El 1 de marzo de 2025, entró en vigor en Chile el Reglamento de Reporte de Incidentes de Ciberseguridad, en conformidad con la Ley N° 21.663, conocida como Ley Marco de Ciberseguridad. Este reglamento establece la obligación para instituciones públicas y privadas que prestan servicios esenciales, así como para operadores de importancia vital, de reportar al CSIRT Nacional (Equipo de Respuesta a Incidentes de Seguridad Informática) cualquier ciberataque o incidente de ciberseguridad que pueda tener efectos significativos.

Se considera que un incidente de ciberseguridad tiene efecto significativo si:

1. Interrumpe la continuidad de un servicio esencial.
2. Afecta la integridad física o la salud de las personas.

• Compromete la integridad o confidencialidad de activos informáticos, o la disponibilidad de redes y sistemas informáticos, incluso si no produce una afectación inmediata en la provisión del servicio.

1. Implica el uso o acceso no autorizado a redes o sistemas informáticos.
2. Afecta sistemas informáticos que contienen datos personales.
3. Ámbito de aplicación: Están obligados a reportar incidentes los prestadores de servicios esenciales y los operadores de importancia vital.

Los Prestadores de Servicios Esenciales son los que establece la ley o por resolución la Agencia Nacional de Ciberseguridad.

Entre los determinados por ley se encuentran los Órganos de la Administración del Estado, el Coordinador Eléctrico Nacional, los servicios concesionados y los servicios prestados por instituciones privadas que realicen actividades importantes para el suministro y funcionamiento del país.

La Agencia podría sin embargo establecer mediante acto administrativo que un servicio califica como esencial, cuando su afectación puede causar un grave daño a la vida o integridad física de la población o a su abastecimiento, a sectores relevantes de las actividades económicas, al medioambiente, al normal funcionamiento de la sociedad y/o de la Administración del Estado, a la defensa nacional, o a la seguridad y el orden público.

Respecto a los Operadores de Importancia Vital, son Prestadores de Servicios Esenciales que la Agencia, por resolución fundada, identifica como tal, porque la provisión de su servicio depende de redes y sistemas informativos, y porque su afectación tenga un impacto significativo en la seguridad y orden público.

Existe una cuarta especie de sujeto obligado. Las entidades privadas que, no teniendo la calidad de Prestador de Servicio Esencial, la Agencia determine que deban ser calificados como Operador de Importancia Vital, por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquéllos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas.

1. Procedimiento de Reporte: El proceso de reporte se estructura en varias etapas:
2. Alerta Temprana: Dentro de las tres horas siguientes a la detección del incidente, la institución debe enviar una alerta al CSIRT Nacional a través de la plataforma oficial disponible en https://portal.anci.gob.cl, operativa las 24 horas del día, todos los días del año. Esta plataforma permite que los reportes sean comunicados simultáneamente a otros órganos sectoriales cuando exista la obligación de notificar a más de una autoridad.
3. Segundo Reporte: Dentro de las 72 horas posteriores a la detección del incidente, se debe enviar un segundo reporte que actualice la información proporcionada inicialmente. Este reporte debe contener información específica del tipo de ataque, identificación de la institución afectada, activos dañados, personas afectadas, potenciales repercusiones, indicadores de compromisos afectados, entre otras menciones que señala el reglamento.

         Si la institución afectada es un operador de importancia vital y el incidente afecta la prestación de sus servicios esenciales, este reporte debe presentarse en un plazo máximo de 24 horas.

3. Plan de Acción (para Operadores de Importancia Vital): Estos operadores deben implementar e informar un plan de acción frente al incidente en un plazo no superior a siete días corridos desde la detección del mismo. El plan de acción debe contar con un plan de recuperación de la información, inclusión de responsabilidades técnicas y administrativas y tiempo estimado de recuperación.
4. Informe Final: Dentro de los 15 días corridos desde el envío de la alerta temprana y siempre que el incidente haya sido gestionado, la institución debe elaborar un informe final detallando la gravedad e impacto, medidas adoptadas, tipo de amenaza y causa principal. 

         Es importante destacar que los informes deben omitir datos personales, salvo que sean imprescindibles para la gestión del incidente.

• Confidencialidad de la Información: Los informes recibidos por la Agencia en cumplimiento del deber de reporte se considerarán como información secreta cuando contengan datos reservados en virtud de una norma legal o cuando hayan sido entregados bajo tal calidad.

1. Régimen Sancionatorio.

El Título VII de la Ley N° 21.663 establece un régimen sancionatorio para quienes incumplan sus obligaciones en materia de ciberseguridad, incluyendo el reporte de incidentes.

Las multas se fijan considerando factores como:

• El nivel de exposición al riesgo.
• El impacto social y económico del incidente.
• El tamaño y capacidad económica del infractor.
• La reincidencia en infracciones previas en un plazo de tres años. 

Infracciones Leves

1. Entregar fuera de plazo la información requerida, siempre que no sea indispensable para la gestión de un incidente de ciberseguridad.
2. Incumplir las instrucciones generales o particulares emitidas por la Agencia Nacional de Ciberseguridad, cuando no constituyan una infracción grave o gravísima.

• Cualquier otro incumplimiento de la normativa de reporte de incidentes que no tenga una sanción específica establecida en la ley.

Multas para Infracciones Leves

Hasta 5.000 UTM (10.000 UTM si el infractor es un operador de importancia vital).

Infracciones Graves

1. No reportar un incidente dentro de los plazos establecidos en la ley.
2. Entregar información manifiestamente errónea o falsa en los reportes.

• Negarse injustificadamente a cumplir con las instrucciones de la Agencia Nacional de Ciberseguridad.

1. Reincidir en una infracción leve dentro del plazo de un año.

Multas para Infracciones Graves

Hasta 10.000 UTM (20.000 UTM si el infractor es un operador de importancia vital).

Infracciones Gravísimas

1. Entregar a la Agencia información manifiestamente falsa o errónea, cuando ella sea necesaria para la gestión de un incidente.
2. No reportar un incidente de impacto significativo.

• Negarse a proporcionar información esencial para la gestión del incidente.

1. Reincidir en una infracción grave dentro del plazo de un año.

Multas para Infracciones Gravísimas

Hasta 20.000 UTM (40.000 UTM si el infractor es un operador de importancia vital).

Las sanciones son impuestas por la Agencia Nacional de Ciberseguridad, que tiene la facultad de iniciar procedimientos administrativos sancionadores.

El proceso comienza con la formulación de cargos, otorgando al infractor un plazo para presentar descargos. Posteriormente, la Agencia evalúa las pruebas y dicta una resolución.

En caso de disconformidad con la sanción, los infractores pueden presentar reclamo de ilegalidad ante la Corte de Apelaciones, que evaluará la legalidad de la resolución y podrá modificar o anular la sanción impuesta.