratación.

En los casos de servicios significativos, se encuentren o no bajo la modalidad de subcontratación, y de servicios subcontratados la empresa debe considerar los siguientes aspectos:

a) Implementar un proceso de selección del proveedor del servicio.

b) Contar con un contrato, el cual debe incluir acuerdos de niveles de servicio; establecer claramente las responsabilidades del proveedor y de la empresa; establecer la jurisdicción que prevalecerá en caso de conflicto entre las partes; e incorporar los niveles de seguridad de información requeridos.

c) Gestionar y monitorear los riesgos asociados a estos servicios.

d) Mantener un registro que debe contener como mínimo:

i) Nombre del proveedor

ii) Giro o actividad principal de negocio del proveedor

iii) Descripción o listado de los servicios provistos

iv) Países, regiones y/o zonas geográficas desde donde se provee el servicio a contratar

v) Niveles de servicio acordados para su provisión

vi) Si la subcontratación es o no considerada significativa por la empresa

vii) Fecha de inicio del servicio

viii) Fecha de última renovación, si corresponde

ix) Fecha de vencimiento del servicio o la próxima fecha de renovación del contrato, según corresponda”

Artículo Séptimo

Modificar el Reglamento de Tarjetas de Crédito y Débito, aprobado por Resolución SBS nº 6523-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir los artículos 6 y 12, de acuerdo con el siguiente texto:

“Artículo 6.- Información mínima, condiciones y vigencia aplicable a la tarjeta de crédito

Las tarjetas de crédito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de crédito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de crédito (marca) al que pertenece, de ser el caso.

En el caso de las tarjetas con soporte físico se debe incluir el nombre del usuario de la tarjeta de crédito; información de la que se puede prescindir siempre que la empresa cumpla con el Subcapítulo III del Capítulo II del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por Resolución SBS nº 504-2021.

El plazo de vigencia de las tarjetas de crédito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.

Artículo 12.- Información mínima, condiciones y vigencia aplicable a las tarjetas de débito

Las tarjetas de débito con soporte físico o digital se expiden con carácter de intransferible y deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite la tarjeta de débito.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta de débito (marca) al que pertenece, de ser el caso.

Para su uso, requieren adicionalmente la presencia de una clave secreta, firma, firma electrónica u otros mecanismos que permitan identificar al usuario, de acuerdo con lo pactado.

El plazo de vigencia de las tarjetas de débito no puede exceder de cinco (5) años, pudiéndose acordar plazos de vencimiento menores.”

Artículo octavo

Modificar el Reglamento de Operaciones con Dinero Electrónico aprobado por Resolución SBS nº 6283-2013 y sus normas modificatorias, según se indica a continuación:

1. Sustituir el artículo 4, de acuerdo con el siguiente texto:

“Artículo 4.- Soportes para uso de dinero electrónico

Los soportes mediante los cuales se puede hacer uso del dinero electrónico pueden ser los siguientes:

a) Teléfonos móviles.

b) Tarjetas prepago.

c) Cualquier otro equipo o dispositivo electrónico, que cumpla los fines establecidos en la Ley

Estos dispositivos deben incluir como mínimo la siguiente información:

1. Denominación social de la empresa que emite el soporte mediante el cual se hace uso del dinero electrónico.

2. Nombre comercial que la empresa asigne al producto.

3. Identificación del sistema de tarjeta (marca) al que pertenece, de ser el caso.

Dicha información debe ser mostrada en un espacio visible y de fácil acceso para el usuario.

Un mismo soporte puede ser utilizado y/o asociado para realizar transacciones con más de una cuenta de dinero electrónico.”

Artículo Noveno.- Plazos y Plan de adecuación

1. En un plazo que no debe exceder de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas deben presentar a la Superintendencia, un plan de adecuación al Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución, previamente aprobado por el directorio, en el cual incluya:

a) un diagnóstico preliminar de la situación existente en la empresa;

b) las acciones previstas para la total adecuación al Reglamento;

c) los funcionarios responsables del cumplimiento de dicho plan; y

d) un cronograma de adecuación.

