Dal 1° marzo 2025 il Cile non discute più se avrà un quadro di cybersecurity. Lo applica. In quella data sono entrati in vigore gli articoli 5, 8 e 9 e il Titolo VII della Legge 21.663, la Ley Marco de Ciberseguridad, e con essi il regime sanzionatorio e l’obbligo di segnalare gli incidenti significativi entro tre ore. Non novanta giorni, non una settimana. Tre ore.
Quel numero riassume meglio di qualsiasi altro il cambio di logica. La legge non chiede solo di proteggere i sistemi, chiede di reagire e di renderne conto in una finestra di tempo che si misura in ore. E una decisione che si misura in ore non può essere presa durante l’incidente. Deve essere già definita prima.
Questo articolo non ripete cos’è la Legge 21.663 nei suoi termini generali. Si concentra sul livello operativo, quello che separa due figure che la legge tratta in modo diverso ma complementare: chi risponde della conformità davanti all’autorità, cioè il consiglio di amministrazione (CdA) e l’alta direzione, e chi sostiene quella conformità ogni giorno, cioè il collaboratore. Sono due ruoli, due orologi e due tipi di evidenza.
Cosa introduce la Legge 21.663 e a chi si applica?
La legge crea l’ANCI (Agencia Nacional de Ciberseguridad), l’autorità di settore con poteri concreti. L’ANCI emana normativa tecnica vincolante, supervisiona i soggetti regolati, conduce i procedimenti sanzionatori e qualifica gli Operatori di Importanza Vitale tramite risoluzione fondata. Crea inoltre il CSIRT Nazionale (Computer Security Incident Response Team), l’organo che riceve le segnalazioni di incidente e coordina la risposta.
Il perimetro di applicazione si articola su due livelli. I servizi essenziali coprono settori strategici come energia, acqua, telecomunicazioni, infrastruttura digitale, trasporti, servizi finanziari e sanità. Gli OIV (Operatori di Importanza Vitale) sono un sottoinsieme di quei servizi, selezionato dall’ANCI per la sua criticità nazionale, e su di loro grava il livello di obbligo più alto.
La distinzione non è burocratica. Determina quante misure il soggetto deve dimostrare e a quale soglia di sanzione si espone. Sapere in quale dei due livelli si trova un’organizzazione è la prima domanda di conformità, prima ancora di parlare di formazione o di tecnologia.
Cosa richiede la legge al CdA?
L’articolo 8 elenca i doveri rinforzati per gli OIV, e sono doveri di governance, non solo di reparto tecnico. Implementare un sistema di gestione della sicurezza delle informazioni, sviluppare e certificare piani di continuità operativa e di cybersecurity, eseguire audit ed esercitazioni periodiche, designare un delegato di cybersecurity. Sono obblighi che richiedono budget, supervisione e una decisione che parte dall’alto.
A questo si aggiunge il regime sanzionatorio, scaglionato per gravità e misurato in UTM (Unidad Tributaria Mensual, l’unità di conto indicizzata che il Cile usa per multe e tributi). Le infrazioni lievi arrivano fino a 5.000 UTM, le gravi fino a 10.000 UTM, le gravissime fino a 20.000 UTM nel regime generale e fino a 40.000 UTM per gli OIV. Tradotto in conseguenze concrete, la non conformità smette di essere un rischio reputazionale astratto e diventa una voce quantificabile nel bilancio del rischio.
C’è un terzo elemento che il CdA tende a sottovalutare. La responsabilità della conformità non si delega completamente al reparto IT. Ricade sull’alta direzione del soggetto, che deve approvare le misure e supervisionarne l’attuazione. È lo stesso spostamento di baricentro che la Direttiva NIS2 ha introdotto in Europa con l’articolo 20, e che obbliga il programma di cybersecurity a passare da iniziativa tecnica a responsabilità strutturale dell’organo decisionale.
