1

PROYECTO DE LEY, EN PRIMER TRÁMITE CONSTITUCIONAL, QUE ESTABLECE UNA LEY MARCO
SOBRE CIBERSEGURIDAD E INFRAESTRUCTURA CRÍTICA DE LA INFORMACIÓN
(BOLETÍN Nº 14.847- 06)

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

PROYECTO DE LEY:

“TÍTULO I
Disposiciones generales

Artículo 1. Objeto. La presente ley tiene por objeto establecer la

institucionalidad, los principios y la normativa general que permiten
estructurar, regular y coordinar las acciones de ciberseguridad de los órganos
de la Administración del Estado y entre éstos y los particulares; establecer
los requisitos mínimos para la prevención, contención, resolución y respuesta
de incidentes de ciberseguridad; establecer las atribuciones y obligaciones
de los órganos del Estado así como los deberes de las instituciones privadas
que posean infraestructura de la información calificada como crítica y, en
ambos casos, los mecanismos de control, supervisión y de responsabilidad
por la infracción de la normativa.

Artículo 2. Definiciones. Para efectos de esta ley se entenderá por:

1. Agencia: La Agencia Nacional de Ciberseguridad.

2. Ciberataque: Acción producida en el ciberespacio que compromete la

disponibilidad, integridad y confidencialidad de la información mediante el
acceso no autorizado, la modificación, degradación o destrucción de los
sistemas de información y telecomunicaciones o las infraestructuras que los
soportan.
 2

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

3. Ciberespacio: Dominio global y dinámico dentro del entorno de la

información que corresponde al ambiente compuesto por las infraestructuras
tecnológicas, los componentes lógicos de la información, los datos
(almacenados, procesados o transmitidos) que abarcan los dominios físico,
virtual y cognitivo y las interacciones sociales que se verifican en su interior.

Las infraestructuras tecnológicas corresponden a los equipos materiales

empleados para la transmisión de las comunicaciones, tales como enlaces,
enrutadores, conmutadores, estaciones, sistemas radiantes, nodos,
conductores, entre otros.

Los componentes lógicos de la información, en tanto, son los diferentes

softwares que permiten el funcionamiento, administración y uso de la red.

4. Ciberseguridad: el conjunto de acciones destinadas al estudio y manejo

de las amenazas y riesgos de incidentes de ciberseguridad; a la prevención,
mitigación y respuesta frente a estos, así como para reducir sus efectos y el
daño causado, antes, durante y después de su ocurrencia, respecto de los
activos informáticos y de servicios.

5. Equipo de respuesta a incidentes de seguridad informática o CSIRT:

Centros conformados por especialistas multidisciplinarios capacitados para
prevenir, detectar, gestionar y responder a incidentes de ciberseguridad, en
forma rápida y efectiva, y que actúan según procedimientos y políticas
predefinidas, coadyuvando asimismo a mitigar sus efectos.

6. Estándares Mínimos de Ciberseguridad: Corresponden al conjunto de

reglas y procedimientos técnicos básicos sobre ciberseguridad, dictados por
la Agencia o por el regulador sectorial competente, los cuales deben ser
cumplidos por los órganos de la Administración del Estado y por quienes
posean infraestructura de la información calificada como crítica.
 3

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

7. Gestión de incidente de Ciberseguridad: Conjunto ordenado de

acciones enfocadas a prevenir en la medida de lo posible la ocurrencia de
incidentes de ciberseguridad y, en caso de que ocurran, restaurar los niveles
de operación lo antes posible.

8. Incidente de ciberseguridad: Todo evento que comprometa la

disponibilidad, autenticidad, integridad o confidencialidad de los sistemas o
datos informáticos almacenados, transmitidos o procesados, o los servicios
correspondientes ofrecidos a través sistemas de telecomunicaciones y su
infraestructura, que puedan afectar al normal funcionamiento de los mismos.

9. Infraestructura Crítica de la Información: corresponde a aquellas

instalaciones, redes, sistemas, plataformas, servicios y equipos físicos y de
tecnología de la información cuya afectación, degradación, denegación de
servicio, interceptación, interrupción o destrucción puede tener una
repercusión importante en la seguridad nacional, en la provisión de servicios
esenciales, en el efectivo cumplimiento de las funciones del Estado y, en
general, de los servicios que éste debe proveer o garantizar.

10. Red o sistema de información: Medio en virtud del cual dispositivos,

redes o plataformas almacenan, procesan o transmiten datos digitales, ya
sea a través de redes de comunicaciones electrónicas, dispositivos o
cualquier grupo de redes interconectadas o dispositivos o sistemas de
información y plataformas relacionadas entre sí.

11. Regulador o fiscalizador sectorial: Son aquellos servicios públicos

dentro de cuyas funciones se encuentra la regulación y/o supervigilancia de
uno o más sectores regulados.

12. Resiliencia: Capacidad de las redes o sistemas de información para

seguir operando pese a estar sometidos a un incidente de ciberseguridad o
ciberataque, aunque sea en un estado degradado, debilitado o segmentado;
y, también, la capacidad de restaurar con presteza sus funciones esenciales
 4

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

después de un incidente de ciberseguridad o ciberataque, por lo general con

un efecto reconocible mínimo.

13. Riesgo: Toda circunstancia o hecho razonablemente identificable que

tenga un posible efecto adverso en la seguridad de las redes o sistemas de
información. Se puede cuantificar como la probabilidad de materialización de
una amenaza que produzca un impacto negativo en éstas.

14. Sector regulado: Sector que representa alguna actividad económica

estratégica nacional, que se encuentra sometido a la supervigilancia de un
regulador o fiscalizador sectorial.

15. Servicios esenciales: Todo servicio respecto del cual la afectación,

degradación, denegación de servicio, interceptación, interrupción o
destrucción de su infraestructura de la información pueda afectar
gravemente:

a) La vida o integridad física de las personas;

b) La provisión de servicios sanitarios, energéticos o de telecomunicaciones;

c) Al normal funcionamiento de obras públicas fiscales y medios de

transporte;

d) A la generalidad de usuarios o clientes de sistemas necesarios para

operaciones financieras, bancarias, de medios de pago y/o que permitan la
transacción de dinero o valores; y

e) De modo general, el normal desarrollo y bienestar de la población.

16. Sistema informático: Todo dispositivo aislado o el conjunto de ellos,

interconectados o relacionados entre sí, incluidos sus soportes lógicos, cuya
función, o la de alguno de sus elementos, sea el tratamiento automatizado
de datos en ejecución de un programa.
 5

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

17. Vulnerabilidad: Debilidad de un activo o control que puede ser explotado

por una o más amenazas informáticas.

Artículo 3. Principios rectores. En la aplicación de las disposiciones de esta

ley se deberán observar los siguientes principios:

1. Principio de responsabilidad: aquel en cuya virtud la seguridad de las

redes, sistemas y datos es de responsabilidad de aquel que las ofrece u
opera, con independencia de la naturaleza pública o privada del organismo.

2. Principio de protección integral: se deberán determinar los riesgos

potenciales que puedan afectar a las redes o sistemas de información y
aplicar las medidas organizativas, de gestión y técnicas apropiadas para la
protección de los mismos.

3. Principio de confidencialidad de los sistemas de información: los

datos, conectividad y sistemas deberán ser exclusivamente accedidos por
personas o entidades autorizadas a tal efecto, las que se encontrarán sujetas
a las responsabilidades y obligaciones que señalen las leyes.

4. Principio de integridad de los sistemas informáticos y de la

información: los datos y elementos de configuración de un sistema sólo
podrán ser modificados por personas autorizadas en el ejercicio de sus
funciones o por sistemas que cuenten con la autorización respectiva.

5. Principio de disponibilidad de los sistemas de información: los datos,

conectividad y sistemas deben estar accesibles para su uso a demanda.

