IHK-Global Business Ausgabe 8-9/2024

AMERIKAS

CHILE Cybersicherheit wird wichtiger

Relevanz für deutsche Unternehmen Das Gesetz gilt für alle Unterneh- men, an denen der chilenische Staat eine Aktienbeteiligung von mehr als 50 Prozent (oder eine Mehrheit im Vorstand) hält. Dies ist bei vielen deutschen Unternehmen der Fall, die wesentliche Dienstleistungen in Chile erbringen. Die Unternehmen müssen eine proaktive Haltung zur Cyber- sicherheit einnehmen, um effektiv mit den chilenischen Behörden zu kooperieren. Das Gesetz betont, dass Unternehmen neben einem fortlau- fenden Cybersicherheitstrainings- programm für die Mitarbeitenden ein Sicherheitsmanagementsystem implementieren müssen. Welche Meldepflichten gibt es? Mit Umsetzung der Dekrete müssen Unternehmen signifikante Sicher- heitsvorfälle oder Cyberangriffe progressiv innerhalb strikter Fristen melden, die in Artikel 9 des Gesetzes festgelegt sind: Schon in den ersten drei Stunden nach Kenntnisnahme muss eine erste Meldung über den Vorfall versandt werden. Innerhalb von 72 Stunden (oder 24 Stunden für Unternehmen in bestimmten Sekto- ren) muss eine Aktualisierung über- mittelt werden. Zudem ist innerhalb von 15 Tagen nach der ersten Mel- dung ein ausführlicher Bericht über den Vorfall abzugeben. Unternehmen, die sich nicht an die- se Vorschriften halten, können eine Straftat begehen. Je nach Schwere des Verstoßes und Art des Unterneh- mens kann dies zu hohen Geldstrafen von umgerechnet bis zu 2,6 Millionen Euro führen. GTAI/IHK Chilenisches Cybersicherheitsgesetz (nur auf Spanisch): ciberseguridad.gob.cl/noticias/ ley-marco-de-ciberseguridad-es- publicada-en-el-diario-oficial/

Cyberangrif- fe sind eine wachsende Bedrohung. Mit dem Cybersi- cherheitsgesetz nimmt Chile auch private Unternehmen in die Pflicht.

und ein System zur Reaktion auf Vor- fälle (Equipo de Respuesta a Inciden- tes de Seguridad Informática – CSRIT) wird geschaffen. Anwendungsbereiche Gemäß Artikel 4 des Gesetzes gilt es für Einrichtungen oder Unternehmen, die als Betreiber von grundlegender Bedeutung (operadores de import- ancia vital) eingestuft sind, sowie für solche, die wesentliche Dienstleistun- gen erbringen (servicios esenciales). Betreiber von grundlegender Bedeu- tung werden durch ANCI-Beschlüsse bestimmt. Bei den Anbietern wesent- licher Dienstleistungen kann es sich sowohl um staatliche Verwaltungs- stellen als auch um private Unter- nehmen handeln, die in strategischen Bereichen tätig sind, beispielsweise in den Bereichen Energie, Brennstoffe, Telekommunikation, digitale Dienste, Banken, Arzneimittel, medizinische Dienste und Verkehr. Unternehmen müssen alle Vorfälle oder Cyberan- griffe an die ANCI und insbesondere an das CSIRT melden. Die vollständi- ge Einrichtung der ANCI erfolgt mit der Verkündung der Dekrete durch den Präsidenten bis April 2025.

Nach über zwei Jahren intensi- ver Debatte ist das chilenische Cybersicherheitsgesetz (Ley 21663/24 – Ley Marco de Ciberseguridad) in Kraft getreten. Damit ist Chile das erste Land in Lateinamerika, das über einen spezifischen Rechtsrahmen in diesem Bereich verfügt. Auch wird damit die modernste Cybersicher- heitsbehörde der Region geschaffen. Unternehmen, die in Chile tätig sind, müssen ihre Richtlinien an die neuen Vorschriften anpassen und sind verpflichtet, mit den chilenischen Behörden beim Schutz vor Cyberan- griffen zu kooperieren. Ziele des neuen Gesetzes Im Vordergrund steht der Schutz der chilenischen Staatseinrichtun- gen sowie deren Beziehungen zum nicht-staatlichen Bereich, wozu auch in- und ausländische Unternehmen gehören. Das Gesetz definiert auch die Mindestanforderungen an die Abwehrfähigkeit im Falle von Cyber- angriffen. Es legt Pflichten und Befug- nisse des Staates sowie die Pflichten von Unternehmen fest. Eine nationale Agentur für Cybersicherheit (Agencia Nacional de Ciberseguridad – ANCI)

12

IHK Global Business 08-09/2024

ihk.de/rhein-neckar

Made with FlippingBook Learn more on our blog