Desde 1 de março de 2025, o Chile já não discute se vai ter um quadro de cibersegurança. Aplica-o. Nessa data entraram em vigor os artigos 5, 8 e 9 e o Título VII da Lei 21.663, a Lei Quadro de Cibersegurança, e com eles o regime sancionatório e a obrigação de reportar os incidentes significativos em três horas. Não noventa dias, não uma semana. Três horas.
Esse número resume melhor do que qualquer outro a mudança de lógica. A lei não pede apenas para proteger os sistemas, pede para reagir e prestar contas numa janela que se mede em horas. E uma decisão que se mede em horas não pode ser tomada durante o incidente. Tem de estar definida antes.
Este artigo não repete o que é a Lei 21.663 nos seus termos gerais. Concentra-se na camada operacional, a que separa duas figuras que a lei trata de forma distinta mas complementar. Quem responde pelo cumprimento perante a autoridade, ou seja, o conselho e a direção de topo, e quem sustenta esse cumprimento todos os dias, ou seja, o colaborador. São dois papéis, dois relógios e dois tipos de evidência.
O que introduz a Lei 21.663 e a quem se aplica?
A lei cria a ANCI (Agência Nacional de Cibersegurança), a autoridade setorial com poderes concretos. A ANCI emite normativa técnica vinculativa, supervisiona os sujeitos regulados, conduz os procedimentos sancionatórios e qualifica os Operadores de Importância Vital através de resolução fundamentada. Cria ainda o CSIRT Nacional, o organismo que recebe os reportes de incidente e coordena a resposta.
O âmbito organiza-se em dois níveis. Os serviços essenciais abrangem setores estratégicos como energia, água, telecomunicações, infraestrutura digital, transportes, serviços financeiros e saúde. Os Operadores de Importância Vital (OIV) são um subconjunto desses serviços, selecionado pela ANCI pela sua criticidade nacional, e sobre eles recai o nível de exigência mais elevado.
A distinção não é burocrática. Determina quantas medidas o sujeito tem de demonstrar e a que limite de sanção se expõe. Saber em qual dos dois níveis está uma organização é a primeira pergunta de cumprimento, ainda antes de falar de formação ou de tecnologia.
O que exige a lei ao conselho?
O artigo 8 enumera os deveres reforçados para os Operadores de Importância Vital, e são deveres de governo, não apenas da área técnica. Implementar um sistema de gestão de segurança da informação, desenvolver e certificar planos de continuidade operacional e de cibersegurança, executar auditorias e exercícios periódicos, designar um delegado de cibersegurança. São obrigações que exigem orçamento, supervisão e uma decisão que parte do topo.
A isto soma-se o regime sancionatório, escalonado por gravidade e medido em UTM (Unidad Tributaria Mensual, a unidade de conta indexada que o Chile usa para multas e tributos). As infrações leves chegam até 5.000 UTM, as graves até 10.000 UTM, as gravíssimas até 20.000 UTM no regime geral e até 40.000 UTM para os Operadores de Importância Vital. Traduzido em consequências concretas, o incumprimento deixa de ser um risco reputacional abstrato e passa a ser uma rubrica quantificável no balanço de risco.
Há um terceiro elemento que o conselho tende a subestimar. A responsabilidade do cumprimento não se delega por completo ao departamento de TI. Recai sobre a direção de topo do sujeito, que tem de aprovar as medidas e supervisionar a sua implementação. É o mesmo deslocamento de centro de gravidade que a Diretiva NIS2 introduziu na Europa com o seu artigo 20, e que obriga o programa de cibersegurança a passar de iniciativa técnica a responsabilidade estrutural do órgão que decide.
Três horas, e onde começa realmente a contagem
O artigo 9 estabelece um regime de reporte escalonado para o CSIRT Nacional. Um alerta inicial dentro de 3 horas desde que se toma conhecimento do incidente significativo, um reporte de atualização dentro de 72 horas com a avaliação de gravidade, impacto e indicadores, e um relatório final dentro de 15 dias com a análise completa e as medidas corretivas aplicadas.
O que é delicado neste esquema não está na tecnologia, está nos minutos iniciais. Três horas são uma margem suficiente apenas se a organização já sabia que havia um incidente em curso. E na maioria dos casos, o primeiro a notar algo anómalo não é o SOC. É uma pessoa qualquer que recebe uma mensagem estranha, vê um acesso que não bate certo ou nota um comportamento invulgar no seu próprio sistema.
É aqui que se cruzam as duas figuras. O relógio formal das três horas pertence ao conselho e ao delegado de cibersegurança, mas o relógio real começa muito antes, no momento em que um colaborador decide se reporta ou deixa passar. Se esse aviso interno for rápido, a janela legal mantém-se gerível. Se chegar tarde, as três horas consomem-se antes de o responsável saber que tem de as contar.
O que exige a lei ao colaborador?
A Lei 21.663 não impõe obrigações diretas ao colaborador individual e, ainda assim, não se pode cumprir sem ele. O seu cumprimento depende de uma cadeia que começa na atenção diária das pessoas e chega até à resolução da ANCI.
O papel do colaborador concentra-se em duas capacidades mensuráveis. A primeira é reconhecer um sinal anómalo, da mensagem de phishing ao acesso suspeito, com um nível de atenção que não se improvisa. A segunda é saber exatamente a quem e com que urgência o reportar, porque um aviso interno rápido é o primeiro elo da cadeia de reporte que a lei prevê.
Este é o ponto onde o cumprimento normativo deixa de ser um documento e passa a ser comportamento. Um colaborador que hesita, que não sabe se vale a pena reportar ou que não conhece o canal correto, introduz um atraso que nenhuma tecnologia recupera. Por isso a sensibilização para a cibersegurança não é um complemento do programa de cumprimento da Lei 21.663. É uma das suas componentes operacionais.
Como se demonstra o cumprimento perante a ANCI?
Entre o conhecimento declarado e o comportamento efetivo há uma distância que a auditoria mede sem concessões. Afirmar que o pessoal “foi formado” não equivale a poder demonstrar quem completou que conteúdo, quando, com que resultado e com que reforço ao longo do tempo. A evidência rastreável é o que transforma um programa de sensibilização num argumento de defesa perante a autoridade.
Sobre isto, a SMARTFENSE estruturou o seu material formal da Lei 21.663 seguindo a mesma divisão que a lei impõe. Por um lado, um percurso executivo para o conselho e a direção de topo, que cobre âmbito de aplicação, deveres do artigo 8, regime de reporte e quadro de sanções. Por outro, um percurso introdutório para o colaborador, que explica em linguagem simples o que são a ANCI e o CSIRT Nacional, o que significa a janela de três horas e porque é que a sua atenção diária faz parte do cumprimento. A estes juntam-se avaliações e comunicações periódicas que deixam rasto de cada interação.
A ideia de fundo é a mesma que vale para o reporte ao comité de direção ou para a proteção de dados pessoais em sede regulatória. O cumprimento que não se pode demonstrar com dados não existe aos olhos de quem o verifica. Quem quiser ver como se articula um programa deste tipo pode explorá-lo na plataforma da SMARTFENSE.
O quadro chileno é agora lei aplicada, com uma autoridade operacional e um relógio a correr. O conselho sabe o que arrisca e o colaborador sabe o que observar. A pergunta que fica não é se a Lei 21.663 vai mudar a forma de gerir a cibersegurança no Chile, mas se a organização será capaz de o demonstrar nas três horas em que vai realmente importar.
Deixe um comentário