6. Principio de control de daños: los órganos del Estado y aquellas

instituciones privadas que posean infraestructura de la información calificada
como crítica, en el caso de un incidente de ciberseguridad o de un
 6

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

ciberataque, deben siempre actuar diligentemente y adoptar las medidas

necesarias para evitar la escalada del incidente de ciberseguridad o del
ciberataque y su posible propagación a otros sistemas informáticos,
notificando de igual forma el incidente de ciberseguridad al CSIRT respectivo.

7. Principio de cooperación con la autoridad: los órganos de la

Administración del Estado y los privados deberán cooperar con la autoridad
competente para resolver los incidentes de ciberseguridad, y, si es necesario,
deberán cooperar entre diversos sectores, teniendo en cuenta la
interconexión y la interdependencia de los sistemas y servicios.

8. Principio de especialidad en la sanción: en materia sancionatoria, se

preferirá la aplicación de la regulación sectorial por sobre la establecida en
esta ley.

TÍTULO II
De la determinación de Infraestructura Crítica de la Información

Párrafo 1°
Determinación de la infraestructura crítica de la información

Artículo 4. Calificación de la infraestructura de la información como

crítica. Cada dos años, el Ministerio del Interior y Seguridad Pública requerirá
al Consejo Técnico de la Agencia Nacional de Ciberseguridad un informe que
detalle cuáles son aquellos sectores o instituciones que posean
infraestructura de la información que deba ser calificada como crítica.

Para determinar si en un sector o institución existe infraestructura de la

información que deba calificarse como crítica, se deberán tener en
consideración, al menos, los siguientes factores:
 7

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

a) El impacto de una posible interrupción o mal funcionamiento de los

componentes de la infraestructura de la información, evaluando:

i. La cantidad de usuarios potencialmente afectados y su extensión

geográfica;
ii. El efecto e impacto en la operación de infraestructura y/o servicios de
sectores regulados cuya afectación es relevante para la población;
iii. La potencial afectación de la vida, integridad física o salud de las
personas; y
iv. La seguridad nacional y el ejercicio de la soberanía.

b) Capacidad del sistema informático, red o sistema de información o

infraestructura afectada, para ser sustituido o reparado en un corto tiempo.

c) Pérdidas financieras potenciales por fallas o ausencia del servicio a nivel

nacional o regional asociada al producto interno bruto (PIB).

d) Afectación relevante del funcionamiento del Estado y sus órganos.

Dentro de los ciento veinte días siguientes a la recepción del informe, el

Ministerio del Interior y Seguridad Pública, mediante la dictación de un
decreto supremo bajo la fórmula “Por orden del Presidente de la República”,
determinará aquellos sectores o instituciones que constituyen servicios
esenciales y poseen infraestructura crítica de la información. Se entenderá
que por el hecho de determinar que un sector posee infraestructura crítica de
la información, las instituciones que conformen ese sector también poseerán
infraestructura crítica de la información.

Sin perjuicio de lo dispuesto en los incisos anteriores, se entenderá que

poseen infraestructura crítica de la información todos los órganos del Estado,
incluidas las municipalidades, las entidades fiscales autónomas, las
empresas del Estado o aquellas en las que el Fisco tenga intervención por
aportes de capital.
 8

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Párrafo 2°
De las obligaciones de las instituciones que poseen infraestructura de la
información calificada como crítica

Artículo 5. Deberes generales. Será obligación de los órganos del Estado y

de las instituciones privadas que posean infraestructura de la información
calificada como crítica, aplicar permanentemente las medidas de seguridad
tecnológica, organizacionales, físicas e informativas necesarias para
prevenir, reportar y resolver incidentes de ciberseguridad y gestionar los
riesgos, así como contener y mitigar el impacto sobre la continuidad
operacional, la confidencialidad e integridad del servicio prestado, de
conformidad a lo prescrito en esta ley.

Artículo 6. Deberes específicos. Los órganos del Estado señalados en el

inciso final del artículo 4º y las instituciones privadas cuya infraestructura de
la información sea calificada como crítica, deberán:

a) Implementar un sistema de gestión de riesgo permanente con el fin de

determinar aquellos que pueden afectar la seguridad de las redes, sistemas
informáticos y datos, y cuáles afectarían la continuidad operacional del
servicio y cuáles de ellos facilitan la ocurrencia de incidentes de
ciberseguridad. Dicho sistema debe contar con la capacidad de determinar
la gravedad de las consecuencias de un incidente de ciberseguridad.

b) Mantener un registro de las acciones ejecutadas que compongan el

sistema de gestión de riesgos, de conformidad a lo que señale el reglamento.
Lo anterior incluirá el registro del cumplimiento de la normativa sobre
ciberseguridad y del conocimiento por los empleados, dependientes y
proveedores de los protocolos de ciberseguridad y la aplicación de los
 9

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

mismos, tanto durante el funcionamiento regular como en caso de haber

sufrido un incidente de ciberseguridad.

c) Elaborar e implementar planes de continuidad operacional y

ciberseguridad. Dichos planes deberán ser actualizados periódicamente, a lo
menos una vez al año.

d) Realizar continuamente operaciones de revisión, ejercicios, simulacros y

análisis de las redes, sistemas informáticos, plataformas y sistemas para
detectar acciones o programas informáticos que comprometan la
ciberseguridad y comunicar la información relativa a dichas acciones o
programas al CSIRT Sectorial respectivo o al CSIRT Nacional, según
correspondiere, en la forma que determine el reglamento.

e) Adoptar las medidas necesarias para reducir el impacto y la propagación

de un incidente de ciberseguridad, incluida la restricción de uso o el acceso
a sistemas informáticos, si fuera necesario.

f) Contar con las certificaciones de los sistemas de gestión y procesos que

determine el reglamento.

Artículo 7. Facultades normativas. Los reguladores o fiscalizadores

sectoriales podrán dictar instrucciones, circulares, órdenes, normas de
carácter general y las normas técnicas que sean necesarias para establecer
los estándares particulares de ciberseguridad respecto de sus regulados o
fiscalizados, de conformidad a la regulación sectorial respectiva, las que
deberán considerar, a lo menos, los estándares establecidos por la Agencia
Nacional de Ciberseguridad.

TÍTULO III
 10

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

De la Agencia Nacional de Ciberseguridad

Párrafo 1°
Objeto, naturaleza y atribuciones

Artículo 8. Agencia Nacional de Ciberseguridad. Créase la Agencia

Nacional de Ciberseguridad, como un servicio público funcionalmente
descentralizado, dotado de personalidad jurídica y patrimonio propios, de
carácter técnico y especializado, cuyo objeto será asesorar al Presidente de
la República en materias propias de ciberseguridad, colaborar en la
protección de los intereses nacionales en el ciberespacio, coordinar el actuar
de las instituciones con competencia en materia de ciberseguridad y regular
y fiscalizar las acciones de los órganos de la Administración del Estado y
privados que no se encuentren sometidos a la competencia de un regulador
o fiscalizador sectorial, y que posea infraestructura de la información
calificada como crítica, según los preceptos de esta ley. Se relacionará con
el Presidente de la República por intermedio del Ministerio del Interior y
Seguridad Pública.

La Agencia tendrá domicilio en la ciudad de Santiago, sin perjuicio de contar

con oficinas en otras localidades o regiones del país.

