Ley Marco de Ciberseguridad -21663: ¿cuáles son las sanciones por incumplimiento?

Diez artículos de la Ley Marco de Ciberseguridad 21663 – del 37 al 47 – dan cuenta de sanciones para las organizaciones que incumplen, plazos, montos de multas, reglas, apelaciones, entre otros . El Título VII De las infracciones y sanciones también habla de grados de transgresiones y las clasifica como leves, graves y gravísimas.

En el caso de los operadores de vital importancia (OIV), estos pueden ser sancionados por no implementar un sistema de gestión de seguridad de la información (SGSI), no mantener registros de las acciones que compongan el SGSI, no contar con planes de continuidad operacional y ciberseguridad, omitir la realización de operaciones de revisión, análisis, ejercicios y simulacros para detectar riesgos y amenazas, etc. Entre las faltas leves de los OIV se encuentran:

• No comunicar al Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT) la realización continua de operaciones de revisión, ejercicios y acciones como simulacros y análisis de redes. (Los artículos 8 y 40 son redundantes y abordan los mismos puntos).
• No contar con programas de capacitación, formación y educación continua para los trabajadores.
• No designar un delegado de ciberseguridad.
• No dar cumplimiento a la instrucción particular de la Agencia en orden a certificar los planes de continuidad operacional.

Según el artículo 40, las sanciones por infracciones leves alcanzan las 5000 unidades tributarias mensuales (UTM), o hasta 10000 UTM, en el caso de los operadores de importancia vital (OIV).

 Respectivamente, las infracciones graves para los OIV incluyen no haber implementado el SGSI, no haber elaborado o implementado los planes de continuidad operacional y ciberseguridad, no informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información, no adoptar oportunamente las medidas necesarias para reducir el impacto y magnitud de un incidente y reincidir en la misma infracción leve dentro del periodo de un año. Las infracciones graves serán sancionadas con multa de hasta 10000 UTM, o hasta 20.000 UTM, cuando se trate de los OIV.

La categoría especial de OIV por su parte, se expone a las siguientes infracciones gravísimas:

• No adoptar de forma oportuna las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, cuando éste posea un impacto significativo.
• La reincidencia en una misma infracción grave dentro del período de un año.

Las infracciones gravísimas serán sancionadas con multa de hasta 20.000 UTM, o hasta 40.000 UTM, si el infractor es un OIV. Si las multas no se pagan a tiempo, generarán intereses y reajustes. Al pagar durante los 5 primeros días de la notificación y no imponer ningún recurso, el monto de la multa se reduce en 25% (artículos 38, 44 y 45).

Para fijar la multa correspondiente, se tomará en cuenta:

• El grado en que el infractor adoptó las medidas necesarias para resguardar la seguridad informática de las operaciones.
• La probabilidad de ocurrencia del incidente.
• El grado de exposición del infractor a los riesgos.
• La gravedad de los efectos de los ataques incluidas sus repercusiones sociales o económicas.
• La reiteración en la infracción dentro del plazo de tres años, contado desde el momento en que se produjo el incidente, el tamaño y la capacidad económica del infractor.

¿Quién impone la sanción y la hace cumplir?  En algunos casos, lo determinarán las autoridades sectoriales, y en otros corresponderá a la ANCI fiscalizar, conocer y ejecutar . Prevalecerán las disposiciones de la autoridad sectorial cuando las normas que esta emita sean específicas  (en el sector eléctrico, por ejemplo, sería el Comité Eléctrico Nacional) y cuenten con efectos y obligaciones equivalentes a las directrices de la ANCI. Si las normas de una autoridad sectorial son insuficientes, las organizaciones se ajustarán a las exigencias de la ANCI, por ello cada autoridad sectorial y la agencia deben redactar una norma conjunta de carácter general. Hasta la fecha, este documento aún no existe.

Proceso sancionador: ¿Cómo funciona?

1. Se formulan y precisan los cargos con detalle en la razón de la infracción, qué normas se consideran infringidas y quién es el presunto responsable de la infracción. Este documento llega al correo electrónico proporcionado por la organización.
2. Se designa al funcionario a cargo del caso.
3. Se fija un plazo para formular descargos. El presunto infractor tendría que señalar los antecedentes, contexto y circunstancias del hecho, con el fin de probar que no es responsable de lo que se le acusa o que el hecho no es tan grave o que se le culpa de algo que no sucedió.
4.  Al vencerse el plazo de descargo,  se abre un periodo probatorio que dependerá de la complejidad del caso.
5. Existe la posibilidad excepcional de llevar a cabo diligencias que sean necesarias para resolver el asunto. Esto puede solicitarse dentro de los cinco días siguientes al vencimiento del término probatorio.
6. El instructor del procedimiento emite un informe  detallado de todas las defensas, alegatos y pruebas presentadas. A partir del documento se determina si hubo una violación de la ley o no, qué sanción será impuesta o si el presunto responsable será absuelto.  
7. Es posible, de acuerdo con lo indicado en el artículo 43, interponer un recurso en contra de la resolución emitida.