El día 1 de marzo del 2025, comenzó a regir la obligación de reporte de incidentes de ciberseguridad acorde a lo indicado en el artículo 9 de la Ley N° 21.663, Marco de Ciberseguridad, como las disposiciones relativas a los deberes específicos de los Operadores de Importancia Vital y régimen infraccional. Esta medida busca fortalecer la respuesta y la resiliencia frente a amenazas cibernéticas, promoviendo un entorno digital más seguro para todos los ciudadanos y organizaciones del país.
Los servicios esenciales son aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos. Estos servicios son fundamentales para el correcto funcionamiento de la sociedad y la economía, y por tanto, su protección ante incidentes de ciberseguridad es prioritaria.
En ese sentido, se publicó el Decreto Número 295, que aprueba el Reglamento de Reporte de Incidentes de Ciberseguridad (ver decreto) y la Resolución Número 7, de la Agencia Nacional de Ciberseguridad (ANCI) sobre taxonomía de incidentes de ciberseguridad (ver resolución). Estos documentos establecen los criterios y procedimientos que deben seguirse para reportar y gestionar incidentes de ciberseguridad de manera efectiva y oportuna.
Revisión de Procesos
La entrada en vigencia de esta nueva normativa exige a todas las organizaciones anteriormente mencionadas a iniciar un proceso de revisión de sus procedimientos de gestión de incidentes para adecuarlo a los nuevos reglamentos y taxonomía propuestas. Esta revisión implicará una evaluación detallada de políticas de seguridad, procesos y herramientas de gestión de incidentes, asegurando que cumplan con los requisitos establecidos por la ley y las nuevas regulaciones y la habilitación de un Security Operation Center (SOC) para coordinar los esfuerzos de cumplimiento.
La implementación de estas medidas y regulaciones representa un avance significativo en la protección de la infraestructura crítica del país. Al fortalecer nuestra capacidad para detectar, reportar y mitigar incidentes de ciberseguridad, no solo estamos protegiendo los servicios esenciales, sino también garantizando la continuidad de operaciones y minimizando el impacto de posibles amenazas cibernéticas. Además, esta normativa proporciona una estructura clara y uniforme para la gestión de incidentes, facilitando la colaboración y el intercambio de información entre las distintas entidades involucradas.
Con esto, entra en completa vigencia la Ley Marco de Ciberseguridad a nivel nacional, marcando un hito en la construcción de un entorno digital más seguro y resiliente para todos.
Es fundamental que todas las organizaciones comprendan y se adapten a estas nuevas regulaciones para proteger sus infraestructuras críticas y servicios esenciales. En MonkeysLab les instamos a buscar asesoría especializada para garantizar el cumplimiento de la Ley N° 21.663 y los reglamentos asociados. Un enfoque proactivo y bien informado no solo asegurará la conformidad legal, sino que también fortalecerá la ciberseguridad y la resiliencia ante posibles amenazas.