Artículo 9. Atribuciones. Para dar cumplimiento a su objeto, la Agencia

tendrá las siguientes atribuciones:

a) Asesorar al Presidente de la República, en el análisis y definiciones de la

política nacional de ciberseguridad, así como los planes y programas de
acción específicos para su ejecución y cumplimiento, así como en temas
relativos a estrategias de avance en su implementación.
 11

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

b) Dictar normas técnicas de carácter general y los estándares mínimos de

ciberseguridad e impartir instrucciones particulares para los órganos de la
Administración del Estado y para los privados cuya infraestructura de la
información sea calificada como crítica y no se encuentren sometidos a la
regulación o fiscalización de un regulador o fiscalizador sectorial, según
corresponda.

c) Proponer al Ministro del Interior y Seguridad Pública las normas legales y

reglamentarias que se requieran para asegurar el acceso libre y seguro al
ciberespacio así como aquellas que estén dentro del marco de su
competencia.

d) Coordinar a los CSIRT Sectoriales y a aquellos que pertenezcan a órganos

del Estado señalados en el inciso final del artículo 4º, a instituciones privadas
y al CSIRT Nacional, en lo relativo a los estándares y tiempos de
comunicación de incidentes de ciberseguridad o vulnerabilidades.

e) Administrar el Registro Nacional de Incidentes de Ciberseguridad.

f) Fomentar la investigación, innovación, capacitación y entrenamiento frente

a amenazas, vulnerabilidades e incidentes de ciberseguridad.

g) Requerir de los CSIRT Sectoriales y del CSIRT Nacional la información

que sea necesaria para el cumplimiento de sus fines y que sea de
responsabilidad de estas instituciones.

h) Diseñar e implementar planes y acciones de educación, formación

ciudadana, investigación, innovación, entrenamiento, fomento y difusión,
destinados a promover el desarrollo nacional de una cultura de
ciberseguridad.
 12

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

i) Suscribir convenios con órganos del Estado e instituciones privadas

destinados a facilitar la colaboración y la transferencia de información que
permita el cumplimiento de los fines de la Agencia.

j) Cooperar con organismos públicos, instituciones privadas y organismos

internacionales, en materias propias de su competencia, en coordinación con
el Ministerio de Relaciones Exteriores, cuando corresponda.

k) Prestar asesoría técnica a los órganos del Estado e instituciones privadas

cuya infraestructura de la información haya sido calificada como crítica, que
estén o se hayan visto afectados por un incidente de ciberseguridad que haya
comprometido sus activos informáticos críticos o haya afectado el
funcionamiento de su operación, cautelando siempre los deberes de reserva
de información que esta ley le impone, así como los consagrados por la ley
N° 19.628.

l) Colaborar y coordinar con organismos de Inteligencia, para enfrentar

amenazas que puedan afectar a la infraestructura crítica de información e
implementar acciones preventivas.

m) Fiscalizar y sancionar el cumplimiento de esta ley, sus reglamentos y la

normativa técnica que se dicte en conformidad con la presente ley, cuando
ello no corresponda a un regulador o fiscalizador sectorial, según
corresponda.

n) Informar a la Agencia Nacional de Inteligencia sobre riesgos e incidentes

de ciberseguridad.

o) Conjuntamente con el Ministerio de Ciencia, Tecnología, Conocimiento e

Innovación, diseñar planes y acciones que fomenten la investigación,
innovación y desarrollo de la industria de ciberseguridad local.

p) Realizar todas aquellas otras funciones que las leyes le encomienden

especialmente.
 13

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Párrafo 2°
Dirección, organización y patrimonio

Artículo 10. Dirección de la Agencia. La dirección y administración superior

de la Agencia estará a cargo de un Director Nacional, quien será el jefe
superior del Servicio, tendrá la representación legal, judicial y extrajudicial del
mismo y será designado conforme a las normas del Sistema de Alta Dirección
Pública establecidas en la ley Nº 19.882, que regula la nueva política de
personal a los funcionarios públicos que indica.

Artículo 11. Atribuciones del Director Nacional. Corresponderá

especialmente al Director Nacional:

a) Planificar, organizar, dirigir, coordinar y controlar el funcionamiento de la

Agencia;

b) Establecer oficinas regionales cuando el buen funcionamiento del Servicio

así lo exija;

c) Dictar las resoluciones y demás actos administrativos necesarios para el

buen funcionamiento de la Agencia;

d) Dictar, mediante resolución, la normativa que de acuerdo a esta ley

corresponda dictar a la Agencia;

e) Ejecutar los actos y celebrar los convenios necesarios para el

cumplimiento de los fines de la Agencia. En el ejercicio de esta facultad,
podrá libremente administrar, adquirir y enajenar bienes de cualquier
naturaleza;
 14

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

f) Delegar atribuciones o facultades específicas en funcionarios de las plantas

directiva, profesional o técnica de la Agencia, y

g) Instruir la apertura de procedimientos administrativos sancionadores,

designar a los funcionarios a cargo, determinar las sanciones e imponerlas,
respecto de los órganos de la Administración del Estado, en los términos
señalados en el artículo 32 y respecto de aquellos privados que posean
infraestructura de la información calificada como crítica, que no estén sujetos
a un regulador o fiscalizador sectorial específico.

Artículo 12. Del patrimonio de la Agencia. El patrimonio de la Agencia

estará constituido por:

a) Los recursos que anualmente le asigne la Ley de Presupuestos del Sector

Público;

b) Los recursos otorgados por leyes generales o especiales;

c) Los bienes muebles e inmuebles, corporales e incorporales, que se le

transfieran o que adquiera a cualquier título;

d) Los frutos, rentas e intereses de sus bienes y servicios.

e) Las donaciones que se le hagan, así como las herencias o legados que
acepte, lo que deberá hacer con beneficio de inventario. Dichas donaciones
y asignaciones hereditarias estarán exentas de toda clase de impuestos y de
todo gravamen o pago que les afecten. Las donaciones no requerirán del
trámite de insinuación;

f) Los aportes de la cooperación internacional que reciba a cualquier título,

en coordinación con el Ministerio de Relaciones Exteriores; y
 15

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

g) Los demás aportes que perciba en conformidad a la ley.

Artículo 13. Nombramiento de autoridades. La Agencia estará afecta al

Sistema de Alta Dirección Pública establecido en la ley Nº 19.882, que regula
la nueva política de personal a los funcionarios públicos que indica.

Artículo 14.- Del personal de la Agencia. El personal de la Agencia se

regirá por las normas del Estatuto Administrativo.

Artículo 15.- De la estructura interna de la Agencia. Un reglamento

expedido por el Ministerio del Interior y Seguridad Pública, determinará la
estructura interna del Servicio, de conformidad con lo dispuesto en la ley N°
18.575, orgánica constitucional de Bases Generales de la Administración del
Estado, cuyo texto refundido, coordinado y sistematizado que fue fijado por
el decreto con fuerza de ley N° 1, de 2000, del Ministerio Secretaría General
de la Presidencia, con sujeción a la planta y dotación máxima del personal.

Párrafo 3°
Registro Nacional de Incidentes de Ciberseguridad

Artículo 16. Del Registro Nacional de Incidentes de Ciberseguridad.

Créase el Registro Nacional de Incidentes de Ciberseguridad, el que será
administrado por la Agencia Nacional de Ciberseguridad y tendrá el carácter
de reservado, por exigirlo el debido cumplimiento de las funciones de la
Agencia, el debido resguardo de los derechos de las personas y la seguridad
de la nación. En este registro se ingresarán los datos técnicos y antecedentes
 16

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

necesarios para describir la ocurrencia de incidentes de ciberseguridad, con

su análisis y estudio. Sobre la base de este registro se podrán realizar las
respetivas investigaciones por parte de la Agencia, así como comunicar las
alertas a los CSIRT Sectoriales, a los órganos del Estado señalados en el
inciso final del artículo 4º y a las instituciones privadas que posean
infraestructura de la información calificada como crítica, que corresponda al
caso.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública

contendrá las disposiciones necesarias para regular la forma en que se
confeccionará el referido registro, la operación del mismo y toda otra norma
necesaria para su adecuado funcionamiento.

Párrafo 4°
Consejo Técnico de la Agencia Nacional de Ciberseguridad

Artículo 17. Consejo Técnico de la Agencia Nacional de Ciberseguridad.

Créase el Consejo Técnico de la Agencia Nacional de Ciberseguridad, en
adelante el “Consejo”, que tendrá como objeto asesorar y apoyar
técnicamente a la Agencia en el análisis y revisión periódica de las políticas
públicas propias de su ámbito de competencia, en el estudio de las amenazas
existentes y potenciales en el ámbito de ciberseguridad y, proponer posibles
medidas para abordarlas.

