Luego de ser despachada por la Cámara de Diputados, este mismo martes el Senado sancionó el despacho a ley de la iniciativa Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Según se explicó desde el Ministerio del Interior, el proyecto de ley crea la Agencia Nacional de Ciberseguridad (ANCI); el Equipo Nacional de Respuesta a Incidentes Informáticos (CSIRT Nacional); el CSIRT de la Defensa Nacional; el Consejo Multisectorial sobre Ciberseguridad y la Red de Conectividad Segura del Estado, que proveerá servicios de interconexión y conectividad a Internet segura a los organismos de la Administración del Estado.
La ANCI será un servicio público cuya función será regular, fiscalizar y sancionar las acciones de los organismos que forman parte del ámbito de aplicación en materia de ciberseguridad, además contará con un mecanismo de autorización judicial si la Agencia requiera acceder a una red o sistema informático.
La ley será aplicable a quienes sean considerados como servicios esenciales (SE) para el normal funcionamiento del país y a los operadores de importancia vital (OIV) dentro de los servicios esenciales.
La ley considera los siguientes Servicios Esenciales (SE):
– Organismos de administración del Estado y el Coordinador Eléctrico Nacional.
– Los servicios prestados bajo concesión de servicio público.
– Aquellos prestados por instituciones privadas en los siguientes sectores:
1. Generación, transmisión o distribución eléctrica
2. Transporte, almacenamiento o distribución de combustibles;
3. Suministro de agua potable o saneamiento;
4. Telecomunicaciones; infraestructura digital; servicios digitales y tecnología de la información gestionados por terceros;
5. Transporte terrestre, aéreo, ferroviario o marítimo;
6. Banca, servicios financieros y medios de pago;
7. Administración de prestaciones de seguridad social;
8. Servicios postales y de mensajería;
9. Prestación institucional de servicios de salud;
10. Producción y/o investigación de productos farmacéuticos.
La Agencia podrá calificar otros servicios como esenciales mediante resolución del o la Directora Nacional cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad, de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público. Dicha calificación se someterá a consulta ciudadana.
Se establecen criterios generales para la identificación de Operadores de Importancia Vital (OIV):
– Que la provisión de dicho servicio dependa de las redes y sistemas informáticos.
– Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: la seguridad y orden público; la provisión continua y regular de servicios esenciales; en el cumplimiento de las funciones del Estado o de los servicios que éste debe proveer o garantizar.
El proyecto faculta a la Agencia para calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos ya indicados previamente y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.
Sanciones
La Agencia tendrá la capacidad de multar a los infractores a la normativa de ciberseguridad.
Otras agencias sectoriales también podrán hacer uso de estas infracciones siempre en coordinación con la Agencia, permitiendo con ello que ninguna conducta quede sin sanción.
En caso de que ambas agencias tuvieran la capacidad de multar, se establece el deber de coordinarse para evitar duplicidades o sanciones menos eficaces.
Las sanciones a aplicar por la Agencia de Ciberseguridad van de 0 a 5000 UTMs en el caso de las infracciones leves para las SE y hasta 10.000 para las OIV. Las graves hasta 10.000 para las SE y 20.000 para las OIV. Las gravísimas hasta las 20.000 para las SE y las 40.000 para los OIV.