Ley marco sobre ciberseguridad
| Páginas | 23-23 |
En el contexto de las innovaciones
tecnológicas que han producido gran-
des cambios culturales, la Ley marco
sobre Ciberseguridad e Infraestructu-
ra Crítica de la Información pretende
profundizar la transformación digital
del Estado, a través de una institucio-
nalidad adecuada y la coordinación
público-privada, en orden a asegurar
un marco regulatorio mínimo de ciber-
seguridad.
La ley crea una nueva institucionalidad
compuesta por una Agencia Nacional
de Ciberseguridad, un Consejo Técnico
de la Agencia, un equipo de respuesta
a incidentes de seguridad informática o
CSIRT. Por otro lado, establece la forma
para determinar a aquellas instituciones,
públicas o privadas, que poseen Infraes-
tructura Crítica de la Información.
Así, la Agencia Nacional de Ciberseguri-
dad, resulta una pieza fundamental de
la nueva institucionalidad, pues contar
con una Agencia especializada es una
necesidad actual y urgente. Su rol va
más allá de ser un mero organismo
técnico, ya que cumple funciones de
gestión y análisis de riesgos, de creación
de una cultura en función de ciberse-
guridad, una cultura de colaboración y
de mirada estratégica. Además, tendrá
un importante rol de coordinación con
otras entidades, actuales y futuras,
como será especialmente el caso de la
futura Agencia de Protección de Datos
Personales.
En cuanto a la Infraestructuras Críticas
de Información (ICI), si bien el proyecto
de ley entrega una estructura flexible
sobre la definición de las ICI -lo cual
resulta positivo, debido a lo imprevi-
sible de los cambios sociales y tecno-
lógicos- tiene la dificultad de parecer
ambiguos y amplios.
En lo que respecta a los CSIRT secto-
riales, son una pieza fundamental del
diseño de este nuevo ecosistema. Sin
embargo, en la modelación del proyec-
to de ley existen ciertas falencias que
complejizan la cadena de reportes,
debido a la falta de claridad en las obli-
gaciones. Si bien es cierto que esto será
concretado en un reglamento posterior,
los actores en esta materia no pueden
vislumbrar el alcance de lo que están
obligados a cumplir con esta ampli-
tud de la norma. A su vez, tampoco
queda claro quiénes son los regulado-
res sectoriales en cada caso. En esto se
requiere mayor precisión para evitar
duplicidades u omisiones en el traslape
de competencias en los sectores regula-
dos en materia de ciberseguridad.
En relación a la sanción a un infractor
que sea organismo público, el proyecto
solo señala, en el art. 33, inciso final que
“las infracciones cometidas por funcio-
narios de la Administración del Estado
o de los órganos del Estado se regirán
por su respectivo estatuto sanciona-
torio”, lo cual pudiera derivar en una
eventual impunidad, ya que en los esta-
tutos sancionatorios respectivos puede
no haber una sanción específica para
infracciones en materia de ciberseguri-
dad, quedando sin sanción la infracción
a estas normas. Sumado a lo anterior,
la especial delicadeza de las materias
consagradas en este proyecto de ley,
se hace importante contar también con
sanciones específicas para cuando la
infracción a la normativa de cibersegu-
ridad sea realizada por un organismo
público.
Respecto de las normas transitorias,
consideramos que sería idóneo estable-
cer un periodo de marcha blanca para
las sanciones de entre 6 a 10 meses,
considerando que se trata de una Ley
Marco que crea una nueva instituciona-
lidad y unas obligaciones nuevas, tanto
para actores públicos como privados.
Ley marco sobre
ciberseguridad
VALORACIÓN:
libertad y desarrollo lyd.org 23
CONGRESO
Para continuar leyendo
Solicita tu prueba