El Consejo estará integrado por el Director Nacional de la Agencia, quien lo

presidirá, y cuatro consejeros designados por el Presidente de la República,
mediante decreto supremo expedido a través del Ministerio del Interior y
Seguridad Pública, entre personas de destacada labor en el ámbito de la
ciberseguridad y/o de políticas públicas vinculadas a la materia, quienes
permanecerán en su cargo durante seis años, renovándose en pares cada
tres años, pudiendo ser reelegidos en sus cargos por una sola vez.
 17

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Los integrantes del Consejo estarán obligados a presentar una declaración

de intereses y de patrimonio, en conformidad a lo dispuesto por la ley N°
20.880, sobre probidad en la función pública y prevención de los conflictos
de intereses y estarán afectos al principio de abstención contenido en el
artículo 12 de la ley Nº19.880.

Artículo 18. Funciones del Consejo. Corresponderá al Consejo:

a) Asesorar a la Agencia en materias relacionadas con la ciberseguridad y la

protección y aseguramiento de la Infraestructura Crítica de la Información;

b) Elaborar el informe que señala el artículo 4º de esta ley, relativo a la

determinación de los sectores o instituciones que posean infraestructura de
la información que deba ser calificada como crítica;

c) Asesorar en la redacción de propuestas de normas técnicas que la Agencia

genere, y;

d) Asesorar a la Agencia en todas aquellas materias que ésta solicite.

Artículo 19. Funcionamiento del Consejo. El Consejo sólo podrá sesionar

con la asistencia de, al menos, tres de sus miembros, previa convocatoria del
Director de la Agencia. Sin perjuicio de lo anterior, el Presidente del Consejo
estará obligado a convocar a una sesión extraordinaria cuando así lo
requieran, por escrito, a lo menos tres de sus miembros. En todo caso, el
Consejo podrá autoconvocarse en situaciones urgentes o necesarias
conforme a la decisión de la mayoría de sus integrantes.

El Consejo sesionará todas las veces que sea necesario para el cumplimiento
oportuno y eficiente de sus funciones, debiendo celebrar sesiones ordinarias
 18

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

a lo menos una vez cada dos meses, con un máximo de doce sesiones
pagadas por cada año calendario, y sesiones extraordinarias cuando las cite
especialmente el Presidente del Consejo, o cuando aquéllas se citen por
medio de una autoconvocatoria del Consejo. Podrán celebrarse un máximo
de cuatro sesiones extraordinarias pagadas por cada año calendario.

Los acuerdos del Consejo se adoptarán por la mayoría absoluta de los

consejeros presentes. El Presidente del Consejo tendrá voto dirimente en
caso de empate. De los acuerdos que adopte el Consejo deberá dejarse
constancia en el acta de la sesión respectiva. Podrán declararse secretas las
actas en que, de conformidad a la ley, se traten materias que afectaren el
debido cumplimiento de las funciones de la Agencia, la seguridad de la
Nación o el interés nacional.

Cada uno de los integrantes del Consejo, con excepción de su Presidente,

percibirá una dieta de quince unidades de fomento por cada sesión a la que
asista, con un tope máximo de doce sesiones por año calendario. Esta dieta
será compatible con otros ingresos que perciba el consejero.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública

determinará las demás normas necesarias para el correcto funcionamiento
del Consejo.

Artículo 20. Incompatibilidades de los miembros del Consejo. No podrán

ser designados consejeros las personas que desempeñen empleos o
comisiones retribuidos con fondos del Fisco, de las municipalidades, de las
entidades fiscales autónomas, semifiscales, de las empresas del Estado o en
las que el Fisco tenga aportes de capital, y con toda otra función o comisión
de la misma naturaleza. Exceptúese a los empleos docentes y las funciones
o comisiones de igual carácter de la enseñanza superior, media o especial.
 19

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Artículo 21. De las causales de cesación. Serán causales de cesación en

el cargo de consejero las siguientes:

a) Expiración del plazo por el que fue designado.

b) Renuncia voluntaria aceptada por la autoridad que realizó la designación.

c) Incapacidad física o síquica para el desempeño del cargo.

d) Fallecimiento.

e) Sobreviniencia de alguna causal de incompatibilidad de las contempladas

en el artículo 19.

f) Haber sido condenado por delitos que merezcan pena aflictiva por
sentencia firme o ejecutoriada.

g) Falta grave al cumplimiento de las obligaciones como consejero. Para

estos efectos, se considerará falta grave:

i. Inasistencia injustificada a dos sesiones consecutivas.

ii. No guardar la debida reserva respecto de la información recibida en el

ejercicio de su cargo que no haya sido divulgada oficialmente.

El consejero respecto del cual se verificare alguna de las causales de

cesación referidas anteriormente deberá comunicar de inmediato dicha
circunstancia al Consejo. Respecto de la causal de la letra f), la concurrencia
de dichas circunstancias facultará al Presidente de la República para decretar
la remoción. Con todo, tratándose del ordinal ii) de dicho literal, será
necesario, para cursar la remoción, la presentación de la respectiva querella
por el delito de violación de secretos contemplado en los artículos 246, 247 y
247 bis del Código Penal.
 20

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Tan pronto como el Consejo tome conocimiento de que una causal de

cesación afecta a un consejero, el referido consejero cesará
automáticamente en su cargo.

Si quedare vacante el cargo de consejero deberá procederse al

nombramiento de uno nuevo de conformidad con el procedimiento
establecido en esta ley. El consejero nombrado en reemplazo durará en el
cargo sólo por el tiempo que falte para completar el período del consejero
reemplazado.

Párrafo 5°
Equipo Nacional de Respuesta a Incidentes de Seguridad Informática

Artículo 22. Equipo Nacional de Respuesta a Incidentes de Seguridad

Informática. Créase dentro de la Agencia Nacional de Ciberseguridad el
Equipo Nacional de Respuesta ante Incidentes de Seguridad Informática, en
adelante “CSIRT Nacional”, el que tendrá las siguientes funciones:

a) Responder ante incidentes de ciberseguridad o ciberataque que vulneren

o pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios
y equipos físicos y de tecnología de la información relativos a instituciones
privadas no sometidas a la supervigilancia de un regulador o fiscalizador
sectorial y que posean infraestructura de la información calificada como
crítica, de conformidad a lo prescrito en esta ley.

b) Coordinar a los CSIRT Sectoriales frente a ataques, vulnerabilidades,

incidentes y brechas de ciberseguridad.

c) Servir de punto de enlace con Equipos de Respuesta a Incidentes de

Seguridad Informática extranjeros o sus equivalentes, para el intercambio de
 21

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

información de ciberseguridad, siempre dentro del marco de sus

competencias.

d) Prestar colaboración o asesoría técnica a los CSIRT Sectoriales en la

implementación de políticas y acciones relativas a ciberseguridad.

e) Ofrecer soporte a los CSIRT Sectoriales para asegurar la resiliencia de

estos en caso de fallas operacionales graves, incidentes de ciberseguridad o
ciberataques.

f) Consolidar y tratar los datos técnicos y antecedentes que describen la

ocurrencia de incidentes de ciberseguridad, ciberataques, vulnerabilidades y
demás información para efectos de la alimentación del registro previsto en
los términos del artículo 16.

g) Realizar entrenamiento, educación y capacitación en materia de

ciberseguridad, con la finalidad de procurar que los órganos del Estado e
instituciones privadas que posean infraestructura de la información calificada
como crítica cuenten con las competencias adecuadas para dar respuesta a
incidentes de ciberseguridad o ciberataques.

h) Requerir a los CSIRT Sectoriales, dentro del ámbito de su competencia,

información anonimizada de incidentes de ciberseguridad y vulnerabilidades
encontradas y los planes de acción respectivos para mitigarlos.

i) Responder, conjuntamente con uno o más CSIRT Sectoriales, en la gestión

de un incidente de ciberseguridad o de un ciberataque, dependiendo de las
capacidades y competencias de los órganos del Estado que concurren a su
gestión, cuando estos puedan ocasionar un impacto significativo en el sector,
institución u órgano del Estado, según corresponda. En estos casos, el
CSIRT Nacional podrá recomendar, colaborar, compartir información,
coordinar y realizar todas las acciones conjuntas necesarias para asegurar
una respuesta rápida frente al incidente. Además, podrá supervisar la
 22

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

implementación de medidas de mitigación de corto plazo, e informarse de las

medidas de largo plazo adoptadas.

j) Generar y difundir información mediante campañas públicas y prestar

asesoría técnica general a personas naturales o jurídicas, que no se
encuentran reguladas por esta ley, que estén o se hayan visto afectadas por
un incidente de ciberseguridad que haya comprometido sus activos
informáticos críticos o hayan afectado el funcionamiento de su operación.

k) Crear y administrar para el cumplimiento de sus funciones una red

electrónica de comunicaciones segura destinada a comunicar y compartir
información con los otros CSIRT Sectoriales, de Gobierno y Defensa. El
funcionamiento de la red de comunicaciones se establecerá en el reglamento
de la presente ley.

