De la ley marco de ciberseguridad, analisis de la ley N°21.663

“A un abogado como yo, de principios de la segunda mitad del siglo pasado, la cibernética, la Internet, computación, redes sociales, Inteligencia Artificial, física cuántica, le cuesta. No se me hace fácil eso de ciber de cualquier cosa; es menos amable que otros temas.

La tramitación electrónica, y otros que hasta se pronuncian difícil; para ser honesto, me asustan un poco.

Pero aquí estamos, con la pluma y la tinta: vamos a intentarlo

La Ley Marco de Ciberseguridad, N° 21.663, fue publicada en el Diario Oficial N° 43.820, del 8 de abril de 2024. Contiene diez títulos y seis disposiciones transitorias.

El legislador sabe adaptarse a las necesidades sociales.”

TÍTULO I
DISPOSICIONES GENERALES

1. Objeto de la ley
1.1. Del objeto de la ley
1.2. Concepto de Administración del Estado
1.3. Empresas del Estado

2. Definiciones
2.1. Activo informático
2.2. Agencia
2.3. Auditorías de Seguridad
2.4. Autenticación
2.5. Ciberataque
2.6. Ciberseguridad
2.7. Confidencialidad
2.8. Disponibilidad
2.9. Equipo de respuesta
2.10. Incidente de ciberseguridad
2.11. Integridad
2.12. Red y sistema informático
2.13. Resiliencia
2.14. Riesgo
2.15. Vulnerabilidad

3. Principios rectores
3.1. Principio de control de daños
3.2. Principio de cooperación con la autoridad
3.3. Principio de coordinación
3.4. Principio de ciberseguridad en el ciberespacio
3.5. Principio de respuesta responsable
3.6. Principio de seguridad informática
3.7. Principio de racionalidad
3.8. Principio de seguridad y privacidad por defecto y desde el diseño

TÍTULO II
OBLIGACIONES DE CIBERSEGURIDAD

PÁRRAFO 1º
SERVICIOS ESENCIALES Y OPERADORES DE IMPORTANCIA VITAL

4. Ámbito de aplicación

5. Operadores de importancia vital
5.1. Concepto
5.2. Requisitos

6. Procedimiento de calificación de los operadores de importancia vital
6.1. Periodicidad del proceso
6.2. Solicitud de informes
6.3. Forma en que deben evacuarse los informes
6.4. Plazo para evacuar informe
6.5. Consulta pública
A. Instituciones privadas
B. Instituciones públicas
6.6. Del informe
6.7. Resolución fundada
6.8. Recursos
6.9. Reglamento

PÁRRAFO 2º
OBLIGACIONES DE CIBERSEGURIDAD

7. Deberes generales
A. Continuidad
B. Protocolos
C. Coordinación regulatoria
D. Consulta pública
E. Publicidad
F. Medidas diferenciadas

8. Deberes específicos de los operadores de importancia vital
A. Sistema de gestión de seguridad
B. Registro de acciones
C. Planes de continuidad operacional y ciberseguridad
a. Regla general
b. Excepción
D. Operaciones continuas
E. Medidas para impedir impacto y propagación de un incidente de ciberseguridad
F. Certificaciones
G. Deber de informar
H. Programas de capacitación. Campañas de ciberhigiene
I. Delegado de ciberseguridad

9. Deber de reportar
A. Alerta temprana
B. Actualización de la información
a. Regla general
b. Excepción
C. Informe final
D. Continuidad del incidente
E. Otras reglas
a. Requerimiento de actualización de información
b. Deber de informar el plan de acción
c. Obligación de compartir información
d. Instrucciones
e. Reglamento

TÍTULO III
DE LA AGENCIA NACIONAL DE CIBERSEGURIDAD .

PÁRRAFO 1º
OBJETO, NATURALEZA Y ATRIBUCIONES

10. Agencia Nacional de Ciberseguridad
10.1. Características
A. Es un servicio público
B. Es un servicio funcionalmente centralizado
C. Está dotado de personalidad jurídica
D. Posee patrimonio propio
E. Es de carácter técnico especializado
10.2. Objeto
10.3. De la coherencia normativa
10.4. Relaciones con el Presidente de la República
10.5. Domicilio

