Chile continúa fortaleciendo su marco normativo en materia de ciberseguridad con la entrada en vigencia de disposiciones clave de la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información (Ley N.º 21.663), acompañadas de regulaciones complementarias. Esta normativa establece principios, obligaciones y mecanismos de coordinación destinados a prevenir, contener y responder frente a incidentes de ciberseguridad.
La Ley N.º 21.663 define dentro de sus objetivos la protección de los servicios esenciales y de las infraestructuras críticas de la información, otorgando atribuciones a la Agencia Nacional de Ciberseguridad para supervisar y coordinar la implementación del sistema nacional de ciberseguridad.
Un cambio en la gestión de riesgos tecnológicos
Más que una actualización normativa, estas disposiciones impulsan una transformación en la gestión de la seguridad de la información. Se exige a las entidades adoptar medidas activas para prevenir, detectar y responder a incidentes, dejando atrás enfoques meramente reactivos.
En este contexto, la ley incorpora deberes permanentes de gestión de riesgos y continuidad operacional para los operadores de importancia vital y entidades críticas. Asimismo, contempla obligaciones relacionadas con la implementación de protocolos de respuesta y sistemas internos de monitoreo.
Normas complementarias que aterrizan la ley
La publicación de regulaciones adicionales permite clarificar aspectos esenciales para la aplicación práctica de la ley, tales como:
- Obligaciones específicas de las entidades reguladas
- Criterios para identificar infraestructuras críticas
- Procedimientos de reporte de incidentes
- Facultades de supervisión de la autoridad
La normativa también se relaciona con la Ley N.º 19.628 sobre Protección de la Vida Privada, especialmente respecto del deber de resguardar datos personales frente a accesos no autorizados o incidentes de seguridad.
Nuevas exigencias para actores estratégicos
Determinadas organizaciones deberán cumplir estándares más rigurosos, incluyendo la implementación de controles robustos y la comunicación oportuna de incidentes relevantes. El incumplimiento puede implicar sanciones administrativas, lo que refuerza la necesidad de adaptación temprana.
La Ley N.º 21.663 contempla mecanismos de fiscalización y establece que las entidades sujetas deberán colaborar con la autoridad competente, entregando información necesaria para la gestión de incidentes y evaluación de riesgos.
Fortalecimiento institucional
El marco normativo también consolida el rol del Estado en la coordinación y supervisión de la ciberseguridad, promoviendo una respuesta más articulada frente a amenazas complejas.
Entre las funciones de la Agencia Nacional de Ciberseguridad se encuentran la coordinación nacional de incidentes, la emisión de instrucciones técnicas y la supervisión de estándares mínimos de seguridad.
Preparación organizacional
Para enfrentar este nuevo escenario, resulta recomendable:
- Evaluar el nivel actual de cumplimiento
- Detectar brechas
- Diseñar planes de adecuación
- Fortalecer capacidades internas
Asimismo, resulta aconsejable revisar políticas internas de seguridad de la información, contratos con proveedores tecnológicos y procedimientos de gestión de incidentes.
Reflexión
La evolución normativa en ciberseguridad no solo responde a nuevas amenazas, sino que instala un estándar más alto de gestión. Adaptarse a tiempo puede marcar la diferencia entre una reacción tardía y una gestión efectiva de los riesgos digitales.