TÍTULO IV
De los equipos de respuesta a incidentes de seguridad informática
sectoriales

Artículo 23. CSIRT Sectoriales. Los reguladores o fiscalizadores sectoriales

podrán constituir Equipos de Respuesta a Incidentes de Seguridad
Informática Sectoriales, en adelante CSIRT Sectoriales, los que tendrán por
finalidad dar respuesta a vulnerabilidades e incidentes de ciberseguridad que
pongan en riesgo las instalaciones, redes, sistemas, plataformas, servicios y
equipos físicos y de tecnología de la información de sus respectivos sectores
regulados.

Un reglamento expedido por el Ministerio del Interior y Seguridad Pública

establecerá las instancias de coordinación entre la Agencia Nacional de
 23

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Ciberseguridad, los reguladores y fiscalizadores sectoriales, así como de sus

respectivos CSIRT, dentro del marco que fija esta ley.

Artículo 24. Funciones de los CSIRT Sectoriales. Corresponderá a los

CSIRT Sectoriales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en

riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos
físicos y de tecnología de la información que afecten a los órganos de la
Administración de Estado y de las instituciones privadas de su sector.

b) Coordinar a los equipos CSIRT, o sus equivalentes, de los órganos del

Estado y de las instituciones privadas de su sector frente a ataques,
vulnerabilidades, incidentes y brechas de ciberseguridad.

c) Prestar colaboración o asesoría técnica en la implementación de políticas

y acciones relativas a ciberseguridad a los CSIRT de las instituciones
reguladas.

d) Ofrecer soporte a los CSIRT de las instituciones reguladas para asegurar

la resiliencia de estos en caso de fallas operacionales graves, incidentes de
ciberseguridad o ciberataques.

e) Realizar entrenamiento, educación y capacitación en materia de

ciberseguridad, con la finalidad de procurar que los órganos de la
Administración de Estado de su sector y de las instituciones reguladas
cuenten con las competencias adecuadas para dar respuesta a incidentes de
ciberseguridad o ciberataques.

f) Requerir a los CSIRT de sus instituciones reguladas, dentro del ámbito de

su competencia, información anonimizada de incidentes de ciberseguridad y
vulnerabilidades encontradas.
 24

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

g) Generar y difundir información mediante campañas públicas dentro de su

sector.

h) Trabajar conjuntamente con el CSIRT Nacional y con otros sectoriales,

cuando corresponda, en la gestión de un incidente de ciberseguridad en los
casos y forma previstas en el literal i) del artículo 20 de esta ley.

i) Informar al CSIRT Nacional, de vulnerabilidades, incidentes de

ciberseguridad y ciberataques detectados o reportados en su sector, junto a
sus respectivos cursos o planes de acción para subsanarlos.

j) Prestar asesoría técnica a los órganos de la Administración de Estado de

su sector y a sus instituciones reguladas, que estén o se hayan visto
afectadas por un incidente de ciberseguridad que haya comprometido sus
activos informáticos críticos o hayan afectado el funcionamiento de su
operación.

k) Difundir las alertas preventivas e informaciones de ciberseguridad

emanadas por el CSIRT Nacional a los órganos de la Administración de
Estado de su sector y a sus instituciones reguladas.

Artículo 25. Deber general de informar. La Agencia informará a cada

CSIRT Sectorial los reportes o alarmas de incidentes de ciberseguridad,
vulnerabilidades existentes, conocidas o detectadas, y los planes de
acciones sugeridos para subsanar dichas brechas de ciberseguridad.

Cada CSIRT Sectorial informará a los órganos de la Administración de

Estado y a las instituciones privadas de su sector que posean infraestructura
de la información calificada como crítica sobre vulnerabilidades existentes o
detectadas en ella, y elaborará recomendaciones para subsanar dichas
brechas de ciberseguridad.
 25

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Cada CSIRT Sectorial deberá informar a su sector regulado de manera

anonimizada de los reportes de incidentes de ciberseguridad,
vulnerabilidades existentes, conocidas o detectadas y de los cursos de
acción tomada en cada caso.

Toda institución que posea infraestructura de la información calificada como

crítica tiene la obligación de informar a su respectivo CSIRT los reportes de
incidentes de ciberseguridad e informar respecto del plan de acción que
adoptó frente a esta en un plazo no superior a 24 horas, prorrogable, por una
sola vez por el mismo plazo, contado desde que se tuvo conocimiento de su
ocurrencia. Lo anterior se entiende sin perjuicio de la facultad del regulador
de solicitar el cumplimento de esta obligación en un plazo menor si lo
considera necesario.

Artículo 26. Deber especial de información a la Agencia. Los CSIRT

Sectoriales deberán informar a la Agencia, a más tardar una hora después
de haber verificado la existencia de un incidente de ciberseguridad, cuando
éste ha tenido un impacto significativo en la seguridad del sistema informático
de una institución que posee infraestructura de la información calificada como
crítica o en la continuidad de un servicio esencial.

Se considera que un incidente de ciberseguridad tiene impacto significativo

si cumple al menos una de las siguientes condiciones:

a) Afecta a una gran cantidad de usuarios.

b) La interrupción o mal funcionamiento es de larga duración.

c) Afecta a una extensión geográfica considerable.

d) Afecta sistemas de información que contengan datos personales.

 26

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

e) Afecta la integridad física, la salud, o la vida cotidiana de las personas, de

manera significativa.

Corresponderá calificar el impacto significativo a los reguladores o

fiscalizadores sectoriales o a la Agencia, según corresponda.

La obligación de tomar las providencias necesarias para apoyar en el

restablecimiento del servicio afectado no deja sin efectos el deber de los
CSIRT Sectoriales de notificar a la Agencia de la ocurrencia de un incidente
de ciberseguridad en el plazo indicado en el inciso primero.

Deberán omitirse en los reportes de incidentes de ciberseguridad todo dato

o información personal, conforme a lo dispuesto en el artículo 2 letra f) de la
ley N°19.628 sobre Protección de la Vida Privada. Para efectos de lo
dispuesto en este inciso, no se considerará que la dirección IP sea un dato o
información personal.

El procedimiento específico para notificar un incidente de ciberseguridad, la

forma, así como las condiciones de anonimato, la taxonomía del informe y la
periodicidad serán establecidos en el reglamento de la presente ley.

