. . . . . "Participacion "^^ . . " Al art\u00EDculo 33, el diputado se\u00F1or Andr\u00E9s Jouannet, formul\u00F3 las siguientes indicaciones N\u00B0s 41, 42, 43, 44, 45, 46, 47, 48 y 49:\n \n \n\t41. \u201CReempl\u00E1cese el inciso primero del art\u00EDculo 33\u00B0 propuesto por el siguiente:\n \n \n\u201CArt\u00EDculo 33. De las infracciones. Las sanciones a las infracciones de la presente ley cometidas por instituciones p\u00FAblicas y privadas calificadas como operadores de importancia vital ser\u00E1n las siguientes:\u201D\n \n \n\t42. \u201CReempl\u00E1cese el literal a) del inciso primero del art\u00EDculo 33\u00B0 por el siguiente:\n \n \n\t\u201Ca) Las infracciones leves ser\u00E1n sancionadas con amonestaci\u00F3n escrita o multa de hasta 5.000 unidades tributarias mensuales\u201D\n \n \n\t43. \u201CReempl\u00E1cese el literal b) del inciso primero del art\u00EDculo 33\u00B0 por el siguiente:\n \n \n\t\u201Cb) Las infracciones graves ser\u00E1n sancionadas con multa de hasta 10.000 unidades tributarias mensuales\u201D.\n \n\t44. \u201CReempl\u00E1cese el literal c) del inciso primero del art\u00EDculo 33\u00B0 por el siguiente: \n \n \n\t\u201Cc) Las infracciones grav\u00EDsimas ser\u00E1n sancionadas con multa de hasta 20.000 unidades tributarias mensuales\u201D.\n \n \n\t45. \u201CReempl\u00E1cese el inciso segundo del art\u00EDculo 33\u00B0 por el siguiente: \n \n \n\t\u201CSe consideran infracciones leves las siguientes:\n \n\ta) Incumplir las instrucciones generales o particulares impartidas por la Agencia en los casos que no est\u00E9 sancionado como infracci\u00F3n grave o grav\u00EDsima.\n \n\tb) Incumplir total o parcialmente con los protocolos y est\u00E1ndares diferenciados establecidos por la Agencia en virtud del art\u00EDculo 5\u00B0.\n \n\tc) No haber designado un delegado de ciberseguridad en conformidad con el literal i) del art\u00EDculo 6\u00B0. \n \n\td) No contar con programas de capacitaci\u00F3n, formaci\u00F3n y educaci\u00F3n de sus trabajadores, en conformidad con el literal h) del art\u00EDculo 6\u00B0.\n \n\te) No contar con las certificaciones requeridas por la ley o el Reglamento, de conformidad con los literales c) y f) del art\u00EDculo 6\u00B0.\n \n\tf) Cometer cualquier otra infracci\u00F3n a las obligaciones y principios establecidos en esta ley, que no sea calificada como una infracci\u00F3n grave o grav\u00EDsima\u201D.\n \n \n\t46. \u201CReempl\u00E1cese el inciso tercero del art\u00EDculo 33\u00B0 por el siguiente: \n \n \n\t\u201CSe consideran infracciones graves las siguientes:\n \n\ta) Entregar fuera de plazo la informaci\u00F3n a la autoridad u organismo de la Administraci\u00F3n del Estado habilitado por ley para requerirla.\n \n\tb) Incumplir la obligaci\u00F3n de reportar establecida en el art\u00EDculo 7\u00B0, en los casos que no est\u00E9 sancionado como infracci\u00F3n grav\u00EDsima.\n \n\tc) Incumplir con el deber general de no realizar pagos de cualquier tipo por rescate ante ataques de secuestro digital o ransomware, establecido en el art\u00EDculo 5\u00B0.\n \n\td) Incumplir injustificadamente con el deber de informar a la comunidad sobre la ocurrencia de incidentes o ciberataques que pudieran comprometer gravemente sus redes y sistemas inform\u00E1ticos, de conformidad con el literal g) del art\u00EDculo 6\u00B0.\n \n\te) No haber adoptado de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagaci\u00F3n de un incidente de ciberseguridad, en conformidad con lo establecido en el literal e) del art\u00EDculo 6\u00B0.\n \n\tf) No mantener un registro de las acciones ejecutadas que compongan el sistema de seguridad de la informaci\u00F3n, de conformidad al literal b) del art\u00EDculo 6\u00B0.\n \n\tg) Incumplir con el deber de elaborar e implementar planes de continuidad operacional y ciberseguridad, seg\u00FAn lo se\u00F1alado por el literal c) del art\u00EDculo 6\u00B0.\n \n\th) La reiteraci\u00F3n de una misma infracci\u00F3n calificada como leve de acuerdo con este art\u00EDculo\u201D.\n \n \n\t47. \u201CReempl\u00E1cese el inciso tercero del art\u00EDculo 33\u00B0 por el siguiente:\n \n \n\t\u201CLas siguientes infracciones se consideran grav\u00EDsimas:\n \n\ta) Negar injustificadamente informaci\u00F3n a la autoridad u organismo de la Administraci\u00F3n del Estado habilitado para requerirla.\n \n\tb) Entregar informaci\u00F3n falsa o manifiestamente err\u00F3nea a la autoridad u organismo de la Administraci\u00F3n del Estado habilitado para requerirla.\n \n\tc) Incumplir injustificada o maliciosamente con el deber de reportar establecido en el art\u00EDculo 7\u00B0. \n \n\td) Incumplir injustificadamente con los deberes establecidos en los literales a) y d) del art\u00EDculo 6\u00B0.\n \n\te) La reiteraci\u00F3n de infracciones calificadas como graves de acuerdo con este art\u00EDculo\u201D.\n \n \n\t48. \u201CInterc\u00E1lese en el inciso cuarto (quinto?) del art\u00EDculo 33\u00B0, luego de \u201Cla gravedad de los efectos de los ataques\u201D la expresi\u00F3n \u201Cincluidas sus repercusiones sociales o econ\u00F3micas, la gravedad de la infracci\u00F3n, el grado de exposici\u00F3n del infractor a los riesgos, el tama\u00F1o del infractor, el beneficio econ\u00F3mico obtenido con motivo de la infracci\u00F3n en caso que lo hubiese, la intencionalidad en la comisi\u00F3n de la infracci\u00F3n y el grado de participaci\u00F3n en el hecho, acci\u00F3n u omisi\u00F3n constitutiva de la misma, las sanciones aplicadas con anterioridad por la Agencia en las mismas circunstancias, el porcentaje de usuarios afectados por la infracci\u00F3n\u201D.\n \n \n\t49. \u201CIncorp\u00F3rese un nuevo inciso final al art\u00EDculo 33\u00B0 del siguiente tenor:\n \n \n\t\u201CSe consideran circunstancias atenuantes:\n \n\ta) Haber adoptado c\u00F3digos de conducta certificados por un centro de certificaci\u00F3n acreditado.\n \n\tb) Haber adoptado directrices autorregulatorias certificadas por un centro de certificaci\u00F3n acreditado. \n \n\tc) Haber designado a un delegado de ciberseguridad; \n \n\td) Que la entidad infractora haya tomado medidas para mitigar o prevenir el da\u00F1o o las p\u00E9rdidas causadas;\n \n\te) Que la entidad infractora haya colaborado con la Agencia Nacional de Ciberseguridad\u201D.\n \n \n " .