Esta nueva ley exige cumplimiento por parte de las entidades que operan servicios considerados esenciales, así como aquellas que son designadas como operadores de importancia vital. Estos incluyen una amplia gama de servicios y sectores, detallados en la ley de la siguiente manera:

1. Servicios Proveídos por el Estado y sus Organismos: Esto incluye servicios que son fundamentales para el funcionamiento del país y la calidad de vida de la sociedad.
2. Servicios Esenciales: Son aquellos servicios provistos bajo concesión de servicio público y aquellos prestados por instituciones privadas en áreas críticas, como:
1. Generación, transmisión o distribución eléctrica
2. Transporte, almacenamiento o distribución de combustibles
3. Suministro de agua potable o saneamiento
4. Telecomunicaciones e infraestructura digital
5. Servicios de tecnología de la información gestionados por terceros
6. Transporte terrestre, aéreo, ferroviario o marítimo
7. Banca, servicios financieros y medios de pago
8. Administración de prestaciones de seguridad social
9. Servicios postales y de mensajería
10. Prestación institucional de salud (hospitales, clínicas, etc.)
11. Producción y/o investigación de productos farmacéuticos
3. Operadores de Importancia Vital: Además de los servicios esenciales, la ley permite que la ANCI califique a otras entidades como operadores de importancia vital, basándose en criterios como el impacto de su interrupción en la seguridad y el orden público, la provisión continua de servicios esenciales, o el cumplimiento de las funciones del Estado.

Estas entidades deben implementar medidas robustas de ciberseguridad para prevenir, detectar, y responder a incidentes y ciberataques, asegurando la continuidad de sus operaciones y la protección de la infraestructura crítica de la nación.

En base al documento de la Ley Marco de Ciberseguridad de Chile, las empresas que son clasificadas como operadores de importancia vital (OIV) deben adoptar diversas medidas de ciberseguridad. A continuación, las principales medidas que deberán tomar, entre ellas:

1. Sistema de Gestión de Seguridad de la Información: Implementar y mantener un sistema que permita evaluar los riesgos asociados a la seguridad de las redes y sistemas informáticos.
2. Registro de Actividades: Mantener un registro detallado de las acciones que forman parte del sistema de gestión de seguridad de la información.
3. Planes de Continuidad Operacional y Ciberseguridad: Desarrollar e implementar estos planes, que deben ser certificados y revisados periódicamente.
4. Revisión Continua: Realizar revisiones, simulacros y análisis de las redes y sistemas informáticos para detectar y comunicar posibles compromisos a la seguridad cibernética.
5. Medidas de Respuesta Rápida: Adoptar medidas necesarias para mitigar el impacto de un incidente de ciberseguridad y, si necesario, restringir el acceso a sistemas informáticos.
6. Capacitación y Educación: Implementar programas de capacitación y educación continua en ciberseguridad para los empleados.
7. Delegado de Ciberseguridad: Designar a una persona que actúe como punto de contacto con la Agencia Nacional de Ciberseguridad y que informe sobre las medidas de ciberseguridad implementadas.
8. Reporte de Incidentes: Reportar al Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) los ciberataques e incidentes que puedan tener efectos significativos.

Estas medidas son cruciales para proteger la infraestructura crítica y asegurar la continuidad de los servicios esenciales, reduciendo la vulnerabilidad frente a ciberataques y mejorando la resiliencia de las organizaciones frente a posibles incidentes de seguridad, en Compunet te podemos ayudar y apoyar en la implementación de muchas de estas medidas.

Próximamente estaremos publicando nuevos artículos para ayudar a las organizaciones a cumplir esta ley, así que, sigue CompunetGroup en sus redes sociales!