< VOLVER AL BLOG

Chile eleva el estándar: lo que debes saber sobre la nueva Ley de Ciberseguridad y los OIV

22/08/2025

Chile eleva el estándar: lo que debes saber sobre la nueva Ley de Ciberseguridad y los OIV

Chile dio un paso decisivo con la Ley 21.633, la Ley de Ciberseguridad, que establece la institucionalidad, los principios y las normas mínimas para prevenir, contener y responder a incidentes que afecten al Estado y a los privados sujetos a la norma. La ley crea la Agencia Nacional de Ciberseguridad (ANCI), con atribuciones de regulación técnica, coordinación y fiscalización, además de fijar deberes de reporte y estándares para los sectores más críticos del país. 

Si bien la ley se publicó en 2024, las disposiciones clave entraron en vigor el 1 de marzo de 2025, incluyendo el deber de reporte de incidentes y el marco para la calificación de los denominados Operadores de Importancia Vital (OIV).

¿A quién aplica? Prestadores de Servicios Esenciales y Operadores de Importancia Vital

La ley aplica a organizaciones públicas y privadas que presten “servicios esenciales” y a quienes sean calificados como Operador de Importancia Vital. Se considera “servicio esencial” aquellos cuya interrupción puede afectar de manera significativa la seguridad nacional, la salud pública o la continuidad del país. La ANCI identifica, mediante resolución, infraestructuras, procesos o funciones que quedarán sujetas a obligaciones reforzadas. 

Aunque la norma no incluye un anexo taxativo por sector, durante la discusión y primeras guías se han considerado energía y combustibles, agua y saneamiento, telecomunicaciones e infraestructura digital (como data centers), transporte y logística, finanzas y banca, salud y ciertas funciones del Estado, entre otros. La ANCI puede ampliar la lista vía resolución fundada y consulta pública. 

Dentro de los prestadores de servicios esenciales, los OIV son un subconjunto estratégico. Es decir, entidades cuya prestación depende fuertemente de sistemas informáticos y cuya afectación tendría impacto significativo en seguridad, orden público o continuidad de servicios esenciales. La calificación OIV se realiza por un procedimiento reglado (DS N.º 285/2024), con nómina preliminar, consultas y publicación de lista definitiva, y debe revisarse periódicamente. En 2025, la ANCI inició el primer proceso de calificación OIV. 

Obligaciones y plazos: cómo es en la práctica

Deber de reportar incidentes al CSIRT Nacional

Todas las organizaciones que presten servicios esenciales deben notificar incidentes con efectos significativos al CSRT nacional dentro de los siguientes plazos: 

  • Alerta temprana en un máximo de 3 horas desde que se toma conocimiento del incidente.
  • Actualización dentro de las 72 horas. Si es OIV, dentro de las 24 horas. 
  • Informe final 15 días después de la alerta, con informes parciales si el incidente continúa en gestión. 

Estos plazos están dispuestos en el Reglamento de Reporte de Incidentes y las instrucciones generales de la ANCI, que además establecen la creación de una plataforma de notificaciones activa las 24 horas para servicios esenciales. 

Registro obligatorio en la plataforma ANCI para servicios esenciales

Desde junio de 2025 rige la Instrucción General N1 de la ANCI, que dictamina que toda entidad que preste servicios esenciales debe inscribirse en la plataforma oficial, designar un responsable de reportes con formación o experiencia en ciberseguridad y mantener sus datos actualizados. El incumplimiento constituye infracción. 

Otras exigencias para los OIV

Según el artículo 8 y normativa complementaria, además del reporte reforzado, los OIV enfrentan controles y fiscalización más estrictos, como por ejemplo, evidencias de gobierno y gestión de riesgos, capacidades de continuidad y recuperación, auditorías y pruebas periódicas. En estos casos, las sanciones pueden escalar significativamente en caso de incumplimiento. 

