Sujetos obligados por la Ley Marco de Ciberseguridad e Infraestructura Crítica de la información

# Obligados por la Ley Marco de Ciberseguridad ```mermaid graph LR A1([Sujetos obligados por Ley Ciberseguridad]) --> A A[Instituciones que presten servicios esenciales] --> A2[(¿Cuáles son los servicios esenciales)] A2 --> B[Organismos de la Administración del Estado] A2 --> C[Coordinador Eléctrico Nacional] A2 --> D[Servicios bajo concesión de servicio público] A2 --> E[Servicios proveídos por ciertas instituciones privadas] A2 --> F[Otros servicios calificados por el Director de la Agencia] A --> A3[(Calificación de importancia vital)] --> iv[Operadores de importancia vital] A1 --> A3 style A fill:#f9f,stroke:#333,stroke-width:4px style A1 fill:#f9f,stroke:#333,stroke-width:4px style iv fill:#f9f,stroke:#333,stroke-width:4px ``` | | Resumen de los sujetos obligados | | ----------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Sujetos obligados**^[[[Ley Marco Ciberseguridad#Artículo 4\|Art. 4]]] | 1. A las instituciones que presten servicios calificados como ==esenciales==. 2. A las instituciones calificadas como operadores de ==importancia vital==. | ## Servicios Esenciales | | Resumen de los servicios esenciales | | ------------------------------------------------------------------------------------------------------------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **¿Cuáles son los ==servicios esenciales==?**^[[[Ley Marco Ciberseguridad#Artículo 4\|Art. 4]]] | 1. De organismos de la ==Administración del Estado== 2. Del ==coordinador Eléctrico Nacional==. 3. Aquellos prestados bajo ==concesión de servicio público==; 4. Proveídos por ==ciertas instituciones privadas==. 5. Otros calificados por el ==Director de la Agencia== previa consulta pública. - La agencia identificará en una resolución las infraestructuras, procesos, o funciones específicas que serán calificadas como esenciales. | | **Casos en que los ==privados== proveen ==servicios esenciales==**^[[[Ley Marco Ciberseguridad#Artículo 4\|Art. 4]]] | 1. Generación transmisión o distribución de eléctrica; 2. Transporte, almacenamiento o distribución de combustibles; 3. Suministro de agua potable o saneamiento; 4. Telecomunicaciones; 5. Insfraestructura digial 6. Servicios digitales 7. Servicios de tecnología de la información gestionados por terceros 8. Transporte aéreo, ferroviario o marítimo y la operación de su infraestructura; 9. Banca, servicios financieros y medios de pago; 10. Administración de prestaciones de seguridad social; 11. Servicios de postales y de mensajería; 12. Prestación insitucional de salud (hospitales; clínicas, consultorios y centros médicos) 13. Producción y/o investigación de productos farmaceúticos. | | **Calificación de servicios esenciales por el Director de la Agencia**^[[[Ley Marco Ciberseguridad#Artículo 4\|Art. 4]]] | - **¿Qué servicios pueden calificarse?:** - Cuando pueda causar un grave daño: 1. A la vida o integridad física de la población o su abastecimiento, 2. A sectores relevantes de las actividades económicos, 3. Al medioambiente, 4. Al normal funcionamiento de la sociedad y/o Administración del Estado, 5. A la defensa nacional o la seguridad y el orden público. | ## Operadores de importancia vital | | Resumen de los operadores de importancia vital | | ----------------------------------------------------------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **¿Cómo se califican los operadores de importancia vital?**^[[[Ley Marco Ciberseguridad#Artículo 5\|Art. 5]]] | - Son establecidos por la Agencia mediante resolución del Director Nacional a los prestadores de ==servicios esenciales== que sean calificados como operadores de importancia vital. - **Casos de operadores de importancia vital que no sean prestadores de servicios esenciales:** Si reunen los requisitos y si calificación sea indispensable por: 1. Haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o 2. Por el grado de exposición de la entidad a los riesgos y probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas. | | **Requisitos para ser calificado como operador de importancia vital**^[[[Ley Marco Ciberseguridad#Artículo 5\|Art. 5]]] | 1. Que la provisión de dicho servicio dependa de las redes y sistemas informáticos; 2. Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar. | | **Consideraciones especiales**^[[[Ley Marco Ciberseguridad#Artículo 5\|Art. 5]]] | - Siempre se debe considerar el tamaño de la institución privada, en especial las características de micro, pequeña y mediana empresas (Ley 20.416). | ### Procedimiento de calificación de operador de importancia vital ```mermaid graph TD A[Inicio del Procedimiento] --> B{Revisión y actualización cada tres años} B --> C[Solicitud de informes a organismos con competencia sectorial] C -- Plazo 30 días --> D[Recepción de informes de organismos competentes] D --> E["Confección de informe preliminar de instituciones (Plazo: 30 días)"] E --> F[Consulta pública para instituciones privadas] E --> G[Solicitud de informe al Ministerio de Hacienda para instituciones públicas] F --30 días para respuesta--> H[Recepción de información] G --30 días para respuesta--> H H --> I[30 días para elaborar informe final con nómina de operadores de importancia vital] I --> J[Resolución fundada por el Director determina operadores de importancia vital] J --> K{¿Hay recursos?} K --Sí -->k1[(Recursos Ley 19.880; Recurso de reclamación)] --> fin[Fin del Procedimiento] K --"No"--> fin style A fill:#f9f,stroke:#333,stroke-width:4px style fin fill:#bbf,stroke:#333,stroke-width:4px ``` | | Resumen del procedimiento de calificación de los operadores de importancia vital (Art. 6) | | ----------------- | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Periodicidad** | - La Agencia debe revisar y actualizar la calificación de operadores de importancia vital cada 3 años. | | **Instrumento** | - Mediante Resolución | | **Procedimiento** | - Requerirá informe fundado a los organismos con competencia sectorial para que éstos establezcan cómo los operadores de importancia, conforme Art. 37 bis Ley 19.880 - Recibido los antecedentes, la Agencia tendrá 30 días para evacuar informe con la nómina prelimiar de las instituciones. - Dentro de 30 días corridos 1. Se somete a consulta pública por el plazo de 30 días corridos sólo respecto de las instituciones privadas, en la forma que señale el reglamento. 2. Se requiere informe al Ministerio de Hacienda respecto de las instituciones públicas. - Cumplidas las etapas, se determina los operadores de importancia vital | | **Recursos** | - Los contemplados en la ley 19.880 - El reclamo de ilegalidad del Art. 46. |