Obligaciones para los sujetos obligados de la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

# Obligaciones para los sujetos obligados por la Ley marco sobre Ciberseguridad e Infraestructura Crítica de la Información ## Obligaciones generales^[Art. 7] ```mermaid graph LR A[Deberes Generales] --> B[Aplicar medidas de prevención, reporte y resolución de incidentes de ciberseguridad] B --> C[Medidas Tecnológicas] B --> D[Medidas Organizacionales] B --> E[Medidas Físicas] B --> F[Medidas Informativas] A --> G[Cumplimiento de obligaciones] G --> H[Implementación de protocolos y estándares de la Agencia] G --> I[Adopción de estándares de ciberseguridad sectoriales] H & I --> J[Prevención y gestión de riesgos de ciberseguridad] J --> K[Contención y mitigación del impacto en continuidad operacional y confidencialidad/integridad de la información] A --> L[Emisión de medidas de seguridad según artículo 25] L --> M[Consulta pública de protocolos y estándares] M --> N[Publicación de medidas y justificación de decisiones] A --> O[Establecimiento de medidas de seguridad diferenciadas] O --> P[Especial consideración a pequeñas y medianas empresas según ley N° 20.416] style A fill:#f9f,stroke:#333,stroke-width:4px ``` | | Resumen de las obligaciones generales en ciberseguridad | | ----------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Deberes generales** (Art. 7) | - Aplicar las medidas para ==prevenir, reportar y resolver incidentes== de ciberseguridad. - **Naturaleza de las medidas:** Tecnológicas, organizacionales, físicas o informativas, según sea el caso. - **¿Qué exige estas obligaciones?**: 1. La implementación de los ==protocolos y estándare==s establecidos por la Agencia; y 2. Los estándares estándares particulares de ciberseguridad dictados de conformidad a la regulación sectorial respectiva. | | **Deber general de reportar incidentes de ciberseguridad**^[Art. 9] | - **¿A quién se reporta?:** Al CSIRT Nacional. - **Requisito:** Que pueda tener un impacto significativo^[Art. 9 en relación al 27]. - **Plazo para reportar los incidentes con impacto significativo:** Tan pronto le sea posible de acuerdo a lo siguiente: 1. *Máx 3 horas desde el conocimiento:* Envío de alerta temprana sobre la ocurrencia del evento. 2. *Máx 72 horas:* Actualización de la alerta temprana, incluyendo una evaluación inicial del incidente, su gravedad e impacto, así como los indicadores de compromiso, si estuvieran disponibles. **Excepción:** Caso de un operados de importancia vital. Max 24 horas. 3. *Máx 15 días corridos*: Informe final. 4. *Si el incidente sigue en curso post informe final:* se reemplaza el informe final sobre la situación en ese momento. 15 días desde gestionado el incidente. - **Contenido del informe final:** 1. Una descripción detallada del incidente, incluyendo su gravedad e impacto. 2. El tipo de amenaza o causa principal que probablemente haya causado el incidente. 3. . Las medidas de mitigación aplicadas y en curso. 4. Si procede, las repercusiones transfronterizas del incidente. - **Operadores de importancia vital:** Deben informar además su pland e acción, tan pronto lo hubieran adoptado. - *Plazo:* No puede ser superior a 7 días corridos desde que se conoce la ocurrencia. - **Organismos del Estado**: Deben exigir a los proveedores de servicios TIC que compartan información sobre vulnerabilidades e incidentes. | ## Deberes específicos de operadores de importancia vital (Art. 8) ```mermaid graph LR A[Operadores de Importancia Vital] --> B[(Implementar un sistema de gestión de seguridad de la información)] A --> C[(Mantener un registro de acciones del sistema de gestión de seguridad)] A --> D[(Elaborar e implementar planes de continuidad operacional y ciberseguridad)] A --> E[(Realizar operaciones de revisión y comunicar acciones al CSIRT Nacional)] A --> F[(Adoptar medidas para reducir impacto de incidentes de ciberseguridad)] A --> G[(Contar con certificaciones del artículo 28)] A --> H[(Informar a potenciales afectados sobre incidentes o ciberataques)] A --> I[(Contar con programas de capacitación y educación continua)] A --> J[(Designar un delegado de ciberseguridad)] B --> B1[Evaluar la probabilidad e impacto de incidentes de ciberseguridad] D --> D1[Certificar según artículo 28] D --> D2[Revisiones periódicas cada dos años] D --> D3[Posible certificación anticipada por instrucción de la Agencia] E --> E1[Revisión, ejercicios, simulacros y análisis] E --> E2[Comunicación de incidentes al CSIRT Nacional] F --> F1[Restricción de uso o acceso a sistemas si necesario] H --> H1[Notificar especialmente si involucran datos personales] H --> H2[Notificar para prevenir nuevos incidentes o gestionar existentes] I --> I1[Incluir campañas de ciberhigiene] J --> J1[Contraparte de la Agencia] J --> J2[Informar a autoridades o directivos] style A fill:#f9f,stroke:#333,stroke-width:4px ``` | | Resumen de deberes específicos de los operadores de importancia vital | | ----------------------------------------------------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Deberes específicos de los operadores de importancia vital**^[Art. 8] | 1. Implementar un ==sistema de gestión de seguridad de la información continuo== - **Objeto:** Determinar riesgos que afecten la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio. - **Debe permitir evaluar:** 1. Probabilidad del incidente; 2. Potencial impacto del incidente. 2. Registro de las acciones ejecutadas que compongan el sistema de gestión de seguridad de la información^[Conforme el reglamento]. 3. Elaborar, implementar y certificar, conforme la ley, los planes de continuidad operacional y ciberseguridad certificados. - **Frecuencia de revisión:** dos años como mínimo (Agencia puede fundadamente determinar uno menor, con las limitaciones de la letra c del Art. 8). 4. Realizar continuamente operaciones de revisión, ejercicios, simulacros y análisis de las redes, sistemas informáticos y sistemas para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional, en la forma que determine el reglamento. 5. Adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario. 6. Contar con las certificaciones del Art. 28. 7. Informar a los potenciales afectados, en la medida que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente su información o redes y sistemas informáticos. 8. Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene. 9. Designar un delegado de ciberseguridad (Contraparte de la Agencia). | ## Protocolos y estándares en ciberseguridad | | Resumen de los protocolos y estándares | | ------------------------------------------------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Objeto de los protocolos**^[Art. 7] | 1. La prevención y gestión de los riesgos asociados a la ciberseguridad. 2. La contención y mitigación del ==impacto de los incidentes== que puedan tener sobre la continuidad operacional del servicio prestado o la ==confidencialidad y la integridad de la información== o de las ==redes== o sistemas informáticos. | | **Requisitos para la definición de los protocolos y estándares**^[Art. 7] | - Debe existir coordinación regulatoria entre la Agencia y las instituciones sectoriales^[Art. 7 y 25]. - Protocolos y estándares se someterán a consulta pública bajo el procedimiento de calificación de operador de importancia vital^[Art. 7 en relación al 6] - La(s) medida(s) deberá(n) publicarse junto con el informe en que se justifique el rechazo o modificación de las observaciones. - Las medidas deben ser diferenciadas según el tipo de organización de que se trate, teniendo encuenta las características y posibilidades de las pequeñas y medianas empresas (Ley 20.416) |