Infracciones a la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

# Infracciones y multas >[!note] Consideraciones al multar (Art. 40) >1. El grado en que el infractor adoptó las ==medidas necesarias para resguardar la seguridad informática== de las operaciones, >2. La ==probabilidad== de ocurrencia del incidente, >3. El grado de exposición del infractor a los riesgos, >4. La ==gravedad de los efectos== de los ataques incluidas sus repercusiones sociales o económicas, >5. La reiteración en la infracción dentro del plazo de tres años contado desde el momento en que se produjo el incidente, el ==tamaño y la capacidad económica== del infractor. >[!important] Concurso de sanciones (Art. 40) >- Si los mismos hechos y fundamentos jurídicos pudiese sancionarse con otras leyes, se impondrá la de mayor gravedad. ## Prescripción de las sanciones^[Art. 40] - **Prescripción de sanciones:** 3 años desde cometidas. - **Interrupción de la prescripción:** Por la notificación de la formulación de acargos por los hechos constitutivos de ellas. ## Responsabilidad de la aplicación de las medidas - **Responsabilidad de aplicación de las medidas:** ==Jefe Superior== del organismo^[Art. 47]. - ==Los organismos de la Administración del Estado== deberán adoptar las medidas tendientes a subsanar o prevenir las infracciones que indique la Agencia. # Infracciones de los sujetos obligados | | ACCIÓN / OMISIÓN | SANCIÓN^[Art. 40] | | ------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------- | | **Infracciones leves**^[Art. 38] | 1. Entregar ==fuera de plazo la información== que se le requiera cuando ella ==no fuere necesaria== para la gestión de un ==incidente de ciberseguridad==. 2. Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no estén sancionados como infracción grave o gravísima. 3. Cualquier infracción a las obligaciones que esta ley establece y que no tenga señalada una sanción especial. | - Multa de hasta 5.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 10.000 UTM. | | **Infracciones graves**^[Art. 38] | 1. ==No haber implementado los protocolos y estándares== establecidos por la Agencia para prevenir, reportar y resolver incidentes de ciberseguridad. 2. No haber implementado los ==estándares particulares de ciberseguridad.== 3. Entregar ==fuera de plazo la información== que se le requiera cuando ella ==fuere necesaria== para la gestión de un ==incidente de ciberseguridad==. 4. Entregar a la Agencia ==información manifiestamente falsa o errónea==. 5. Incumplir la ==obligación de reportar== establecida en el artículo 9°. 6. ==Negarse injustificadamente a cumplir una instrucción== de la Agencia o entorpecer deliberadamente el ejercicio de las atribuciones de la Agencia durante la gestión de un incidente de ciberseguridad, siempre que la atribución no cuente con una sanción especial. 7. La ==reincidencia en una misma infracción leve== dentro de un año. | - Multa de hasta 10.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 20.000 unidades UTM. | | **Infracciones gravísimas**^[Art. 38] | 1. Entregar a la Agencia ==información manifiestamente falsa o errónea==, cuando ella sea necesaria ==para la gestión de un incidente de ciberseguridad==. 2. ==Incumplir las instrucciones generales o particulares== impartidas por la Agencia durante la gestión de un incidente de impacto significativo. 3. ==No entregar la información que se le requiera== cuando ella fuere necesaria para ==la gestión de un incidente de impacto significativo==. 4. ==La reincidencia en una infracción grave== dentro de un año. | - Multa de hasta 20.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 40.000 unidades UTM. | ## Infracción de los operadores de importancia vital a sus obligaciones específicas | | ACCIÓN / OMISIÓN | SANCIÓN^[Art. 40] | | ------------------------------------- | :-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------------------------- | | **Infracciones leves**^[Art. 39] | 1. No mantener el registro de las acciones de seguridad que señala la letra b). 2. No comunicar al CSIRT Nacional la realización continua de operaciones de revisión, ejercicios y demás acciones que señala la letra d). 3. No contar con programas de capacitación, formación y educación continua para los trabajadores, según dispone la letra h). 4. No designar un delegado de ciberseguridad, según dispone la letra i). 5. No dar cumplimiento a la instrucción particular de la Agencia en orden a certificar los planes de continuidad operacional del párrafo segundo de la letra c). 6. No contar con las certificaciones que exija la ley, de acuerdo con la letra f). | - Multa de hasta 5.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 10.000 UTM. | | **Infracciones graves**^[Art. 39] | 1. No haber implementado el sistema de gestión de seguridad de la información continuo al que se refiere la letra a). 2. No haber elaborado o implementado los planes de continuidad operacional y ciberseguridad a los que se refiere la letra c). 3. No informar a los potenciales afectados sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos, en los casos que señala la letra g). 4. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e). 5. La reincidencia en una misma infracción leve dentro del período de un año. | - Multa de hasta 10.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 20.000 unidades UTM. | | **Infracciones gravísimas**^[Art. 39] | 1. No adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad o un ciberataque, según señala la letra e), cuando éste posea un impacto significativo. 2. La reincidencia en una misma infracción grave dentro del período de un año. | - Multa de hasta 20.000 UTM - **En caso de operador de importancia vital:** Multa de hasta 40.000 unidades UTM. |