TÍTULO V
De los CSIRT del sector público

Artículo 27. Equipo de Respuesta ante Incidentes de Seguridad

Informática del Sector Gobierno. Créase en la Agencia el Equipo de
Respuesta a Incidentes de Seguridad Informática de Gobierno, en adelante
CSIRT de Gobierno. El CSIRT de Gobierno para todos los efectos, se
clasificará como un CSIRT sectorial, responsable de la prevención,
contención, protección, detección, recuperación de los sistemas y respuesta,
asociados a instalaciones, redes, sistemas, plataformas, servicios y equipos
 27

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

físicos y de tecnología de la información del Estado. Tendrá las siguientes

funciones principales:

a) Responder ante incidentes de ciberseguridad que vulneren o pongan en

riesgo las instalaciones, redes, sistemas, plataformas, servicios y equipos
físicos y de tecnología de la información que afecten a los órganos de la
Administración del Estado.

b) Asegurar la implementación de los protocolos y estándares mínimos de

ciberseguridad establecidos por la Agencia, en los órganos de la
Administración de Estado.

c) Gestionar los ciberataques, incidentes, y vulnerabilidades detectadas,

informando estas situaciones al CSIRT Nacional de acuerdo a las normas
que se establezcan para tal efecto.

d) Difundir las alertas preventivas e informaciones de ciberseguridad

emanadas por el CSIRT Nacional a los órganos de la Administración de
Estado.

Artículo 28. Centro Coordinador del Equipo de Respuesta ante

Incidentes de Seguridad Informáticos del Sector Defensa. Créase el
Centro Coordinador del Equipo de Respuesta ante Incidentes Informáticos
del Sector Defensa (CCCD o CSIRT Sectorial de Defensa), dependiente del
Ministerio de Defensa Nacional, como el organismo dependiente del
Comando Conjunto de Ciberdefensa, perteneciente al Estado Mayor
Conjunto del Ministerio de Defensa Nacional, responsable de la coordinación
y protección de la infraestructura de la información calificada como crítica, a
su vez de los recursos digitales del sector Defensa, además de cumplir
aquellas tareas que le sean encomendadas, con el propósito de resguardar
la Seguridad Nacional.
 28

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Para efectos presupuestarios, dependerá del Ministerio de Defensa Nacional

y, en lo que le sea aplicable, se regirá por la presente ley y por la
reglamentación que dicte al efecto el Ministerio de Defensa.

Sus funciones principales serán las siguientes:

a) Responsable de la coordinación y enlace entre los diferentes CSIRT del

sector Defensa (Ejército, Armada, Fuerza Aérea, Estado Mayor Conjunto,
Subsecretaría de Defensa, Subsecretaría para las Fuerzas Armadas y otros
órganos dependientes de dicho sector), con el objeto de asegurar la
protección y defensa de los riesgos y amenazas presentes en el
ciberespacio, que permitan preservar la confidencialidad, integridad y
disponibilidad de la infraestructura de la información calificada como crítica
del sector Defensa.

b) Asumir el rol de coordinador y enlace entre la Agencia y su CSIRT Nacional

con el CSIRT Sectorial de Defensa, asegurando la cooperación, colaboración
e intercambio de información pertinente que fortalezca la ciberseguridad.

c) Establecer los protocolos y estándares mínimos de ciberseguridad, tanto

para la prevención, contención, protección, recuperación de los sistemas y
respuesta dependientes de las Fuerzas Armadas y Estado Mayor Conjunto,
considerando los lineamientos establecidos por la Agencia.

TÍTULO VI
De la reserva de información en el sector público en materia de
ciberseguridad

Artículo 29. De la reserva de información. Se considerarán secretos y de

circulación restringida, para todos los efectos legales, los antecedentes,
 29

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

datos, informaciones y registros que obren en poder de los CSIRT, sean el

CSIRT Nacional, de Gobierno, Defensa o los CSIRT Sectoriales, o de su
personal, cualquiera que sea su cargo o la naturaleza de su vinculación
jurídica con éstos. Asimismo, tendrán dicho carácter aquellos otros
antecedentes respecto de los cuales el personal de tales órganos de la
Administración del Estado tome conocimiento en el desempeño de sus
funciones o con ocasión de éstas.

Los estudios e informes que elabore la Agencia podrán eximirse de dicho

carácter con la autorización su Director Nacional, en las condiciones que éste
indique.

Los funcionarios de CSIRT, sean del CSIRT Nacional, de Gobierno, Defensa

o de los CSIRT Sectoriales, que hubieren tomado conocimiento de los
antecedentes a que se refiere el inciso primero, estarán obligados a mantener
el carácter secreto de su existencia y contenido aun después del término de
sus funciones en los respectivos servicios.

De igual forma, será considerada secreta o reservada la información

contenida en los sistemas de gestión de riesgos y los registros previstos en
el artículo 6º, entendiéndose para todo efecto que su divulgación,
comunicación o conocimiento afectarán la seguridad de la Nación o el interés
nacional.

Adicionalmente, serán considerada como información secreta o reservada, la

siguiente:

i. Las matrices de riesgos de ciberseguridad;

ii. Los planes de continuidad operacional y planes ante desastres;

iii. Los planes de acción y mitigación de riesgos de ciberseguridad y,

v. Los reportes de incidentes de ciberseguridad.

 30

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Artículo 30. Extensión de la obligación de reserva. La obligación de

guardar secreto regirá, además, para aquellos que, sin ser funcionarios de la
Agencia, tomaren conocimiento de las solicitudes para la ejecución de
procedimientos especiales de obtención de información, de los antecedentes
que las justifiquen y de las resoluciones judiciales que se dicten al efecto.

Artículo 31. Deber de reserva de la Agencia. La Agencia cautelará

especialmente la reserva de los secretos o información comercial sensible
que llegare a conocer en el desempeño de su labor, como también el respeto
a los derechos fundamentales de las personas, particularmente el respeto y
resguardo del derecho a la vida privada y el derecho a la protección de datos
personales.

Artículo 32. Sanciones. La infracción a las obligaciones dispuestas en el

presente título, serán sancionadas en la forma prevista en los artículos 246,
247 o 247 bis, todos del Código Penal, según corresponda. Lo anterior es sin
perjuicio de la responsabilidad administrativa que procediere.

TÍTULO VII
De las infracciones y sanciones

Artículo 33. De las infracciones. Serán consideradas infracciones para

efectos de esta ley:
 31

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

a) Retardar o entregar fuera del plazo señalado la información a la autoridad

u órgano de la Administración del Estado habilitado para requerirla;

b) Negar injustificadamente información a la autoridad u órgano de la

Administración del Estado habilitado para requerirla;

c) Entregar maliciosamente información falsa o manifiestamente errónea, e;

d) Incumplir los deberes previstos en el párrafo 2° del Título II.

Podrán imponerse, a beneficio fiscal, multas entre 10 y 20.000 Unidades

Tributarias Mensuales, de conformidad a la gravedad de la infracción. Para
determinar la cuantía de la multa, se entenderá por:

a) Faltas gravísimas: aquellas señaladas en los literales b) y c) del inciso

precedente. En este caso, la multa será de hasta a 20.000 Unidades
Tributarias Mensuales.

b) Faltas graves: aquellas señaladas en el literal a) del inciso precedente. En

este caso, la multa será de hasta 10.000 Unidades Tributarias Mensuales.

c) Faltas leves: aquellas obligaciones señaladas en esta ley cuyo

incumplimiento negligente o injustificado no tenga señalada una sanción
especial, caso en el que la multa será de 10 a 5.000 Unidades Tributarias
Mensuales.

La multa será fijada teniendo en consideración si el infractor adoptó las

medidas necesarias para resguardar la seguridad informática de las
operaciones, la probabilidad de ocurrencia del riesgo, la gravedad de los
efectos de los ataques, la reiteración en la infracción dentro del plazo de tres
años y la capacidad económica del infractor.
 32

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Cuando cualquiera de las conductas constitutivas de infracción descritas en

la presente ley posea una sanción mayor en una ley especial que rige a un
sector regulado, se preferirá a aquella por sobre ésta.

Las infracciones cometidas por funcionarios de la Administración del Estado

o de los órganos del Estado se regirán por su respectivo estatuto
sancionatorio.

Artículo 34. Procedimiento. Las sanciones que se cursen con motivo de las
infracciones contempladas en el artículo precedente, serán impuestas por
resolución del Director de la Agencia, de conformidad a lo dispuesto en esta
ley.

