Nuevas normativas obligan a reportar incidentes de ciberseguridad
El Reglamento de Reporte de Incidentes de Ciberseguridad y la Taxonomía de Incidentes entran en vigor para mejorar la protección digital.
11 de marzo de 2025
El 28 de febrero y el 1 de marzo fueron publicadas en el Diario Oficial dos normativas que complementan la ley marco de ciberseguridad. Estas obligan a las instituciones públicas y privadas -consideradas como prestadores de servicios esenciales y operadores de importancia vital- a reportar sus ciber incidentes al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática).
Se establece que un incidente se considera “significativo” cuando interrumpe un servicio esencial, afecta la integridad física o la salud de las personas, comprometen la confidencialidad o integridad de activos informáticos, permite acceso no autorizado a redes o sistemas informáticos y/o afecta sistemas que contienen datos personales. ¿Cómo se determina la importancia del incidente? Se evalúa según el número de personas afectadas, la duración del incidente y la extensión geográfica.
"Estas medidas buscan mejorar la capacidad de respuesta ante incidentes que puedan comprometer la seguridad digital del país y establecen mecanismos para la notificación de ataques informáticos a instituciones, como las generadoras y distribuidoras eléctricas, transportadores y distribuidores de combustibles, suministradores de agua potable y telecomunicaciones, sectores de los distintos medios de transportes y de la banca y servicios financieros", explica Fernando Lagos, CEO of Nivel4 Ciberseguridad.
El reglamento de reporte establece que cualquier incidente con impacto significativo deberá ser informado en un plazo máximo 3 horas desde su detección, seguido por un segundo reporte en 72 horas con detalles sobre el incidente, sus efectos y las medidas adoptadas. Finalmente, un informe final deberá ser entregado en 15 días proponiendo acciones correctivas.
"De acuerdo con lo anterior, se considera como impacto en el uso legítimo los accesos no autorizados, los ataques fuerza bruta, phishing e ejecución código malicioso. Como impacto en confidencialidad se contemplan filtraciones datos e exposición credenciales", agrega Lagos.
Listado servicios esenciales:
- - Organismos Administración Estado
- - Empresas públicas creadas por ley
- - Sociedades donde Estado tiene participación accionaria superior al 50% ...
- - Prestadores servicios producción productos farmacéuticos
- - Prestadores servicios investigación productos farmacéuticos"
Puedes acceder a una plataforma disponible 24/7 para notificar incidentes a través del siguiente link: https://portal.anci.gob.cl.
Fuente: Publimetro
