Desde crear protocolos y hasta fiscalizar: ¿Qué hará la nueva Agencia Nacional de Ciberseguridad y cuáles son sus facultades?

Este jueves 2 de enero comenzó a operar la nueva Agencia Nacional de Ciberseguridad (Anci), organismo público creado tras la aprobación unánime de la nueva Ley de Ciberseguridad promulgada en marzo del año pasado y que, además de crear la nueva agencia, también actualiza la normativa chilena respecto a la materia.

El mismo día que comenzó a operar, el Presidente Gabriel Boric nombró al abogado y doctor en derecho de la Universidad de Chile, Daniel Álvarez Valenzuela, como el primer director del nuevo organismo que fue presentado como parte de la estrategia de seguridad del Ejecutivo. El experto, quien hasta ahora se desempeñaba como coordinador de Ciberseguridad en el gobierno encabezará el servicio dependiente de la Subsecretaría del Interior.

Según quedó establecido en la normativa, así como también en el Presupuesto 2025, la Anci para este año tendrá como ingresos un total de $3.847.282.000, que se gastarán principalmente en personal y en bienes y servicios de consumo.

En total, la nueva agencia, según el decreto de ley sobre su puesta en marcha, fijó un total de máximo 49 funcionarios, incluido el director. De estos, se especifica que serán cuatro cargos directivos, 12 profesionales, 8 fiscalizadores, 10 técnicos, además de otros nueve administrativos y cinco auxiliares.

La nueva Anci es una entidad de carácter técnico y que tiene como principal objetivo asesorar al Presidente de la República en materia de ciberseguridad. Una de las principales funciones de la nueva agencia, según lo establece la propia ley que la creo es que “goza de diversas atribuciones, tales como, dictar protocolos y estándares de ciberseguridad, aplicar e interpretar administrativamente las disposiciones legales y reglamentarias de esta materia”.

Las aplicaciones de la nueva agencia, es bien variada y aplica al ámbito público y privado. Entre ellas, y como las primeras acciones, está su facultad de definir a los Servicios Esenciales (SE) en materia de ciberseguridad y los son definidos como aquellos organismos de la administración del Estado, los prestadores de servicios bajo concesión de servicio público o los servicios privados relacionadas a las telecomunicaciones, suministros de servicios básicos, entre otros. Junto con los SE, también debe definir los Operadores de Importancia Vital (OIV), que son “entidades que presten un servicio que dependa de las redes y sistemas informáticos”.

La Anci también debe implementar planes y acciones de formación ciudadana en materia de ciberseguridad, así como también fomentar la investigación e innovación frente a amenazas e incidentes informáticos junto al Ministerio de Economía. Con el Ministerio de Ciencia por su parte debe fomentar el desarrollo de la industria local en la materia.

Por otro lado, debe cooperar con los organismos públicos e instituciones privadas en materia de ciberseguridad, así como hacerse cargo de la Red de Conectividad Segura del Estado, que corresponde a la infraestructura que entrega la conexión y seguridad informática a algunos organismos públicos.

Las funciones más operativas de la nueva institución encabezada por Álvarez tienen diferentes aplicaciones. En primer lugar, es la encargada de otorgar y revocar las acreditaciones a los centros de certificaciones en materia de ciberseguridad. De la misma forma, es la encargada de verificar que las instituciones del Estado cumplan con los estándares de seguridad informática.

En esa línea, igualmente será la institución encargada de fijar los estándares que deban cumplir las instituciones que provean de bienes y servicios al Estado, así como también de las normas de seguridad digital que tendrán que tener los sistemas que sean desarrollados para las organizaciones públicas.

En sus labores más operativas, y pese a que no considera ninguna instancia directa con instituciones como las policías, la Anci será la encargada de coordinar y supervisar el Equipo de Respuesta ante Incidencias de Seguridad Informáticas (Csirt -por sus siglas en inglés) a nivel nacional, que corresponde a la instancia que se hace cargo de resolver sucesos de ciberseguridad.

Misma función de coordinación que tendrá con sobre el Csirt de la Defensa Nacional, estableciendo los estándares y tiempos de comunicación sobre los incidentes de seguridad informática en dicho estamento. Finalmente, la agencia tendrá entre sus funciones el crear y administrar un Registro Nacional de Incidentes de Ciberseguridad.

El decreto que dio inició a la Anci establece, entre otras cosas, que durante el primer tiempo se aplicará la puesta en marcha administrativa del servicio. Desde marzo por su parte, también se aplicará uno de los ejes principales del servicio: las fiscalizaciones.

Y es que la nueva agencia también cuenta con la capacidad fiscalizadora y para multar a los organismos que no cumplan con la normativa de ciberseguridad. Entre dichas obligaciones que deben cumplir los entes fiscalizados, se encuentra la de notificar sobre incidentes de seguridad informática, los que deberán cumplir con aquello desde el 1 de marzo próximo. Fecha en la que también comenzarán a regir las sanciones que van desde las 0 a las 40 mil UTMs.

Entre quienes están bajo la normativa, están los operadores de importancia vital, que son los organismos fiscalizados y que deben adecuarse a la nueva ley y que deberán implementar un sistema de gestión de seguridad de la información continua, planes de operatividad, realizar revisiones a sus sistemas, adoptar medidas para reducir los impactos de un incidente de ciberseguridad y hasta designar a un delegado de ciberseguridad.