El procedimiento sancionatorio deberá fundarse en un procedimiento racional

y justo, que será establecido en un reglamento dictado por el Ministerio del
Interior y Seguridad Pública y deberá, al menos, establecer:

a) El procedimiento para designar al funcionario de la Agencia que llevará

adelante el procedimiento;

b) El contenido de la formulación de cargos, la cual deberá señalar

circunstanciadamente los hechos constitutivos de infracción, las normas
legales que fueron infringidas y la gravedad de la infracción;

c) El plazo para formular descargos, el cual no podrá ser inferior a 15 días

hábiles;

d) Un periodo para rendir y observar la prueba, el cual no podrá ser inferior a

10 días hábiles, pudiendo aportar las partes los medios de prueba que
estimen pertinentes;
 33

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

e) La forma y contenido de la resolución que absuelve o condena, la cual

deberá contener la exposición de los hechos, el razonamiento que permite
arribar a la resolución y la decisión que acoge o desecha los cargos
formulados.

Tratándose de sectores regulados, las sanciones serán impuestas por los

reguladores o fiscalizadores sectoriales y el procedimiento corresponderá al
determinado por la normativa sectorial respectiva.

Artículo 35. Agravante especial. Si como consecuencia de la perpetración

de un delito resultare la destrucción, inutilización o alteración grave del
funcionamiento de infraestructura crítica de la información, se impondrá la
pena que corresponda, aumentada en un grado.

Lo mismo se observará cuando el delito consistiere en la alteración o

supresión de los datos soportados por infraestructura de la información
calificada como crítica o en la obstaculización del acceso o la alteración
perjudicial del funcionamiento de un sistema informático que formare parte
de la Infraestructura Crítica de la Información.

TÍTULO VIII
Del Comité Interministerial de Ciberseguridad

Artículo 36. Comité Interministerial de Ciberseguridad. Créase el Comité

Interministerial de Ciberseguridad, en adelante el Comité, cuya función será
asesorar al Ministro del Interior y Seguridad Pública en materias de
ciberseguridad relevantes para el funcionamiento de los órganos de la
Administración del Estado y de servicios esenciales.
 34

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Artículo 37. De los integrantes del Comité. El Comité será presidido por el
Subsecretario del Interior y estará integrado por los siguientes miembros
permanentes:

a) Por el Subsecretario de Defensa o quien éste designe;

b) Por el Subsecretario de Relaciones Exteriores o quien éste designe;

c) Por el Subsecretario de Justicia o quien éste designe;

d) Por el Subsecretario General de la Presidencia o quien éste designe;

e) Por el Subsecretario de Telecomunicaciones o quien éste designe;

f) Por el Subsecretario de Economía y Empresas de Menor Tamaño o quien

éste designe;

g) Por el Subsecretario de Hacienda o quien éste designe;

h) Por el Subsecretario de Minería o quien éste designe;

i) Por el Subsecretario de Energía o quien éste designe;

j) Por el Subsecretario de Ciencia, Tecnología, Conocimiento e Innovación o

quien éste designe;

k) Por el Director Nacional de la Agencia Nacional de Inteligencia;

l) Por el Director Nacional de la Agencia Nacional de Ciberseguridad;

m) Por un representante de la Subsecretaría del Interior, experto en materias

de ciberseguridad.
 35

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Con todo, el Comité podrá invitar a participar de sus sesiones a funcionarios

de la Administración del Estado u otras autoridades públicas, así como a
representantes de entidades internacionales, públicas o privadas,
académicas y de agrupaciones de la sociedad civil o del sector privado.

Artículo 38. De la secretaría ejecutiva. El Comité contará con una

Secretaría Ejecutiva radicada en la Agencia, la que prestará el apoyo técnico,
administrativo y de contenidos para el desarrollo de las reuniones del Comité.

El Director Nacional de la Agencia dirigirá la Secretaría Ejecutiva y le

corresponderá, entre otras funciones, despachar las convocatorias, según le
instruya el Subsecretario del Interior; coordinar y registrar las sesiones del
Comité e implementar los acuerdos que se adopten.

Artículo 39. De la información reservada. Constituido el Comité en sesión

secreta, los funcionarios que estén en conocimiento de información
reservada que sea atingente a los fines del Comité, podrán compartirla para
su análisis y no se podrá levantar acta mientras se encuentre en tal condición.

La revelación de la información será sancionada de conformidad al delito de

violación de secretos contemplado en los artículos 246, 247 y 247 bis del
Código Penal.

Artículo 40. Del reglamento. Un reglamento expedido por el Ministerio del

Interior y Seguridad Pública fijará las normas de funcionamiento del Comité.
 36

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

TÍTULO IX
De las modificaciones a otros cuerpos legales

LEY N° 20.424, ESTATUTO ORGÁNICO DEL MINISTERIO DE DEFENSA Artículo 41. Incorpórase al siguiente literal k), nuevo, en el artículo 25 de la
NACIONAL ley Nº 20.424, Estatuto Orgánico del Ministerio de Defensa Nacional:

TÍTULO III

DEL ESTADO MAYOR CONJUNTO

DE SU FUNCIONAMIENTO Y ORGANIZACIÓN
(artículos 25 a 28)

Artículo 25.- El Estado Mayor Conjunto es el organismo de trabajo y asesoría

permanente del Ministro de Defensa Nacional en materias que tengan relación
con la preparación y empleo conjunto de las Fuerzas Armadas.

Al Estado Mayor Conjunto le corresponderán las siguientes funciones:

a) Servir de órgano de asesoría y trabajo en la conducción estratégica para

enfrentar las situaciones que puedan demandar los estados de excepción
constitucional y, en particular, los casos de guerra externa o crisis internacional
que afecte a la seguridad exterior de la República.

b) Elaborar y mantener actualizada la planificación secundaria.

c) Proponer al Ministro el texto de los informes al Congreso Nacional sobre las

políticas y planes de la defensa nacional, en aquellas materias que sean de su
competencia. Le corresponderá especialmente, y en coordinación con la
Subsecretaría para las Fuerzas Armadas, proponer el texto de los informes al
Congreso Nacional relativos a la planificación de desarrollo de la fuerza y sobre
el estado de avance de su ejecución.

d) Asegurar la correspondencia, en materia de desarrollo y empleo de la fuerza,

entre la planificación secundaria y la planificación institucional y operativa.
 37

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

e) Proponer al Ministro la doctrina y reglamentación conjunta y asegurar que la

documentación institucional respectiva corresponda con aquéllas.

f) Planificar, preparar, disponer y apoyar el entrenamiento conjunto de las

Fuerzas Armadas.

g) Servir de órgano de asesoría y trabajo para la planificación y coordinación de

las actividades de los medios chilenos que participen en misiones de paz.

h) Participar en la evaluación de los proyectos de adquisición e inversión de las

Fuerzas Armadas.

i) Elaborar y proponer al Ministro los proyectos de adquisición e inversión

conjuntos.

j) Proveer de inteligencia a la Subsecretaría de Defensa para efectos de la

planificación primaria. Para todos los efectos de la ley Nº 19.974, se entenderá
que la Dirección de Inteligencia de la Defensa, dependiente del Estado Mayor
de la Defensa Nacional, mantendrá dicha condición y denominación en la
estructura para el Estado Mayor Conjunto fijada en esta ley.

(_)
“k) Conducir el Centro Coordinador CSIRT del Sector Defensa en
coordinación con la Subsecretaría de Defensa.”.

TÍTULO X
Disposiciones transitorias
 38

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

Artículo Primero Transitorio.- Facúltase al Presidente de la República para

que en el plazo de un año de publicada en el Diario Oficial la presente ley,
establezca mediante uno o más decretos con fuerza de ley, expedidos por
intermedio del Ministerio del Interior y Seguridad Pública, los que también
deberán ser suscritos por el Ministro de Hacienda, las normas necesarias
para regular las siguientes materias:

[Link] la planta de personal de la Agencia Nacional de Ciberseguridad.

