La Agencia Nacional de Ciberseguridad

# La Agencia Nacional de Ciberseguridad > [!NOTE] Nota >- El artículo 2 menciona que sus siglas serán "ANCI" | | Agencia Nacional de Ciberseguridad | | ------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Naturaleza** | - Servicio público ==funcionalmente descentralizado==, dotado de personalidad jurídica y patrimonio propio, de carácter técnico y especializado. - Se ==relaciona con el Presidente a través del Ministerio encargado de la seguridad pública==. | | **Objetivo** | - Asesorar al Presidente de la República en materias propias de ciberseguridad. - Colaborar en la protección de los intereses nacionales en el ciberespacio. - Coordinar el actuar de las instituciones con competencia en ciberseguridad. - Velar por la protección, promoción y respeto del derecho a la seguridad informática - Coordinar y supervisar la acción de los organismos de la Administración del Estado en Materia de Ciberseguridad. | | **Deberes** | - Velar por la coherencia normativa^[Art. 10] - Ser punto de contacto con las autoridades nacionales de ciberseguridad extranjeras o sus homólogos y con los organismos internacionales con competencia en materia de ciberseguridad^[Letra l, Art ]. - Procurar el respeto a los derechos fundamentales de las personas, particularmente el respeto y resguardo del derecho a la vida privada y del derecho a la protección de datos personales^[Art 35]. | | **Dirección de la Agencia** | - A cargo de un Director Nacional (Jefe superior del servicio)^[Art. 12] - Tiene su representación judicial y extrajudicial^[Art. 12]. - Designado por Alta Dirección Pública^[Art. 12]. - Facultades específicas en el artículo 14. | | **Subdirección de la Agencia** | - Por el Subdirector Nacional. - Depende del Director y lo subroga. - Puede instruir procedimientos sancionadores, designar a los funcionarios a cargo y determinar las sanciones. | | **Patrimonio de la Agencia** | - Art. 15. | | **Personal de la Agencia** | - **Autoridades:** Alta Dirección Pública^[Art. 16] - **Funcionarios**: Código del Trabajo^[Art. 17]; Prohibiciones e inhabilitaciones en Art. 18. - No tienen obligación de denunciar delitos sobre la información que reciban por parte de las personas que notifiquen vulnerabilidades de ciberseguridad^[Art. 19] - Debe mantenerse en secreto la notificación que reciban de vulnerabilidades^[Art. 19] | ## Funciones de la Agencia Nacional de Ciberseguridad ```mermaid graph LR A[Funciones de la Agencia de Ciberseguridad] --> B(Roles Principales) A --> C(Gestión de Incidentes) A --> D(Educación y Cooperación) A --> E(Fiscalización y Cumplimiento) A --> F(Investigación y Desarrollo) A --> G(Gestión y Certificación) A --> H(Normativas y Ejercicios Prácticos) B --> B1(Asesoramiento Estratégico) B --> B2(Establecimiento de Normativas) B --> B3(Interpretación y Aplicación de la Ley) B --> B4(Supervisión y Coordinación) B --> B5(Colaboración Interinstitucional) C --> C1(Registro de Incidentes) C --> C2(Clasificación de Servicios Esenciales) C --> C3(Información a Afectados) C --> C4(Acceso a Información) D --> D1(Fomento de la Cultura de Ciberseguridad) D --> D2(Cooperación Nacional e Internacional) E --> E1(Inspecciones y Auditorías) E --> E2(Sanciones) F --> F1(Innovación en Ciberseguridad) F --> F2(Capacitación) G --> G1(Evaluación de Medidas) G --> G2(Certificación de Estándares) G --> G3(Acreditación de Centros de Certificación) H --> H1(Estándares para Proveedores del Estado) H --> H2(Ejercicios Nacionales de Ciberseguridad) style A fill:#f9f,stroke:#333,stroke-width:4px style B fill:#f9f,stroke:#333,stroke-width:4px style C fill:#f9f,stroke:#333,stroke-width:4px style D fill:#f9f,stroke:#333,stroke-width:4px style E fill:#f9f,stroke:#333,stroke-width:4px style F fill:#f9f,stroke:#333,stroke-width:4px style G fill:#f9f,stroke:#333,stroke-width:4px style H fill:#f9f,stroke:#333,stroke-width:4px ``` | | Funciones de la Agencia Nacional de Ciberseguridad | | ------------------------------------ | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Roles Principales** | 1. ==Asesorar== al Presidente de la República en la ==elaboración y aprobación de la Política Nacional de Ciberseguridad==, y de los planes y programas de acción específicos para su implementación, ejecución y evaluación. 