11. Atribuciones de la Agencia
A. Asesorar al Presidente de la República
B. Dictar normas
C. Aplicar e interpretar normas
D. Coordinar y supervisar al CSIRT Nacional
E. Coordinación con el CSRIT
F. Registro Nacional de Incidentes de Ciberseguridad
G. Calificar a los “servicios esenciales” y otros
H. Requerir entrega de información
I. Planes y acciones
J. Requerir acceso a la información
K. Requerir acceso a redes y sistemas informáticos
a. Concepto
b. Procedimiento administrativo
i. Notificación
ii. Entrega de información
iii. Oposición
c. Procedimiento judicial
i. Competencia
ii. De la solicitud
iii. Citación a audiencia
iv. Audiencia
v. Fallo
vi. Impugnación del fallo
vii. Tramitación
viii.Preferencia
ix. Implicancias y recusaciones .
x. Restricción del acceso o uso de redes o sistemas informáticos .
xi. Otros casos de requerimientos de acceso a redes y sistemas informáticos
L. Atribución de cooperación .
a. Cooperación con organismos públicos o instituciones privadas .
b. “Punto de contacto”
c. Cooperación con Estados y organismos internacionales
M. Prestar asesorías
N. Colaboración
Ñ. Fiscalización
a. Concepto
b. Atribuciones
c. Deber de cooperación de la entidad fiscalizada
d. Requerimiento de información
e. Citación a declarar .
O. Instruir procedimientos y sancionar infracciones e incumplimientos .
P. Fomentar la investigación, y otros
Q. Realizar seguimiento y evaluación
R. Informar a los CSIRT
S. Determinar categorías de incidentes o vulnerabilidades de ciberseguridad eximidas de notificación
T. Certificaciones
U. Acreditaciones
V. Establecer los estándares que deben cumplir las instituciones
W. Establecer estándares de ciberseguridad
X. Administrar la Red
Y. Coordinación anual
Z. Otros que las leyes les encomiende

PÁRRAFO 2º
DIRECCIÓN, ORGANIZACIÓN Y PATRIMONIO DE LA AGENCIA NACIONAL DE CIBERSEGURIDAD

12. Dirección de la Agencia

13. Subdirección

14. Atribuciones del Director(a) Nacional

15. Del patrimonio de la Agencia

16. Nombramiento de autoridades

17. Del personal de la Agencia
A. Código del Trabajo
B. Normas de probidad
C. Estatuto Administrativo
D. Responsabilidad
E. Responsabilidad disciplinaria
F. Alta Dirección Pública
G. Destinaciones, comisiones de servicio y cometidos funcionarios
H. Prohibiciones laborales
I. Estructura de la dotación de trabajadores de la Agencia
J. Estructura interna del Servicio
K. Mandato imperativo a la Agencia

18. Prohibiciones e inhabilidades
A. Prohibición de prestar servicios
B. Incompatibilidad de intereses
C. Otras prohibiciones
D. Excepciones
E. Dedicación exclusiva
a. Regla general
b. Excepciones
c. Autorización previa
d. Aplicación del Estatuto Administrativo

19. Notificación responsable de vulnerabilidades
A. Exención de la obligación de denunciar
B. Secreto de la notificación

PÁRRAFO 3º
CONSEJO MULTISECTORIAL SOBRE CIBERSEGURIDAD

20. Consejo Multisectorial sobre Ciberseguridad
A. Concepto
B. Funciones
C. Integración del Consejo
D. Duración
E. Declaración de intereses
F. Principio de la abstención

21. Funciones del Consejo
A. Número de sesiones
B. Regla general. Publicidad
C. Excepción. Reserva

D. Acuerdos .

E. Colaboración de la Agencia

F. Reglamento

22. De las causales de cesación

REMOCIÓN Y CESE EN EL CARGO

PÁRRAFO 4º
RED DE CONECTIVIDAD SEGURA DEL ESTADO

23. Red de Conectividad Segura del Estado .
A. Concepto .
B. Convenios .
C. Reglamento .

PÁRRAFO 5º
EQUIPO NACIONAL DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA

24. Equipo Nacional de Respuesta a Incidentes de Seguridad Informática
A. Concepto
B. Funciones
a. Responder
b. Coordinar
c. Servir
d. Prestar
e. Supervisar
f. Efectuar
g. Realizar
h. Requerir
i. Difundir
j. Elaborar

TÍTULO IV
COORDINACIÓN REGULATORIA Y OTRAS DISPOSICIONES

25. Coordinación regulatoria
A. Solicitud de informe
B. Procedimiento
a. Plazo para contestar
b. Actitudes de la autoridad requerida
i. Rebeldía
ii. Contestación
C. Efectos
D. Excepciones