El rol de la ANCI y la red de CSIRT

La Agencia Nacional de Ciberseguridad (ANCI) es un servicio público técnico y descentralizado que se encarga de: 

  • Aplicar e interpretar administrativamente la ley y sus reglamentos. 
  • Coordinar y supervisar tanto el CSIRT nacional como los CSIRT sectoriales. 
  • Calificar servicios esenciales y declarar OIV. 
  • Emitir instructivos y estándares técnicos.
  • Publicar taxonomías y mecanismos de reporte. 

Qué significa para el sector industrial

Para industrias intensivas en OT/ICS (energía, agua, minería, petróleo y gas, manufactura, transporte), la ley formaliza prácticas que muchos venían adoptando y sube el umbral de preparación operativa. En particular:

  • Convergencia IT/OT: se exige mayor visibilidad de activos, segmentación, monitoreo continuo y respuesta coordinada para evitar que incidentes en IT se propaguen a OT.
  • Cadena de suministro: se refuerzan políticas de gestión de terceros (TPRM), validación de software y proveedores críticos, y requisitos contractuales de seguridad, debido al potencial efecto dominó en servicios esenciales.
  • Continuidad y resiliencia: pruebas regulares, ejercicios de mesa y simulaciones de ciberincidentes con impacto operacional (safety y uptime) dejan de ser “buenas prácticas” para convertirse en la capacidad esperada.
  • Gobernanza y trazabilidad: documentación actualizada, roles claros (incluida la persona encargada de reportes), métricas y tableros para directorio y regulador.
    Estas expectativas se derivan de los deberes generales y específicos del marco, la condición de servicio esencial/OIV y las instrucciones complementarias.

Checklist de preparación: cómo cumplir

Diagnóstico y gobierno

  • Mapa de alcance regulatorio: determine si su organización es prestador de servicios esenciales y si puede ser OIV; identifique unidades de negocio y activos bajo obligación.
  • Gobernanza: asigne responsables (CISO/OT Security Lead), nombre formalmente al encargado de reportes ante ANCI y regístrelo en la plataforma.

Gestión de riesgo y controles

  • Inventario y clasificación de activos IT/OT, interconexiones y dependencias críticas (incluida nube e infraestructura digital).
  • Políticas TPRM: evalúe terceros y proveedores críticos (software, integradores, telecom, mantenimiento remoto), con cláusulas de seguridad y deberes de notificación.
  • Segmentación IT/OT, monitoreo y detección con telemetría en tiempo real; use taxonomía de incidentes alineada a ANCI.

Respuesta e informes

  • Procedimiento de reporte al CSIRT Nacional con SLA internos para garantizar la alerta en 3 horas, la actualización (24/72 horas) y el informe final en 15 días. Ensaye la carga de información en el portal ANCI.
  • Plan de acción (especialmente para OIV) y lecciones aprendidas, con informes parciales cuando aplique.

Continuidad y cultura

  • Planes y pruebas de continuidad bajo escenarios de ciberataque (IT/OT), con ejercicios de crisis que involucren al negocio y a operaciones.
  • Formación específica para OT, ingeniería, operaciones y mesa de ayuda; simulaciones y playbooks claros por tipo de incidente.

Más allá del cumplimiento, el marco empuja a las organizaciones a operar con estándares de resiliencia acordes a su impacto social. Para el sector industrial, esta madurez reduce tiempos de inactividad, riesgos de seguridad física y exposición reputacional, y agiliza la coordinación público-privada ante crisis. La visibilidad regulatoria (reglas claras de reporte y fiscalización) también ayuda a priorizar inversiones y alinear directorios con métricas de riesgo significativas. 

¿Dónde profundizar y con quién conectar? 

Cyber Summit es el punto de encuentro para C-Level, responsables IT/OT/ICS, reguladores y proveedores donde se discutirá la implementación de la Ley 21.633, las lecciones aprendidas de sectores esenciales y casos reales de convergencia IT/OT, TPRM y respuesta a incidentes. Convierte la regulación en ventaja competitiva y transforma el cumplimiento en resiliencia operacional. 

Volver al Blog