3. ==Aplicar e interpretar administrativamente las disposiciones legales y reglamentarias en materia de ciberseguridad==; los protocolos y estándares técnicos, y las instrucciones generales y particulares que dicte al efecto. 4. ==Coordinar y supervisar al CSIRT Nacional y a los demás pertenecientes a la Administración del Estado==, y requerir de éstos la información que sea necesaria para el cumplimiento de sus fines. 5. Establecer una ==coordinación con el CSIRT de la Defensa Nacional==, en lo relativo a los estándares y tiempos de comunicación de incidentes de ciberseguridad o vulnerabilidades, y respecto a las materias que serán objeto de intercambio de información. 6. Administrar la Red de Conectividad Segura del Estado. | | **Gestión de incidentes** | 1. Crear y administrar un ==Registro Nacional de Incidentes de Ciberseguridad==. 2. ==Calificar==, mediante resolución fundada, a los ==servicios esenciales y a los operadores de importancia vital==. 3. ==Requerir a las entidades obligadas== por la presente ley que hayan visto afectados sus servicios por un incidente de ciberseguridad o ciberataque, que ==entreguen a los potenciales afectados información veraz, suficiente y oportuna sobre su ocurrencia==. 4. Requerir a los organismos de la Administración del Estado y a las instituciones privadas obligadas ==acceso a la información estrictamente necesaria para prevenir la ocurrencia de incidentes de ciberseguridad== o para ==gestionar uno que ya hubiera ocurrido==. - **NOTA:** Podrá requerir la entrega del registro de actividades de las redes y sistemas informáticos que permitan comprender detalladamente los incidentes de ciberseguridad que puedan haber ocurrido; Instrucción siempre de carácter particular; No se considera dato personal la IP. 5. Requerir, mediante instrucción de su Director, ==en casos de incidentes de impacto significativo== cuya gestión lo haga imprescindible, ==el acceso a redes y sistemas informáticos==. **NOTA:** Las instituciones privadas obligadas podrán oponerse vía reclamación (Tiene procedimiento especial: letra k, Art. 11). 6. Informar al CSIRT de la Defensa Nacional y a los CSIRT de los organismos de la Administración del Estado los reportes o alarmas de incidentes de ciberseguridad y de vulnerabilidades existentes, conocidas o detectadas en su sector que considere relevantes. Al respecto, podrá sugerir determinados planes de acción. | | **Educación y cooperación** | 1. Diseñar e implementar ==planes y acciones de formación ciudadana, capacitación, fortalecimiento, difusión y promoción== de la cultura en ciberseguridad. 2. ==Cooperar con organismos públicos e instituciones privadas==, en materias propias de su competencia, sin perjuicio de las atribuciones de otros organismos del Estado. 3. Cooperación con Estados y organizaciones Internacionales en coordinación con el Ministerio de Relaciones Exteriores. 4. Prestar, cuando sus recursos humanos, técnicos y financieros así lo permitan, ==asesoría técnica a los organismos del Estado e instituciones privadas afectados por un incidente de ciberseguridad== que haya comprometido sus activos informáticos críticos o afectado el funcionamiento de su operación. 