APRUEBA REGLAMENTO DE CIBERSEGURIDAD DE LA DEFENSA NACIONAL

Que, la ley N° 21.663 Marco de Ciberseguridad establece la creación de un equipo de respuesta a incidentes de Seguridad Informática de la Defensa Nacional, en adelante, CSIRT de la Defensa Nacional, como el organismo responsable de la coordinación, protección y seguridad de las redes y sistemas del mencionado Ministerio y de los servicios esenciales y operadores vitales para la defensa nacional, además de cumplir aquellas tareas que le sean encomendadas, con el propósito de resguardar la defensa y la seguridad nacional. Este equipo dependerá del Estado Mayor Conjunto, del Ministerio de Defensa Nacional. 2. Que, a su vez, la ley establece la existencia de equipos de respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional, en adelante CSIRT Institucionales, los que tendrán por finalidad dar respuesta, en el marco de sus competencias, a vulnerabilidades e incidentes de ciberseguridad que pongan en riesgo las instalaciones, redes, sistemas, servicios y equipos físicos y de tecnología de la información de las respectivas instituciones de la Defensa Nacional. 3. Que, la ley establece que un reglamento regulará al CSIRT de la Defensa Nacional y a los CSIRT Institucionales de la Defensa Nacional. 4. Que, el CSIRT de la Defensa Nacional tendrá como función conducir y asegurar la protección y defensa de los riesgos y amenazas presentes en el ciberespacio. Para ello, estará a cargo de la coordinación y será enlace entre los diferentes CSIRT Institucionales de la Defensa Nacional. 5. Que, el CSIRT de la Defensa Nacional entregará los lineamientos para que puedan constituirse Equipos de Respuesta de Incidentes de Seguridad Informática Institucionales de la Defensa Nacional. 6. Que, la Agencia requerirá informe fundado al Ministerio de Defensa Nacional para que se pronuncie sobre aquellas instituciones públicas y privadas que deban calificarse como operadores de importancia vital, de acuerdo a lo establecido en el artículo 6 de la ley N° 21.663. 7. Que, esta regulación debe adecuarse a la política de Ciberdefensa y a los lineamientos generales que entregue la Agencia Nacional de Ciberseguridad (en adelante la "Agencia"). 8. Que, a su vez, la ley dispone que el CSIRT de la Defensa reportará a la Agencia Nacional de Ciberseguridad todos los incidentes identificados cuando no se ponga en riesgo la seguridad y la defensa nacional. 9. Que, por su parte, la Política Nacional de Ciberseguridad 2023-2028 establece como objetivo contar con una infraestructura de la información robusta y resiliente, preparada para resistir y recuperarse de incidentes de ciberseguridad y de desastres socioambientales, bajo una perspectiva de gestión de riesgos. 10. Que, el Estado Mayor Conjunto, de acuerdo al artículo 25 de la ley N° 20.424 Estatuto Orgánico del Ministerio de Defensa Nacional, es el organismo de trabajo y asesoría permanente del Ministro(a) de Defensa Nacional en materias que tengan relación con la preparación y empleo conjunto de las Fuerzas Armadas. 11. Que, entre las funciones del Estado Mayor Conjunto conforme al artículo 25 citado anteriormente, se encuentran aquellas establecidas en el literal j), consistente en proveer de inteligencia a la Subsecretaría de Defensa para efectos de la planificación primaria; así como la dispuesta en el literal k), relativa a conducir al Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional en coordinación con la Subsecretaría de Defensa. 12. Que, la Subsecretaría de Defensa es el órgano de colaboración inmediata del Ministerio de Defensa en asuntos de política de defensa. 13. Que, de acuerdo al decreto supremo N° 248, de 2010, del Ministerio de Defensa Nacional, que "Aprueba el Reglamento Orgánico y de Funcionamiento del Ministerio de Defensa Nacional", se establece que la División de Desarrollo Tecnológico e Industria de la Subsecretaría de Defensa contará con un departamento de Ciberdefensa y Ciberseguridad, el cual tendrá entre sus funciones establecer y verificar el cumplimiento de los controles de ciberseguridad y de su constante actualización, conforme a los lineamientos estratégicos que, al interior de la Subsecretaría, se den respecto a la seguridad de la información. 14. Que, por todo lo expuesto anteriormente, corresponde la dictación del presente reglamento.

