La Comisión unida de Defensa Nacional y de Seguridad Pública, retomó la discusión del proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Esta entrada salió primero en TrendTIC
Este martes 7 de marzo la Comisión unida de Defensa Nacional y de Seguridad Pública, retomó la discusión del proyecto de Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información.
Ley Marco sobre Ciberseguridad
En sesión realizada desde las 12:30 a las 14:00 y con la presencia del Coordinador Nacional de Ciberseguridad del Ministerio del Interior y Seguridad Pública, Daniel Álvarez. Cabe recordar que la comisión está presidida por el Senador Francisco Huenchumilla e integrada por los Senadores Kenneth Pugh, Manuel José Ossandón, Javier Macaya, Enrique Van Rysselberghe, Gastón Saavedra, José Miguel Insulza, Pedro Araya y Jaime Quintana.
Vea también: Viva Airlines y Fast Colombia SAS: Indecopi inició un procedimiento
En la discusión se aprobaron las indicaciones 144, 147, 148, 150, 151, 152, 153, 154, 155, 156, 157, 158, 159, 161, quedando pendiente la indicación N°163, mientras la número 164 será enviada a la Corte Suprema para su pronunciamiento.
CSIRT de la Defensa Nacional
Entre las indicaciones aprobadas, destaca le definiciones de las funciones principales del CSIRT de Defensa nacional, quedando estipulado de la siguiente manera:
a) Responsable de conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio, que permitan preservar la confidencialidad, integridad y disponibilidad de las redes de información, los servicios esenciales y operadores vitales para la Defensa Nacional. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT institucionales de la Defensa Nacional.
b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional con los CSIRT Institucionales de la Defensa Nacional, asegurando la cooperación, colaboración e intercambio de información pertinente que fortalezca la ciberseguridad.
Vea también: Cinco empresas peruanas que han conseguido el éxito en Chile
c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto para la prevención, detección, contención, protección, recuperación de los sistemas y respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto, considerando los lineamientos establecidos por la Agencia.
d) Prestar colaboración o asesoría técnica en la implementación de las políticas de ciberseguridad nacionales a los CSIRT Institucionales de la Defensa Nacional.”.
Multas
Otro de los artículos aprobados, es el correspondiente a las multas por infracciones a la nueva Ley Marco de Ciberseguridad por parte de instituciones privadas, según su gravedad, correspondería desde 1 hasta 20.000 unidades tributarias mensuales (UTM), es decir, hasta prácticamente 125 millones de pesos por una infracción gravísima, así lo deja estipulado el artículo 33 aprobado por la comisión, con la siguiente especificación:
a) Las infracciones leves serán sancionadas con amonestación escrita o multa de 1 a 1.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 5.000 unidades tributarias mensuales.
b) Las infracciones graves serán sancionadas con multa de 1.001 a 5.000 unidades tributarias mensuales. En caso de que el infractor sea un operador de importancia vital, la multa podrá ser de hasta 10.000 unidades tributarias mensuales.
c) Las infracciones gravísimas serán sancionadas con multa de 10.001 a 20.000 unidades tributarias mensuales.
Se consideran infracciones leves el incumplimiento de las obligaciones señaladas en esta ley, que no tenga señalada una sanción especial.
Se consideran infracciones graves, las siguientes:
a) Retardar o entregar fuera de plazo la información a la autoridad u órgano de la Administración del Estado habilitado por ley para requerirla.
b) Incumplir la obligación de reportar establecida en el artículo 7.
c) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor sea un operador de servicios esenciales.
Las siguientes infracciones se consideran gravísimas, cuando el infractor sea un operador de servicios esenciales:
a) Negar injustificadamente información a la autoridad u órgano de la Administración del Estado habilitado para requerirla.
b) Entregar información falsa o manifiestamente errónea a la autoridad u órgano de la Administración del Estado habilitado para requerirla.
c) Incumplir la obligación de reportar establecida en el artículo 7.
d) Incumplir los deberes previstos en los artículos 5 y 6 de la presente ley, cuando el infractor tenga, además, la calidad de operador de importancia vital.
La multa será fijada teniendo en consideración si el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los efectos de los ataques, la reiteración en la infracción dentro del plazo de tres años contados desde el momento en que se produjo el incidente y la capacidad económica del infractor.
Cuando cualquiera de las conductas constitutivas de infracción descritas en la presente ley posea una sanción mayor en una ley especial que rige a un sector regulado, se preferirá a aquella por sobre ésta.
