Cybersicherheit in Chile

Am 8. April 2024 ist in Chile nach mehr als zwei Jahren intensiver Debatte das Cybersicherheitsgesetz (Ley 21663/24 - Ley Marco de Ciberseguridad) in Kraft getreten. Mit dem neuen Gesetz ist Chile das erste Land in Lateinamerika, das über einen spezifischen Rechtsrahmen in diesem Bereich verfügt. Außerdem wird damit die modernste Cybersicherheitsbehörde der Region geschaffen. Unternehmen, die in Chile tätig sind, müssen ihre Richtlinien zu diesem Thema an die neuen Vorschriften anpassen und sind verpflichtet, mit den chilenischen Behörden beim Schutz vor Cyberangriffen zu kooperieren.

Ziel des neuen chilenischen Cybersicherheitsgesetzes

Das Gesetz zielt darauf ab, die Cybersicherheit im Land zu strukturieren und zu regeln. Im Vordergrund steht der Schutz der chilenischen Staatseinrichtungen sowie deren Beziehungen zu Privaten, zu denen in- und ausländische Unternehmen gehören. Das Gesetz definiert auch die Mindestanforderungen an die Resilienz im Falle von Cyberangriffen. Es legt die Pflichten und Befugnisse des Staates in diesem Bereich sowie die Pflichten von Unternehmen fest. Darüber hinaus werden die Nationale Agentur für Cybersicherheit (Agencia Nacional de Ciberseguridad - ANCI) und ein System zur Reaktion auf Vorfälle (Equipo de Respuesta a Incidentes de Seguridad Informática - CSRIT) geschaffen.

Schlüsselbegriffe

Artikel 2 des Gesetzes enthält eine umfangreiche Liste von Schlüsselbegriffen, die für die Anwendung der neuen Maßnahmen grundlegend sind. Darunter:

• Cybersicherheit: Schutz der Datenvertraulichkeit und -integrität sowie der Verfügbarkeit und Resilienz von Computernetzen und -systemen.
• Cyber-Angriff: Ein Versuch, Daten zu zerstören, offenzulegen, zu verändern, zu deaktivieren, zu stehlen oder sich unbefugten Zugang zu IT-Ressourcen zu verschaffen.
• Resilienz: Die Fähigkeit einer Organisation oder eines Unternehmens, Cyberangriffe oder Sicherheitsvorfälle (incidentes) zu verhindern, sowie die Kapazität, den Betrieb fortzusetzen und nach möglichen Angriffen wiederherzustellen.

Anwendungsbereich des Gesetzes

Gemäß Artikel 4 des Gesetzes gilt es für Einrichtungen oder Unternehmen, die als Betreiber von grundlegender Bedeutung (operadores de importancia vital) eingestuft sind, sowie für solche, die wesentliche Dienstleistungen erbringen (servicios esenciales). Betreiber von grundlegender Bedeutung werden weiterhin durch ANCI-Beschlüsse bestimmt. Bei den Anbietern wesentlicher Dienstleistungen kann es sich sowohl um staatliche Verwaltungsstellen als auch um private Unternehmen handeln, die in strategischen Bereichen tätig sind, beispielsweise in den Bereichen Energie, Brennstoffe, Telekommunikation, digitale Dienste, Banken, Arzneimittel, medizinische Dienste, Verkehr und andere.

Die ANCI kann per begründetem Beschluss in Zukunft weitere Dienstleistungen als wesentlich einstufen, zusätzlich zu denen, die bereits gesetzlich vorgesehen sind.

Relevanz des Gesetzes für deutsche Unternehmen

Das Gesetz gilt für alle Unternehmen, an denen der chilenische Staat eine Aktienbeteiligung von mehr als 50 Prozent (oder eine Mehrheit im Vorstand) hält. Dies ist bei vielen deutschen Unternehmen der Fall, die wesentliche Dienstleistungen in Chile erbringen. Die Unternehmen müssen eine proaktive Haltung zur Cybersicherheit einnehmen, was erhebliche Auswirkungen auf die Schulung des Personals hat, um effektiv mit den chilenischen Behörden zu kooperieren. Das Gesetz betont ausdrücklich die Pflicht der Unternehmen, neben einem fortlaufenden Cybersicherheitstrainingsprogramm für die Mitarbeitenden ein Sicherheitsmanagementsystem zu implementieren.

Zuständige Behörden

Die Unternehmen müssen alle Vorfälle oder Cyberangriffe an die ANCI und insbesondere an das CSIRT melden. Die ANCI wird eine öffentliche Einrichtung sein, die dem Ministerium für öffentliche Sicherheit (Ministerio del Interior y Seguridad Pública) unterstellt ist. Sie wird ihren Sitz in Santiago haben, den Präsidenten der Republik beraten und die Maßnahmen zur Cybersicherheit koordinieren. Bei dem CSIRT handelt es sich im Grunde um eine Arbeitsgruppe, die innerhalb der ANCI tätig sein wird. Seine Hauptaufgaben bestehen darin, Sicherheitsvorfälle oder Cyberangriffe zu verhindern, aufzudecken und schnell und wirksam darauf zu reagieren. Angesichts seiner Bedeutung ist das CSRIT bereits aktiv, noch bevor ANCI seine Tätigkeit beginnt. Das Gesetz sieht vor, dass die vollständige Umsetzung der ANCI von der Verkündung von Dekreten durch den Präsidenten der Republik abhängt, was bis April 2025 geschehen soll.

Meldepflicht und Strafen

Sobald die künftigen Dekrete in Kraft getreten sind, sind die Unternehmen verpflichtet, signifikante Sicherheitsvorfälle oder tatsächliche Cyberangriffe innerhalb strikter Fristen zu melden, die in Artikel 9 des Gesetzes festgelegt sind. Es handelt sich um eine progressive Regelung:

1. Innerhalb von 3 Stunden nach Kenntnisnahme muss eine erste Meldung über den Vorfall versandt werden;
2. Innerhalb von 72 Stunden (beziehungsweise 24 Stunden für Unternehmen in bestimmten Sektoren) muss eine Aktualisierung übermittelt werden, die eine erste Bewertung der Tragweite und der Auswirkungen des Vorfalls enthält.
3. Innerhalb von 15 Tagen nach der ersten Meldung ist ein ausführlicher Bericht über den Vorfall zu übermitteln, gegebenenfalls auch über seine möglichen länderübergreifenden Auswirkungen.

Unternehmen, die sich nicht an diese Vorschriften halten, können eine Straftat begehen, die als leicht, gravierend oder sehr gravierend eingestuft werden kann. Je nach Schwere des Verstoßes und Art des Unternehmens kann dies zu hohen Geldstrafen von bis zu 2,6 Millionen Euro (40.000 chilenische monatliche Steuereinheiten - UTM) führen.

Zum Thema:

• Offizielle Mitteilung (Coordinación Nacional de Ciberseguridad)
• CSRIT (Computer Security Incident Response Team)
• GTAI-Publikation Recht kompakt Chile