Ley número 21.663.- Ley Marco de Ciberseguridad
| Número de registro | CVE-2475674 |
| Fecha de publicación | 08 Abril 2024 |
| Sección | Normas Generales |
| Emisor | MINISTERIO DEL INTERIOR Y SEGURIDAD PÚBLICA |
| Número de Gaceta | 43.820 |
CVE 2475674 |Director: Felipe Andrés Peroti Díaz
Sitio Web: www.diarioficial.cl |Mesa Central: 600 712 0001 Email: consultas@diarioficial.cl
Dirección: Dr. Torres Boonen N°511, Providencia, Santiago, Chile.
Este documento ha sido firmado electrónicamente de acuerdo con la ley N°19.799 e incluye sellado de tiempo y firma electrónica
avanzada. Para verificar la autenticidad de una representación impresa del mismo, ingrese este código en el sitio web www.diarioficial.cl
DIARIO OFICIAL
DE LA REPUBLICA DE CHILE
Ministerio del Interior y Seguridad Pública I
SECCIÓN
LEYES, REGLAMENTOS, DECRETOS Y RESOLUCIONES DE ORDEN GENERAL
Núm. 43.820 | Lunes 8 de Abril de 2024 | Página 1 de 25
Normas Generales
CVE 2475674
MINISTERIO DEL INTERIOR Y SEGURIDAD PÚBLICA
LEY MARCO DE CIBERSEGURIDAD
Teniendo presente que el H. Congreso Nacional ha dado su aprobación al siguiente
Proyecto de ley:
“TÍTULO I
Disposiciones generales
Artículo 1°. Objeto. La presente ley tiene por objeto establecer la institucionalidad, los
principios y la normativa general que permitan estructurar, regular y coordinar las acciones de
ciberseguridad de los organismos del Estado y entre éstos y los particulares; establecer los
requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes de
ciberseguridad; establecer las atribuciones y obligaciones de los organismos del Estado, así como
los deberes de las instituciones determinadas en el artículo 4°, y los mecanismos de control,
supervisión y de responsabilidad ante infracciones.
Para efectos de esta ley, la Administración del Estado estará constituida por los Ministerios,
las Delegaciones Presidenciales Regionales y Provinciales, los Gobiernos Regionales, las
Municipalidades, las Fuerzas Armadas, las Fuerzas de Orden y Seguridad Pública, las empresas
públicas creadas por ley, y los órganos y servicios públicos creados para el cumplimiento de la
función administrativa.
Las disposiciones de esta ley serán aplicables a las empresas del Estado y sociedades en que
éste tenga participación accionaria superior al 50% o mayoría en el directorio.
Artículo 2°. Definiciones. Para efectos de esta ley se entenderá por:
1. Activo informático: toda información almacenada en una red y sistema informático que
tenga valor para una persona u organización.
2. Agencia: la Agencia Nacional de Ciberseguridad, que se conocerá en forma abreviada
como ANCI.
3. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las
políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la
Información.
4. Autenticación: propiedad de la información que da cuenta de su origen legítimo.
5. Ciberataque: intento de destruir, exponer, alterar, deshabilitar, o exfiltrar u obtener acceso
o hacer uso no autorizado de un activo informático.
6. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de
la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a
las personas, la sociedad, las organizaciones o las naciones de incidentes de ciberseguridad.
7. Confidencialidad: propiedad que consiste en que la información no es accedida o
entregada a individuos, entidades o procesos no autorizados.
DIARIO OFICIAL DE LA REPUBLICA DE CHILE
Núm. 43.820 Lunes 8 de Abril de 2024 Página 2 de 25
CVE 2475674 |Director: Felipe Andrés Peroti Díaz
Sitio Web: www.diarioficial.cl |Mesa Central: 600 712 0001 Email: consultas@diarioficial.cl
Dirección: Dr. Torres Boonen N°511, Providencia, Santiago, Chile.
Este documento ha sido firmado electrónicamente de acuerdo con la ley N°19.799 e incluye sellado de tiempo y firma electrónica
avanzada. Para verificar la autenticidad de una representación impresa del mismo, ingrese este código en el sitio web www.diarioficial.cl
8. Disponibilidad: propiedad que consiste en que la información está disponible y es
utilizable cuando es requerida por un individuo, entidad o proceso autorizado.
9. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros
multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de
ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a
procedimientos y políticas predefinidas, ayudando a mitigar sus efectos.
10. Incidente de ciberseguridad: todo evento que perjudique o comprometa la
confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y
sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las
redes y sistemas informáticos.
11. Integridad: propiedad que consiste en que la información no ha sido modificada o
destruida sin autorización.
12. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros
equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales.
13. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego
de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado,
y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un
incidente de ciberseguridad.
14. Riesgo: posibilidad de ocurrencia de un incidente de ciberseguridad; la magnitud de un
riesgo es cuantificada en términos de la probabilidad de ocurrencia del incidente y del impacto de
las consecuencias del mismo.
15. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más
amenazas informáticas.
Artículo 3°. Principios rectores. Para alcanzar los objetivos de esta ley se deberán
observar los siguientes principios:
1. Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad
siempre se deberá actuar coordinada y diligentemente, y adoptar las medidas necesarias para
evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a
otros sistemas informáticos.
2. Principio de cooperación con la autoridad: para resolver los incidentes de ciberseguridad
se deberá prestar la cooperación debida con la autoridad competente y, si es necesario, cooperar
entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas
y servicios.
3. Principio de coordinación: de conformidad a lo dispuesto por el inciso segundo del
artículo 5º de la ley Nº 18.575, orgánica constitucional de Bases Generales de la Administración
del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza
de ley Nº 1-19.653, promulgado en 2000 y publicado en 2001, del Ministerio Secretaría General
de la Presidencia, la Agencia y las autoridades sectoriales deberán cumplir sus cometidos
coordinadamente, propender a la unidad de acción y evitar la duplicación o interferencia de
funciones.
4. Principio de seguridad en el ciberespacio: es deber del Estado resguardar la seguridad en
el ciberespacio. El Estado velará por que todas las personas puedan participar de un ciberespacio
seguro, por lo que otorgará especial protección a las redes y sistemas informáticos que contengan
información de aquellos grupos de personas que suelen ser en mayor medida objeto de
ciberataques.
5. Principio de respuesta responsable: la aplicación de medidas para responder a incidentes
de ciberseguridad o ciberataques en ningún caso podrá significar la realización o el apoyo a
operaciones ofensivas.
6. Principio de seguridad informática: toda persona tiene derecho a adoptar las medidas
técnicas de seguridad informática que considere necesarias, incluyendo el cifrado.
7. Principio de racionalidad: las medidas para la gestión de incidentes de ciberseguridad, las
obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser
necesarias y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y
económico.
Para continuar leyendo
Solicita tu prueba