En el ejercicio de esta facultad, el Presidente de la República deberá dictar

todas las normas necesarias para la adecuada estructuración y operación de
la planta de personal que fije, así como el número de cargos para cada planta,
los requisitos específicos para el ingreso y promoción de dichos cargos, sus
denominaciones y niveles jerárquicos para efectos de la aplicación de lo
dispuesto en el Título VI de la ley Nº 19.882, que regula la nueva política de
personal a los funcionarios públicos que indica, y en el artículo 8º del decreto
con fuerza de ley Nº 29, de 2004, del Ministerio de Hacienda. Igualmente,
fijará su sistema de remuneraciones y las normas necesarias para la fijación
de las remuneraciones variables, en su aplicación transitoria.

Además, podrá establecer las normas para el encasillamiento del personal

en la planta que fije, las que podrá incluir a los funcionarios que se traspasen
desde la Subsecretaría del Interior a la Agencia Nacional de Ciberseguridad.

2. Determinar la fecha para la entrada en vigencia de las plantas que fije, del
traspaso y del encasillamiento que se practique. Además, fijará la fecha en
que la Agencia entrará en funcionamiento, pudiendo contemplar un período
para su implementación.

3. Determinar la dotación máxima de personal de la Agencia Nacional de

Ciberseguridad, a cuyo respecto no regirá la limitación establecida en el
inciso segundo del artículo 10 de la ley Nº 18.834.
 39

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

4. Disponer, sin solución de continuidad, el traspaso de los funcionarios

titulares de planta y a contrata, desde la Subsecretaría del Interior.

En el respectivo decreto con fuerza de ley que fije la planta de personal, se

determinará la forma en que se realizará el traspaso y el número de
funcionarios que serán traspasados por estamento y calidad jurídica,
pudiéndose establecer, además, el plazo en que se llevará a cabo este
proceso, quienes mantendrán, al menos, el mismo grado que tenía a la fecha
del traspaso. A contar de la fecha del traspaso, el cargo del que era titular el
funcionario traspasado se entenderá suprimido de pleno derecho en la planta
de la institución de origen. Del mismo modo, la dotación máxima de personal
se disminuirá en el número de funcionarios traspasados.

La individualización del personal traspasado se realizará a través de decretos

expedidos bajo la fórmula "Por orden del Presidente de la República", por
intermedio del Ministerio del Interior y Seguridad Pública. Conjuntamente con
el traspaso del personal, se traspasarán los recursos presupuestarios que se
liberen por este hecho.

5. Los requisitos para el desempeño de los cargos que se establezcan en el

ejercicio de la facultad prevista en este artículo no serán exigibles para
efectos del encasillamiento respecto de los funcionarios titulares y a contrata
en servicio a la fecha de entrada en vigencia del o de los respectivos decretos
con fuerza de ley. Asimismo, a los funcionarios o funcionarias a contrata en
servicio a la fecha de entrada en vigencia del o de los respectivos decretos
con fuerza de ley, y a aquellos cuyos contratos se prorroguen en las mismas
condiciones, no les serán exigibles los requisitos que se establezcan en los
decretos con fuerza de ley correspondientes.

El uso de las facultades señaladas en este artículo quedará sujeto a las

siguientes restricciones, respecto del personal al que afecte:
 40

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

a) No podrá tener como consecuencia ni podrán ser considerados como

causal de término de servicios, supresión de cargos, cese de funciones o
término de la relación laboral del personal traspasado.

b) No podrá significar pérdida del empleo, disminución de remuneraciones

respecto del personal titular de un cargo de planta, modificación de los
derechos estatutarios y previsionales del personal traspasado. Tampoco
importará cambio de la residencia habitual de los funcionarios fuera de la
Región en que estén prestando servicios, a menos que se lleve a cabo con
su consentimiento.

c) Respecto del personal que en el momento del encasillamiento sea titular

de un cargo de planta, cualquier diferencia de remuneraciones se pagará
mediante una planilla suplementaria, la que se absorberá por los futuros
mejoramientos de remuneraciones que correspondan a los funcionarios,
excepto los derivados de reajustes generales que se otorguen a los
trabajadores del sector público. Dicha planilla mantendrá la misma
imponibilidad que aquella de las remuneraciones que compensa. Además, a
la planilla suplementaria se le aplicará el reajuste general antes indicado.

d) Los funcionarios traspasados conservarán la asignación de antigüedad

que tengan reconocida, así como también el tiempo computable para dicho
reconocimiento.

[Link]á disponer el traspaso, en lo que corresponda, de los bienes que

determine, desde la Subsecretaría del Interior a la Agencia Nacional de
Ciberseguridad.

Artículo Segundo Transitorio.- El Presidente de la República, sin sujetarse

a lo dispuesto en el título VI de la ley Nº 19.882, podrá nombrar, a partir de la
publicación de la presente ley, al primer Director de la Agencia Nacional de
Ciberseguridad, quien asumirá de inmediato, por el plazo máximo de un año
 41

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

y en tanto se efectúa el proceso de selección pertinente que establece la

señalada ley para los cargos del Sistema de Alta Dirección Pública. En el
acto de nombramiento, el Presidente de la República fijará el grado de la
escala única de sueldos y la asignación de alta dirección pública que le
corresponderá al Director, siempre que no se encuentre vigente la respectiva
planta de personal. La remuneración del primer Director se financiará con
cargo al presupuesto de la Subsecretaría del Interior, incrementándose para
ese solo efecto en un cargo su dotación máxima de personal, siempre que
no se encuentre vigente la respectiva planta de personal.

Artículo Tercero Transitorio.- El Presidente de la República, por decreto

supremo expedido por intermedio del Ministerio de Hacienda, conformará el
primer presupuesto de la Agencia Nacional de Ciberseguridad y podrá
modificar el presupuesto del Ministerio del Interior y Seguridad Pública. Para
los efectos anteriores podrá crear, suprimir o modificar las partidas, capítulos,
programas, ítems, asignaciones y glosas presupuestarias que sean
pertinentes.

Artículo Cuarto Transitorio.- Dentro del plazo de ciento ochenta días

posteriores a la publicación de la ley, el Ministerio del Interior y Seguridad
Pública deberá expedir los reglamentos señalados en esta ley.

Artículo Quinto Transitorio.- En el tiempo intermedio en que los ministerios,

subsecretarías, superintendencias y demás órganos de la Administración del
Estado reguladores o fiscalizadores vinculados directamente con sectores
regulados no cuenten con CSIRT Sectoriales operativos, o se encuentren en
la etapa de creación de éstos, de conformidad a lo dispuesto en el artículo
 42

TEXTO LEGAL VIGENTE TEXTO APROBADO EN GENERAL POR LAS COMISIONES DE

DEFENSA NACIONAL Y SEGURIDAD PÚBLICA

22, el CSIRT Nacional tendrá, para todos los efectos legales, la calidad de
CSIRT Sectorial correspondiente, con todas sus atribuciones y facultades.

Artículo Sexto Transitorio.- Para los efectos de la renovación parcial de los

miembros del Consejo Técnico de la Agencia a que se refiere el inciso
segundo del artículo 17, sus miembros durarán en sus cargos el número de
años que a continuación se indica, sin perjuicio de que podrán ser designados
por un nuevo período:

a) Dos consejeros durarán en sus cargos por un plazo de dos tres años;

b) Dos consejeros durarán en sus cargos por un plazo de seis años.

Artículo Séptimo Transitorio.- El mayor gasto fiscal que represente la

aplicación de la presente ley durante su primer año presupuestario de
vigencia se financiará con cargo al presupuesto el Ministerio del Interior y
Seguridad Pública. No obstante lo anterior, el Ministerio de Hacienda con
cargo a la partida presupuestaria Tesoro Público podrá suplementar dicho
presupuesto en la parte del gasto que no pudiere financiar con esos recursos.
Para los años siguientes, se financiará de acuerdo con lo determinen las
respectivas leyes de Presupuestos del Sector Público.”.