Desde el 1 de marzo de 2025 es obligatorio para todas instituciones públicas y privadas que prestan servicios esenciales, reportar al CSIRT Nacional los ciberataques o incidentes que puedan tener efectos significativos, conforme dispone la Ley N° 21.663.

¿Qué se entiende por efecto significativo?

Se considerará que un incidente de ciberseguridad tiene efecto significativo si es capaz de producir alguno de los siguientes efectos:

– Interrumpir la continuidad de un servicio esencial. En dicho caso deberá considerarse, tanto los servicios entregados por proveedores, como la cadena de suministro, de una institución que preste servicios esenciales o de un operador de importancia vital.

– Afectar la integridad física o la salud de las personas.

– Afectar la integridad o confidencialidad de activos informáticos, o la disponibilidad de alguna red o sistema informático, aun cuando esto no produzca o hubiere producido afectación inmediata en la provisión del servicio.

– Utilizar o ingresar sin autorización a redes o sistemas informáticos, aun cuando esto no produzca o hubiere producido afectación inmediata en la provisión del servicio.

– Afectar sistemas informáticos que contengan datos personales.

Informe al CSIRT

Para dar cumplimiento a la obligación de reporte, los servicios esenciales deberán enviar un informe al CSIRT Nacional. Mediante resolución del Director o Directora, se actualizará el contenido mínimo de los reportes de incidentes. Dicha resolución deberá contar con un informe técnico del CSIRT Nacional, quien deberá considerar las prácticas y recomendaciones de los organismos internacionales con competencia en la materia.

El reporte de incidente deberá omitir todo dato o información personal, conforme a lo dispuesto en el artículo 2°, letra f), de la Ley N° 19.628, sobre Protección de la Vida Privada. Para efectos de lo dispuesto en este inciso, no se considerará que la dirección IP sea un dato o información personal.

¿Cómo se cumple con esta obligación?

Para facilitar el reporte de incidentes, la Agencia Nacional Ciberseguridad (“ANCI”) ha puesto a disposición de los usuarios el sitio portal.anci.gob.cl donde las instituciones públicas y privadas que proveen servicios esenciales podrán reportar sus incidentes con impacto significativo.

Para ello, deberán registrarse en la plataforma, utilizar la clave única de la persona responsable de notificar y completar la información requerida en cada uno de los tres pasos del proceso: alerta temprana, segunda notificación e informe final.

1. Alerta temprana:

Una vez que la institución obligada a reportar hubiere tomado conocimiento de la ocurrencia de un incidente de ciberseguridad, deberá enviar una alerta sobre la ocurrencia del evento en el plazo máximo de tres horas, contado desde que hubiere tomado conocimiento de la ocurrencia del incidente.

2. Segunda notificación:

Transcurrido el plazo de máximo de setenta y dos horas desde que la institución hubiere tomado conocimiento de la ocurrencia de un incidente de ciberseguridad, deberá enviar un segundo reporte al CSIRT Nacional. Si la institución afectada fuera un operador de importancia vital y éste viera afectada la prestación de sus servicios esenciales a causa del incidente, la actualización de la información, a través del segundo reporte, deberá entregarse en el plazo máximo de veinticuatro horas.

3. Informe final:

Dentro del plazo máximo de quince días corridos contados desde el envío de la alerta temprana y siempre que el incidente hubiese sido gestionado, la institución deberá elaborar un informe final que deberá incluir, como mínimo, una confirmación o actualización de todos los datos informados en los reportes anteriores.

Entrada en vigencia del Reglamento

El presente Reglamento comenzará a regir desde el 1 de marzo de 2025.

Revisa aquí el Reglamento.