2. Las disposiciones señaladas en el Subcapítulo III del Capítulo II y la Tercera Disposición Complementaria Final del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado en el Artículo Primero de la presente Resolución tienen un plazo de adecuación hasta el 1 de julio de 2022.

3. En un plazo no mayor a treinta (30) días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas que cuenten con un servicio significativo de procesamiento de datos provisto por terceros desde el exterior, cuyo marco legal aplicable impida o limite el cumplimiento de las medidas definidas en el párrafo 24.2 del artículo 24 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado en el Artículo Primero de la presente Resolución, deben remitir un informe que contenga:

i) las limitaciones presentadas, dicho informe debe contar con el sustento legal del impedimento de su aplicación y

ii) las medidas compensatorias.

Artículo Décimo.- Vigencia

La presente Resolución entra en vigencia el 1 de julio de 2021, fecha en la que se deroga la Circular G 140-2009, con excepción de lo siguiente:

a. Los párrafos 25.1 y 25.2 del artículo 25 del Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por el Artículo Primero, que entran en vigencia al día siguiente de publicada la presente Resolución, fecha en la cual se deroga el artículo 7A de la Circular G 140-2009.

b. El Artículo Segundo de la presente Resolución entra en vigencia a partir de la auditoría correspondiente al ejercicio 2022.

c. Los Artículos Séptimo, Octavo y Noveno de la presente Resolución, entran en vigencia al día siguiente de la publicación de la presente Resolución, con excepción de lo indicado en el inciso d. del presente Artículo.

d. El requerimiento asociado a la inclusión conjunta de la información sobre la denominación social de la empresa emisora y el nombre comercial que la empresa asigne al producto de tarjeta de crédito y/o débito, señalado en el Artículo Séptimo de la presente Resolución, así como el requerimiento asociado a la inclusión de la dicha información en los dispositivos de soporte al dinero electrónico, señalado en el artículo Octavo de la presente Resolución; entran en vigencia el 1 de enero de 2022.

Regístrese, comuníquese y publíquese.

SOCORRO HEYSEN ZEGARRA, Superintendenta de Banca, Seguros y Administradoras Privadas de Fondos de Pensiones

13Jul/18

Smart Cities y el regreso a 1984

Las ciudades ya no son lo que eran, de eso no nos cabe duda.

 

La concepción de ciudad tradicional ha ido abriéndose paso a un nuevo paradigma, que ha ido evolucionando lentamente con el tiempo, hasta convertirse a día de hoy en toda una realidad, nos guste o no.

 

No podemos negar la evidencia, el concepto de “Smart City” o ciudad inteligente, ha venido para quedarse.

 

Aún sin contar hoy día con una definición consensuada, el Libro blanco de las Smart Cities expone que el propósito final de las mismas es “alcanzar una gestión eficiente en todas las áreas de la ciudad, satisfaciendo a la vez las necesidades de la urbe y de sus ciudadanos”.

 

No debemos olvidarnos del papel imprescindible que ostentan en toda esta nueva concepción las Tecnologías de la Información y las Comunicaciones (TIC), dado que desde un principio el concepto de Smart City estaba ligado a las mismas de una manera principal y exclusiva.  Su primordial función es la promoción del Buen Gobierno, y para eso serán las autoridades políticas y administrativas quienes deban definir los objetivos destinados a su utilización y orientación dentro del propio Gobierno.

 

Los principales ejes de actuación de una Smart-City en relación a las TIC, son: la administración electrónica, más conocida como “Ciudad Digital”, la digitalización de la información, la modernización administrativa y una integración e interoperabilidad de los servicios digitales.

 

Saliéndonos un poco ya del plano teórico, debemos señalar, que si bien son numerosas las ventajas y facilidades que las Smarts Cities van a proporcionar a todos los ciudadanos, también son innumerables los perjuicios que éstas pueden llegar a ocasionarnos, ya sea en la esfera de la salud, tal y como afirman numerosos colectivos científicos en relación a ciertos avances, como en la esfera jurídica.

 

Sin menospreciar y desatender en absoluto las importantes investigaciones sobre los efectos que la masiva incorporación de tecnología en las ciudades puedan llegar a tener sobre nuestra salud, será la esfera jurídica, por motivos obvios, la que procederé a comentar a continuación.

