2023年4月26日,智利参议院一致批准了《网络安全和关键信息基础设施框架法》(Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información)草案(第一宪定程序,以下简称“提案”)。因此,该立法提案进入第二宪定程序,待智利众议院审议。
该提案旨在建立框架性制度、原则和一般规则,以构建、规范和协调涉及网络安全的国家机构和部门的行动以及公私间的网络安全行动,并建立预防、遏制、解决和应对网络安全事件和网络攻击的最低要求。
该提案的主要内容如下:
- 制度化。该提案包含一个强大的机构设置,拟创建智利国家网络安全局(Agencia Nacional de Ciberseguridad,“ANCI”)、多部门网络安全委员会(Consejo Multisectorial sobre Ciberseguridad)和计算机安全事件响应小组(Equipo de Respuesta a Incidentes de Seguridad Informática,国家级、国防级和部门级的“CSIRT”)。智利国家网络安全局将是一个技术性和专业化的公共服务机构,具有监管、监督和制裁的权力。该机构将规范国家行政机构和私营机构在网络安全领域的行为。
- 重要运营者。拟建的网络安全局应根据法律规定,确定哪些服务是至关重要的,并确定其中的重要运营者(operadores de importancia vital)。这些实体须履行具体职责,包括有义务实施信息安全管理系统,制定和维护业务连续性计划,并指定一名网络安全专员等。
- 一般职责。该提案将要求所有国家机构和私营机构采取必要措施,来预防、报告和解决网络安全事件;管理相关风险;控制和减轻事件可能对所提供服务的业务连续性、保密性和完整性的影响。此外,禁止在发生数字绑架或勒索软件攻击时支付任何形式的赎金。
- 报告网络安全事件和网络攻击的义务。所有实体,无论是公法还是私法的,除被特定豁免的实体外,都必须在3小时内向国家CSIRT报告网络攻击和可能产生重大影响的网络安全事件。报告时还应通报相应的应对措施。
- 违规行为和相关处罚。该提案载有一个侵权行为目录,分轻微、严重和非常严重的行为,罚款最高可达2万个月税单位(UTM)。
作者:吉勒莫·佳理(Guillermo Carey)、何塞·伊纳西奥·麦卡多(José Ignacio Mercado)、Iván Meleda。