26. Normativa sectorial
A. Generalidades
B. Conflicto de normas
C. Norma conjunta .

27. Incidentes de efecto significativo
A. Concepto
B. Criterios para determinar su importancia
C. Mandato imperativo legal a las CSIRT
D. Datos personales
E. Procedimiento específico de notificación

28. Centros de certificación
A. Certificaciones de ciberseguridad
B. Homologación de certificados extranjeros

TÍTULO V
DEL EQUIPO DE RESPUESTA A INCIDENTES DE SEGURIDAD INFORMÁTICA DE LA DEFENSA NACIONAL

29. Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional
A. Concepto
B. Funciones
C. Dependencia
D. Dependencia presupuestaria

30. De las funciones del CSIRT de la Defensa Nacional

31. De los Equipos de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional
A. Equipos de Respuesta
a. Concepto
b. Finalidad
B. CSIRT Institucionales
C. Funciones de los CSIRT Institucionales

32. Deber de reporte al CSIRT de la Defensa Nacional
A. Deber de reportar .
B. Excepción

TÍTULO VI
DE LA RESERVA DE INFORMACIÓN EN EL SECTOR PÚBLICO EN MATERIAS DE CIBERSEGURIDAD

33. De la reserva de información
A. Regla general
B. Excepción
C. Duración del deber de reserva
D. Seguridad de la Nación e interés nacional
E. Otros casos de reserva

34. Extensión del deber de reserva

35. Deber de reserva de la Agencia Nacional de Ciberseguridad
A. Deber de reserva
B. Deber de respetar derechos fundamentales
a. Regla general
b. Excepción .

36. Sanciones
A. Penal
B. Administrativa

TÍTULO VII
DE LAS INFRACCIONES Y SANCIONES

37. Competencia de la autoridad sectorial
A. Autoridad sectorial
B. Agencia Nacional de Ciberseguridad

38. Infracciones
A. Leves
B. Graves
C. Gravísimas

39. De las infracciones de los operadores de importancia vital
A. Leves .
B. Graves
C. Gravísimas

40. De las sanciones
A. Infracciones
a. Leves
b. Graves
c. Gravísimas
B. Criterio para fijar el monto de la multa
C. Concurso de leyes
D. Prescripción
a. Plazo
b. Interrupción
41. Procedimiento simplificado
A. Ámbito de aplicación
B. Proposición de la Agencia

42. Procedimiento administrativo sancionador
A. Requisitos generales de instrucción
a. Formulación de cargos
b. Descripción de hechos
c. Fundamentación
d. Designación de presunto responsable
e. Designación de funcionario instructor
f. Plazo para formular descargos
g. Notificaciones
B. Descargos
a. Circunstancias y antecedentes
b. Presentaciones posteriores
c. Diligencias probatorias
C. Término probatorio
a. Duración
b. Prórroga
c. Medios de prueba
d. Apreciación de la prueba
D. Otras diligencias
a. Concepto
b. Plazo
E. Conclusión del proceso
a. Informe del instructor
b. Plazo
F. Fallo

43. Recursos
A. Recursos que proceden
B. Plazo para resolverlo
C. Efectos .

44. Ejecución del fallo
A. Plazo
B. Mérito ejecutivo
C. Cobro
D. Pago de la multa
E. Retardo en el pago

45. Pronto pago

46. Procedimiento de reclamación judicial

DEL RECLAMO DE ILEGALIDAD

A. Casos de procedencia
B. Tribunal competente
C. Plazo
D. Reglas especiales
a. Escrito
b. Inadmisibilidad .
Orden de no innovar
c. Petición de informe
d. Prueba
e. De la vista de la causa
f. Fallo
g. Procedimiento sancionatorio
h. Recurso para ante la Corte Suprema
i. Reglas supletorias
47. Responsabilidad administrativa del jefe superior del organismo de la Administración del Estado

TÍTULO VIII
DEL COMITÉ INTERMINISTERIAL SOBRE CIBERSEGURIDAD

48. Comité Interministerial sobre Ciberseguridad

A. Objeto
B. Deberes del Comité

49. De los integrantes del Comité

50. De la Secretaría Ejecutiva

51. De la información reservada

52. Del Reglamento

TÍTULO IX
ÓRGANOS AUTÓNOMOS CONSTITUCIONALES

53. Regímenes especiales

ANEXOS

1. Ley No 21.663. Ley Marco de Ciberseguridad
2. Ley No 19.880. Establece bases de los procedimientos administrativos que rigen los actos de los órganos de la Administración del Estado