5. Colaborar con los organismos integrantes del Sistema de Inteligencia del Estado en la identificación de amenazas y la gestión de incidentes o ciberataques que puedan representar un riesgo para la seguridad nacional. | | **Fiscalización y cumplimiento** | 1. Fiscalizar el cumplimiento de las disposiciones de esta ley y sus reglamentos, y de los protocolos, estándares técnicos e instrucciones generales y particulares que emita la Agencia en ejercicio de las atribuciones conferidas en la ley. 2. Realizar inspecciones, e instruir de manera particular auditorías por sí o mediante terceros autorizados y análisis de seguridad basados en criterios de evaluación de riesgos objetivos, los cuales deberán ser equitativos, transparentes y no discriminatorios. La entidad fiscalizada deberá cooperar en todo momento con los funcionarios de la Agencia o con los terceros autorizados por ella, según corresponda. 3. Requerir el acceso a sistemas informáticos, datos, documentos y demás información que fuere necesaria para el desempeño de sus funciones de supervisión y fiscalización, e instruir de manera particular a los sujetos obligados que realicen pruebas que demuestren la implementación de los planes de continuidad operacional y ciberseguridad, 4. Citar a declarar, respecto de hechos cuyo conocimiento estime necesario para el cumplimiento de sus funciones, a los socios, directores, administradores, representantes, empleados y cualquier persona que, a cualquier título, preste o haya prestado servicios para las personas o entidades fiscalizadas, así como a toda persona que hubiere ejecutado o celebrado con ellas actos o convenciones de cualquier naturaleza. **NOTA:** no estarán obligadas a concurrir a declarar las personas indicadas en el artículo ==361 del Código de Procedimiento Civil==, a las cuales la Agencia, para los fines expresados en el párrafo precedente, deberá pedir declaración por escrito. 5. Instruir el inicio de procedimientos sancionatorios y sancionar las infracciones e incumplimientos en que incurran las instituciones obligadas por la presente ley respecto de sus disposiciones y reglamentos y de las instrucciones generales y particulares que emita la Agencia. | | **Investigación y desarrollo** | 1. Fomentar la investigación, innovación, capacitación y entrenamiento frente a amenazas, vulnerabilidades e incidentes de ciberseguridad y, en conjunto con los Ministerios de Economía, Fomento y Turismo, y de Ciencia, Tecnología, Conocimiento e Innovación, diseñar planes y acciones que fomenten el desarrollo o fortalecimiento de la industria de ciberseguridad local. | | **Gestión y certificación** | 1. Realizar el seguimiento y evaluación de las medidas, planes y acciones elaborados en el ejercicio de sus funciones. 2. Certificar el cumplimiento de los estándares de ciberseguridad correspondientes por parte de los organismos de la Administración del Estado. 3. Otorgar y revocar las acreditaciones correspondientes a los centros de certificación, en los casos y bajo las condiciones que establezca esta ley y el reglamento respectivo. | | **Normativa y ejercicios prácticos** | 1. Dictar los ==protocolos y estándares== en ciberseguridad para los entes obligados; las ==instrucciones generales y particulares==, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por la presente ley, y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta ley y sus reglamentos. 2. Determinar, conforme al informe técnico que el CSIRT Nacional elabore para estos efectos, las categorías de incidentes o vulnerabilidades de ciberseguridad que estarán eximidas de notificación. 3. Establecer los estándares que deberán cumplir las instituciones que provean bienes o servicios al Estado, y las normas de seguridad para el desarrollo de los sistemas y programas informáticos que sean utilizados por los organismos del Estado. 4. Establecer estándares de ciberseguridad y deberes de información al público sobre riesgos de seguridad de dispositivos digitales disponibles a consumidores finales. 5. Coordinar anualmente, durante el mes de octubre, un ejercicio nacional de comprobación de capacidades de ciberseguridad, en cumplimiento de la ley N° 21.113, que declara el mes de octubre como el mes nacional de la ciberseguridad. 6. Realizar todas aquellas otras funciones que las leyes le encomienden especialmente. |