Tre ore, e dove inizia davvero il conteggio
L’articolo 9 stabilisce un regime di segnalazione scaglionato verso il CSIRT Nazionale. Un’allerta iniziale entro 3 ore da quando si prende conoscenza dell’incidente significativo, un rapporto di aggiornamento entro 72 ore con la valutazione di gravità, impatto e indicatori, e un rapporto finale entro 15 giorni con l’analisi completa e le misure correttive adottate.
La criticità di questo schema non sta nella tecnologia, sta nei minuti iniziali. Tre ore sono un margine sufficiente solo se l’organizzazione sapeva già di un incidente in corso. E nella maggior parte dei casi il primo a notare qualcosa di anomalo non è il SOC, è una persona qualunque che riceve un messaggio strano, vede un accesso che non quadra o nota un comportamento insolito nel proprio sistema.
Qui le due figure si incontrano. L’orologio formale delle 3 ore appartiene al CdA e al delegato di cybersecurity, ma l’orologio reale inizia molto prima, nel momento in cui un collaboratore decide se segnalare o lasciar correre. Se quella segnalazione interna è rapida, la finestra legale resta gestibile. Se arriva tardi, le tre ore si consumano prima ancora che il responsabile sappia di doverle contare.
Cosa richiede la legge al collaboratore?
La Legge 21.663 non impone obblighi diretti al singolo collaboratore, e tuttavia non si può rispettare senza di lui. La sua conformità dipende da una catena che parte dall’attenzione quotidiana delle persone e arriva fino alla risoluzione dell’ANCI.
Il ruolo del collaboratore si concentra su due capacità misurabili. La prima è riconoscere un segnale anomalo, dal messaggio di phishing all’accesso sospetto, con un livello di consapevolezza che non si improvvisa. La seconda è sapere esattamente a chi e con quale urgenza segnalarlo, perché un avviso interno rapido è il primo anello della catena di reporting prevista dalla legge.
Questo è il punto in cui la conformità normativa smette di essere un documento e diventa comportamento. Un collaboratore che esita, che non sa se vale la pena segnalare o che non conosce il canale corretto, introduce un ritardo che nessuna tecnologia recupera. Per questo la Cybersecurity awareness non è un complemento del programma di conformità alla Legge 21.663: ne è una componente operativa.
Come si dimostra la conformità davanti all’ANCI?
Tra la conoscenza dichiarata e il comportamento effettivo c’è una distanza che l’audit misura solo attraverso le prove. Affermare che il personale “è stato formato” non equivale a poter dimostrare chi ha completato quale contenuto, quando, con quale risultato e con quale rinforzo nel tempo. L’evidenza tracciabile è ciò che trasforma un programma di awareness in un argomento di difesa davanti all’autorità.
Su questo SMARTFENSE ha strutturato il proprio materiale formale sulla Legge 21.663 seguendo esattamente la divisione che la legge impone. Da un lato un percorso esecutivo per il CdA e l’alta direzione, che copre ambito di applicazione, doveri dell’articolo 8, regime di segnalazione e quadro sanzionatorio. Dall’altro un percorso introduttivo per il collaboratore, che spiega in linguaggio semplice cosa sono l’ANCI e il CSIRT Nazionale, cosa significa la finestra di 3 ore e perché la sua attenzione quotidiana fa parte della conformità. A questi si affiancano valutazioni e comunicazioni periodiche che lasciano traccia di ogni interazione.
L’idea di fondo è la stessa che vale per il reporting verso il comitato di direzione o per la protezione dei dati personali in sede normativa: la conformità che non si può dimostrare con dati non esiste agli occhi di chi la verifica. Chi volesse vedere come funziona tutto questo nella pratica può esplorare la piattaforma SMARTFENSE.
Il quadro normativo cileno è ormai legge applicata, con un’autorità operativa e un orologio che corre. Il CdA sa cosa rischia e il collaboratore sa cosa osservare. La domanda che resta non è più se la Legge 21.663 cambierà il modo di gestire la cybersecurity in Cile, ma se l’organizzazione sarà in grado di dimostrarlo nelle tre ore in cui conterà davvero.
Lascia un commento