Activo informático: toda información almacenada en una red y sistema informático que tenga valor para una persona u organización. 2. Agencia o ANCI: la Agencia Nacional de Ciberseguridad. 3. Almacenamiento de datos: la conservación o custodia de datos en un registro o banco de datos. 4. Auditorías de seguridad: procesos de control destinados a revisar el cumplimiento de las políticas y procedimientos que se derivan del Sistema de Gestión de la Seguridad de la Información. 5. Autenticación: propiedad de la información que da cuenta de su origen legítimo. 6. Ciberataque: acción o intento de acceder, destruir, exponer, alterar, deshabilitar, exfiltrar o hacer uso no autorizado de un activo informático. 7. Ciberdefensa: es una actividad del ámbito de la Defensa Nacional, que apoya a las operaciones militares para enfrentar las acciones hostiles en el Ciberespacio, ejecutadas con fines militares o de inteligencia por parte de otros Estados u otros. 8. Ciberseguridad: preservación de la confidencialidad e integridad de la información y de la disponibilidad y resiliencia de las redes y sistemas informáticos, con el objetivo de proteger a las personas, la sociedad, las organizaciones o las naciones, de incidentes de ciberseguridad en el ámbito de la Defensa. 9. Confidencialidad: propiedad que consiste en que la información no es accedida o entregada a individuos, entidades o procesos no autorizados. 10. CSIRT-DN: Equipo de Respuesta a Incidentes de Seguridad Informática de la Defensa Nacional. 11. CSIRT-IDN: Equipo de Respuesta a Incidentes de Seguridad Informática Institucionales de la Defensa Nacional. 12. Dato estadístico: dato que, en su origen, o como consecuencia de su tratamiento, no puede ser asociado a un titular identificado o identificable. 13. Datos de carácter personal o datos personales: cualquier información concerniente a personas naturales, identificadas o identificables. 14. Datos sensibles: aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. 15. Disponibilidad: propiedad que consiste en que la información está disponible y es utilizable cuando es requerida por un individuo, entidad o proceso autorizado. 16. Equipo de Respuesta a Incidentes de Seguridad Informática o CSIRT: centros multidisciplinarios que tienen por objeto prevenir, detectar, gestionar y responder a incidentes de ciberseguridad o ciberataques, en forma rápida y efectiva, y que actúan conforme a procedimientos y políticas predefinidas, ayudando a mitigar sus efectos. 17. Incidente de ciberseguridad: cualquier evento que perjudique o comprometa la confidencialidad o integridad de la información, la disponibilidad o resiliencia de las redes y sistemas informáticos, o la autenticación de los procesos ejecutados o implementados en las redes y sistemas informáticos. 18. Integridad: propiedad que consiste en que la información no ha sido modificada o destruida sin autorización. 19. Información sensible: cualquier dato o información que, si se difunde, se pierde o se utiliza de forma distinta a la prevista, el resultado puede ser un daño grave para las personas o la organización a la que pertenece esa información. 20. Ley Marco: ley N° 21.663, Marco de Ciberseguridad. 21. OIV-DN: Operadores de Importancia Vital para la Defensa Nacional. 22. Organismos e instituciones del sector Defensa: son los organismos de la Administración del Estado que prestan servicios esenciales y son parte del sector Defensa. 23. Plan de Ciberseguridad: documento que identifica los activos informáticos, los riesgos de ciberseguridad, y las medidas para gestionar riesgos, incidentes, ciberamenazas y vulnerabilidades. 24. Red y sistema informático: conjunto de dispositivos, cables, enlaces, enrutadores u otros equipos de comunicaciones o sistemas que almacenen, procesen o transmitan datos digitales. 25. Resiliencia: capacidad de las redes y sistemas informáticos para seguir operando luego de un incidente de ciberseguridad, aunque sea en un estado degradado, debilitado o segmentado, y la capacidad de las redes y sistemas informáticos para recuperar sus funciones después de un incidente de ciberseguridad. 26. Riesgo: posibilidad de que ocurra un incidente de ciberseguridad, cuya magnitud se mide en función de la probabilidad de su ocurrencia y el impacto de sus consecuencias. 27. Sector Defensa: conjunto de órganos, servicios públicos y empresas del Estado y sus filiales, que dependen del Ministerio de Defensa Nacional o se relacionan con el Gobierno a través de éste. 28. Titular de los datos: persona natural a la que se refieren los datos de carácter personal. 29. Vulnerabilidad: debilidad de un activo o control que puede ser explotado por una o más amenazas informáticas.

Principio de control de daños: frente a un ciberataque o a un incidente de ciberseguridad siempre se deberá actuar coordinada y diligentemente, y adoptar las medidas necesarias para evitar la escalada del ciberataque o del incidente de ciberseguridad y su posible propagación a otros sistemas informáticos. 2. Principio de cooperación con la autoridad: para resolver los incidentes de ciberseguridad se deberá prestar la cooperación debida con la autoridad competente y, si es necesario, cooperar entre diversos sectores, teniendo en cuenta la interconexión y la interdependencia de los sistemas y servicios. 3. Principio de coordinación: de conformidad a lo dispuesto por el inciso segundo del artículo 5° de la ley N° 18.575, orgánica constitucional de bases generales de la Administración del Estado, cuyo texto refundido, coordinado y sistematizado fue fijado por el decreto con fuerza de ley N° 1-19.653 de 2000, del Ministerio Secretaría General de la Presidencia, la Agencia y las autoridades sectoriales deberán cumplir sus cometidos coordinadamente, propender a la unidad de acción y evitar la duplicación o interferencia de funciones. 4. Principio de seguridad en el ciberespacio: es deber del Estado garantizar la seguridad en el ciberespacio. El Estado velará para que todas las personas puedan participar de un ciberespacio seguro y otorgará especial protección a las redes y sistemas informáticos que contengan información de grupos de personas particularmente vulnerables a ciberataques. 5. Principio de respuesta responsable: el Estado, en el marco de la aplicación de medidas para responder a incidentes de ciberseguridad o ciberataques en el ámbito de la Defensa, de acuerdo con el artículo 51 de la Carta de las Naciones Unidas, podrá hacer uso de los medios que estime apropiados, tanto físicos como digitales, en el ejercicio de su derecho a la legítima defensa. 6. Principio de seguridad informática: toda persona tiene derecho a adoptar las medidas técnicas de seguridad informática que considere necesarias, incluyendo el uso de cifrado. 7. Principio de racionalidad: las medidas para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades deberán ser necesarios y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y económico. 8. Principio de seguridad y privacidad por defecto y desde el diseño: los sistemas informáticos, aplicaciones y tecnologías de la información deben diseñarse, implementarse y gestionarse teniendo en cuenta la seguridad y la privacidad de los datos personales que procesan.