Blog
dark mode light mode Search Archivos descargables
Search
Popular tags
The Latest
View All
6 min read
Share 0
Share 0
share this

Cuenta regresiva: El listado preliminar de OIV y Ley Marco de Ciberseguridad para Chile

Natalia Molina
Content marketing
El listado preliminar de OIV y Ley Marco de Ciberseguridad para Chile
El listado preliminar de OIV y Ley Marco de Ciberseguridad para Chile

La gran lección en Chile no llegó solo con el ciberataque al Banco de Chile; si bien este evidenció la vulnerabilidad del sistema, fueron los posteriores incidentes en organismos del Estado, como el Registro Civil o el Ministerio del Interior, los que demostraron que la amenaza era un riesgo de colapso generalizado. Esta acumulación de experiencias, fue lo que llevó al Estado chileno a ponerse manos a la obra e igualarse a los países líderes en materia regulatoria de ciberseguridad. 

La publicación de la nómina preliminar de Operadores de Importancia Vital (OIV) por parte de la Agencia Nacional de Ciberseguridad (ANCI), junto a la publicación de La Ley Marco de Ciberseguridad (Ley N° 21.663) pasaron de promesa a obligación tangible, con un plazo para consulta pública: el 16 de octubre de 2025.

Si tu organización está en este listado, o si provees servicios a alguna de ellas, es momento de ponerse a trabajar. La ANCI, a través de este proceso de calificación, está pidiendo más que papeles; exige demostrar una capacidad real y auditable de gestión de riesgos y resiliencia.

¿Qué es la Ley Marco de Ciberseguridad en Chile y qué busca?

La Ley N° 21.663 tiene por objeto establecer la institucionalidad, los principios y la normativa general para estructurar, regular y coordinar las acciones de ciberseguridad en Chile. Su misión central es proteger al país, tanto en el sector público como en el privado, frente a los incidentes de ciberseguridad que puedan comprometer la seguridad nacional y/o la provisión de Servicios Esenciales.

Esta ley nace de algo simple pero vital: la necesidad de proteger lo que mantiene al país funcionando, lo que llamamos la infraestructura crítica de la información. Es como ponerle un chaleco antibalas a nuestros sistemas más importantes.

Esto no es un invento chileno, es una tendencia mundial. Este tema viene de regulaciones potentes como la Directiva NIS 2 de la Unión Europea. Países como España llevan tiempo reforzando sus defensas, ¿por qué? Porque se dieron cuenta de algo muy importante: un ciberataque a una red eléctrica, un hospital o un banco puede ser más paralizante para la economía y la vida diaria que un ataque con misiles.

El punto es este: el Estado no puede darse el lujo de que la defensa nacional dependa solo de cuánto invierte o no una empresa privada en seguridad. La ciberseguridad, a este nivel, se convierte directamente en un tema de seguridad nacional.”

Para lograr esto, la Ley Marco en Chile crea dos figuras clave:

  1. Agencia Nacional de Ciberseguridad (ANCI): Este es el organismo técnico y especializado, con personalidad jurídica propia, encargado de supervisar el cumplimiento, coordinar las acciones y, fundamentalmente, regular el ecosistema de ciberseguridad nacional. Es el gran fiscalizador.
  2. CSIRT Nacional: El Equipo Nacional de Respuesta a Incidentes de Seguridad Informática, creado dentro de la ANCI, cuya función principal es coordinar la respuesta nacional ante ciberataques e incidentes de efecto significativo.

Los Pilares de la Regulación: Servicios Esenciales y Operadores de Importancia Vital (OIV)

La Ley focaliza sus exigencias en aquellas entidades cuyo efecto tras un incidente podría causar un daño grave. Para ello, define dos categorías esenciales:

  • Prestadores de Servicios Esenciales (PSE): Son organizaciones que realizan actividades críticas en sectores como energía, telecomunicaciones, servicios financieros, salud, e infraestructura digital, cuya interrupción puede causar un grave perjuicio.
  • Operadores de Importancia Vital (OIV): De los PSE, son aquellos que la ANCI califica como vitales para la seguridad, el orden público o la provisión continua de los Servicios Esenciales. Una vez que una organización es calificada como OIV, se convierte en el sujeto de las obligaciones de seguridad más estrictas y fiscalizables que establece la Ley Marco.

La reciente publicación del listado preliminar de OIV por la ANCI formaliza el inicio de esta categorización, incluyendo organismos del Estado y entidades clave de la banca, transporte y logística, energía, combustibles, telecomunicaciones y salud. La ley es una realidad de cumplimiento inmediato.

¿Pero por qué la urgencia? Porque los riesgos que se enfrentan son importantes y los incidentes globales en el pasado han demostrado lo catastróficos que pueden ser:

  • Pérdida de Energía (Guerra Cibernética): Casos como el ataque a la red eléctrica de Ucrania (atribuido a hackers rusos) demostraron que se puede dejar sin energía a un país entero.
  • Colapso del Transporte Global (Maersk): El ataque de ransomware NotPetya a la naviera Maersk no solo detuvo sus operaciones, sino que paralizó una parte significativa del comercio marítimo mundial.
  • Crisis Financiera: Un ciberataque fuerte a la banca o a los sistemas de pago podría paralizar la economía. Millones de personas se quedarían sin acceso a ver ni utilizar sus fondos.