 

Y es que, ni todo es de color de rosas, ni todo es tan bonito como nos lo cuentan.

 

Antes de nada, no debemos seguir hablando del concepto Smart City, sin referirnos al Internet del las Cosas (IoT), y es que, junto con el Big Data, las plataformas, servicios de aplicaciones, las telecomunicaciones y la ciberseguridad, es uno de los pilares que sustentan el concepto de Smart City.

 

La revolución IoT se refiere a la interconexión de millones de dispositivos y objetos cotidianos con internet. El fin del IoT no es ya establecer una interconexión entre las personas, sino que la pretensión final es que las máquinas también sean capaces de relacionarse y de interactuar entre ellas.

 

Una de las principales herramientas requeridas para lograr todo este ambicioso reto, se conseguirá mediante la instalación de sensores de análisis inteligentes distribuidos por toda la ciudad, de tal manera que éstos tengan la capacidad de recopilar, tratar y analizar ingentes cantidades de información heterogénea, ya sean imágenes, sonidos, movimientos…  Entraría aquí a formar parte del juego otro concepto al que ya he hecho alusión, y que seguro que es conocido por la mayoría de los lectores, y no es otro que el concepto de Big Data.

 

Y es que, en las Smart Cities, habrá millones y millones de datos circulando a nuestro alrededor, bajo un manto transparente, pero de tal envergadura, que yo creo que no nos podemos siquiera hacer a la idea.

 

Actualmente no contamos con una regulación que responda a todos los interrogantes que desde el punto de vista jurídico plantea toda esta nueva y ya presente realidad.

 

El Reglamento General de Protección de Datos es la norma que a nivel europeo regula la protección de los datos de carácter personal, reforzando especialmente el derecho de los afectados a controlar y a que no se traten sus datos más sensibles (los que revelen el origen étnico o racial, opiniones políticas, datos genéticos, biométricos, relativos a la vida sexual y a la salud de las personas…)

 

Si bien es cierto que este no es un derecho absoluto, ya que la protección de estos datos no operará cuando concurran una serie de requisitos, donde encontramos el bien conocido, ambiguo e indeterminado concepto de “interés público”, ¿cuándo dejaremos de ser los titulares de nuestros datos, para que “alguien”, amparándose en este ambiguo concepto de interés público, pase a ostentar total libertad de acceso y tratamiento de los mismos? Personalmente, esto es algo que me crea bastante inseguridad y hace que se me pongan los pelos de punta.

 

Nadie puede poner en duda las ventajas que ha supuesto la incorporación de la tecnología en todos los ámbitos de la sociedad, ya sea en el ámbito escolar, en el sanitario, en el industrial… Actualmente es impensable el simple hecho de pasar un día sin el uso de un medio tecnológico. No ha sido la tecnología la que se ha ido adaptando al ser humano, sino que ha sido el ser humano el que se ha ido acoplando a ella, hasta tal punto, que ahora seríamos incapaces de despegarnos y de vivir un solo día sin ella.

 

No estoy negando tampoco las facilidades que un mundo más conectado nos va a brindar en muchos ámbitos de nuestra vida, pero… ¿a qué precio?

 

¿Habría que considerar a día de hoy el temor planteado George Orwell en su obra “1984”?

 

 

Cristina Zato

Legal Department

Áudea Seguridad de la información

 

 

 

 

04Ene/16

Universidad de Las Palmas de Gran Canaria

imagenUniversidadLasPalmas

Curso de Ciberseguridad y Ciberdefensa

Desde el 1 de febrero de 2016 hasta el 30 de abril de 2016 se va a impartir a través del Campus Virtual de la Fundación Universitaria de las Palmas, un curso de Ciberseguridad, teórico y práctico dirigido a todos los profesionales afectados por esta área de las Telecomunicaciones: ABOGADOS, PROCURADORES, POLICÍA CIENTÍFICA, EJERCITO, FISCALÍA, MAGISTRATURA e INFORMÁTICOS.

Durante el mes de abril de 2016, se realizarán unas prácticas periciales avanzadas.

El curso SERÁ PLENAMENTE A DISTANCIA, ON LINE que se desarrollará de manera ininterrumpida durante 10 semanas