Desde este miércoles 31 de julio y hasta el viernes 9 de agosto está abierta la consulta pública sobre los borradores de dos de los reglamentos que deben dictarse para la puesta en marcha de la Agencia Nacional de Ciberseguridad (ANCI)
Este miércoles 31 de julio el gobierno publicó los borradores de dos reglamentos que deben dictarse para la puesta en marcha de la futura Agencia Nacional de Ciberseguridad, conforme a lo dispuesto en la Ley N°21.663, marco sobre ciberseguridad.
Se trata de los reglamentos sobre calificación de Operadores de Importancia Vital y el de reportes de incidentes de ciberseguridad.
En el caso del primer reglamento, el documento señala que la ANCI podrá designar a los prestadores de servicios esenciales como «operadores de importancia vital» si cumplen los como requisitos “que la provisión del servicio dependa de redes y sistemas informáticos; y que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar”.
Según el documento, para determinar el impacto significativo, se deben considerar el número de usuarios del servicio, su cobertura territorial, la interconectividad y dependencia entre servicios, la relevancia de la institución afectada y su impacto en la protección de bienes jurídicos.
También pueden calificarse instituciones privadas que, sin ser prestadores de servicios esenciales, cumplen con los requisitos y tienen un rol crítico en el abastecimiento, distribución de bienes o producción de bienes estratégicos, o tienen alta exposición a riesgos de ciberseguridad.
El mismo documento señala que la calificación debe revisarse y actualizarse cada tres años, iniciándose el proceso 180 días antes del vencimiento del plazo. Además, la ANCI puede iniciar un nuevo proceso de calificación en cualquier momento si las circunstancias lo justifican.
El borrador también señala que la calificación de los operadores de importancia vital puede comenzar de oficio o a solicitud de parte interesada, y debe ser publicitada en el sitio web de la Agencia.
También menciona que la ANCI puede solicitar informes a organismos sectoriales sobre instituciones públicas o privadas para su calificación, mientras que, para servicios bajo concesión pública, es obligatorio solicitar este informe. Los organismos tienen 30 días para enviar sus informes, los que deben abordar aspectos como dependencia de redes y sistemas informáticos y el impacto potencial en seguridad pública y servicios esenciales.
Además, la ANCI puede pedir información voluntaria a entidades privadas para elaborar una nómina preliminar, la que debe ser aprobada por el Director Nacional y publicada en el Diario Oficial. Otros informes adicionales pueden ser requeridos al Ministerio de Hacienda y al Ministerio de Economía para pequeñas empresas.
De todas formas, la nómina preliminar de instituciones privadas se someterá a consulta pública, buscando opiniones de grupos interesados.
Otro aspecto muy relevante es que las instituciones preliminarmente calificadas serán notificadas y tendrán derecho a presentar observaciones a través de una plataforma durante 20 días. La Agencia posteriormente considerará esas observaciones y las incorpora en un informe consolidado, disponible en 30 días tras el periodo de observaciones.
Tras la consulta pública y el informe del Ministerio de Hacienda, la Agencia tendrá otros 30 días para elaborar y publicar la nómina final de operadores de importancia vital, que identificará a estas organizaciones por nombre, RUT y domicilio.
En cuanto al reglamento de respuesta ante incidentes, el borrador menciona que los incidentes de ciberseguridad son eventos que comprometen la confidencialidad, integridad, disponibilidad o autenticación de sistemas informáticos y distingue entre incidentes de efecto significativos (afecta la continuidad de servicios esenciales, integridad física, salud de personas, o sistemas con datos personales); y ciberataques significativos (que produce un incidente de efecto significativo)
También define lo que es una mantención regular, la que no se consideran incidentes, pero deben ser notificadas.
De igual manera, la ANCI dispondrá de una plataforma de reporte y propondrá una taxonomía del informe y cuál es el contenido mínimo de los informes al reportar, los que deben incluir identificación de la institución, datos de contacto, fecha y hora del incidente, evidencia, repercusiones, tipo de incidente, activos afectados, indicadores de compromiso y otros datos relevantes, eximiendo los datos personales, excepto la dirección IP.
El borrador también considera los tiempos para las alertas tempranas (dentro de 3 horas de conocimiento del incidente); un segundo reporte que debe ser enviado dentro de 72 horas con una evaluación inicial; y un plan de acción dentro de 7 días.
Por último, la entidad afectada debe entregar un informe final dentro de los 15 días tras la alerta temprana.
Los documentos están disponibles en el sitio del CSIRT de gobierno y las personas u organizaciones interesadas tendrán plazo hasta el próximo viernes 9 de agosto para enviar sus observaciones.