El Listado Preliminar de OIV: Exigencias y Deber de Reporte

Para las organizaciones incluidas en la nómina (o aquellas que proveen servicios críticos a estas), ser OIV implica demostrar capacidad real de gestión de riesgos y resiliencia operacional. La ANCI no está esperando la nómina definitiva. El proceso de consulta pública (cierre: 16 de octubre de 2025) exige a las empresas actuar ahora, anticiparse y tener evidencias sólidas.

La Ley no exige certificarse de inmediato, pero sí demostrar hoy un marco auditable de ciberseguridad (Art. 8°). Las obligaciones fundamentales de los OIV se centran en:

  1. SGSI Continuo: Implementar y mantener un Sistema de Gestión de Seguridad de la Información (SGSI) basado en la gestión de riesgos. Este sistema debe ser continuo, maduro y trazable.
  2. Planes Operacionales: Elaborar e implementar planes de continuidad operacional y ciberseguridad que se revisarán periódicamente y se pondrán a prueba con ejercicios y simulacros continuos.
  3. Deber de Reportar Oportuno: La obligación crítica de reportar un incidente de efecto significativo a la ANCI/CSIRT Nacional en un plazo de 3 horas (alerta temprana) y con una actualización en 24 horas.

Estrategia Mínima para la Consulta Pública

Las organizaciones deben actuar sin esperar a la fiscalización. La preparación se debe enfocar en acciones inmediatas y evidencias auditables, tales como:

  • Definir Responsables: Designar un Delegado de Ciberseguridad y establecer los flujos de reporte internos y hacia la ANCI/CSIRT.
  • Mapear la Crítica: Revisar y actualizar políticas y procedimientos críticos, y mapear los procesos esenciales y sus dependencias.
  • Consolidar Evidencias: Recopilar y consolidar registros de incidentes y las acciones de mitigación asociadas de los últimos 24 meses.
  • Revisar a Terceros: Auditar contratos con proveedores estratégicos e incorporar cláusulas de ciberseguridad para garantizar su alineación con la Ley.

ISO 27001: El estándar para el cumplimiento auditable

La Ley Marco exige que el SGSI implementado por el OIV sea un marco auditable (Art. 8° a). Aquí es donde la norma ISO 27001 se convierte en la herramienta más eficiente y menos riesgosa para el cumplimiento.

La norma ISO 27001 (Sistemas de Gestión de la Seguridad de la Información) no es solo un papel; es una metodología probada internacionalmente que garantiza que una organización gestiona sus riesgos de forma continua.

¿Por qué ISO 27001 facilita el cumplimiento de la Ley Marco de Ciberseguridad en Chile?

  • Gestión de Riesgos Trazable: El requisito central de la ISO 27001 es la identificación, evaluación y tratamiento del riesgo. Esto genera de manera inherente las evidencias claras y documentadas que la ANCI buscará al fiscalizar el cumplimiento del SGSI continuo.
  • Planes de Continuidad Incluidos: La norma incluye controles obligatorios de Gestión de Continuidad del Negocio (BCP) y de Resiliencia. Al implementar ISO 27001, su organización está, de facto, diseñando e incluso probando los planes de continuidad operacional y ciberseguridad que exige el Art. 8° c de la Ley.
  • Documentación de Auditoría: ISO 27001 requiere la documentación exhaustiva de las políticas, procedimientos y, crucialmente, los resultados de las auditorías internas y externas. Esta trazabilidad es la “evidencia auditable” perfecta que el regulador necesita para verificar el cumplimiento.

Adoptar la ISO 27001 ahora es una ventaja. Permite ordenar la casa bajo un marco reconocido, generar las evidencias que la ANCI pide hoy, y facilita la inevitable preparación para la certificación y las fiscalizaciones futuras.

El tiempo es limitado. Las empresas que se anticipen convertirán el cumplimiento regulatorio en una ventaja estratégica, demostrando control y resiliencia frente a clientes, autoridades y terceros.

¿Tu organización está en el listado preliminar? Si no lo está, ¿has evaluado tu rol esencial y los riesgos asociados? En Hackmetrix, estamos listos para ayudarte a trazar tu ruta de cumplimiento urgente en esta nueva era de ciberseguridad en Chile.

demo hackmetrix

Escrito por: Natalia Jeria

Head of sales Chile

Share
Share
Content marketing Natalia Molina 35 posts
Mercadóloga apasionada por las estrategias digitales, la ciberseguridad y la creación de contenido. Con experiencia en gestión de riesgos, seguridad de la información y tecnología, combina creatividad y análisis para generar contenidos que conectan y eduquen.
www.hackmetrix.com
LinkedIn