I. Un Nuevo Marco Institucional para la Ciberseguridad

La LMC redefine el panorama de la ciberseguridad en Chile, creando nuevas figuras y consolidando roles existentes:

• Agencia Nacional de Ciberseguridad (ANCI): Es la autoridad coordinadora, supervisora y normativa en materia de ciberseguridad. Su Resolución Exenta N° 024 y la Instrucción General N° 1, publicadas el 04 de junio de 2025, son ejemplos de su rol en la implementación de la ley.

• CSIRT Nacional: El Centro de Respuesta a Incidentes de Seguridad Informática del Ministerio del Interior y Seguridad Pública, es el receptor de los reportes de incidentes significativos.

• CSIRT de la Defensa Nacional: Con un rol específico en el ámbito militar.

II. Diferenciación de Sujetos Obligados: PSE y OIV

La Ley Marco de Ciberseguridad establece una clara distinción en los niveles de exigencia para las organizaciones, basada en la criticidad de los servicios que prestan:

1. Prestadores de Servicios Esenciales (PSE): Son organizaciones que proveen servicios indispensables para el funcionamiento del país. Todos los OIV son PSE, pero no todos los PSE son OIV.

2. Operadores de Importancia Vital (OIV): Son un subconjunto de los PSE que, debido al impacto significativo que tendría una interrupción de sus servicios en la seguridad, el orden público, la provisión de servicios esenciales o las funciones del Estado, son calificados como críticos por la ANCI. Las obligaciones para un OIV son considerablemente más exigentes que para un PSE.

Proceso de Calificación de OIVs por la ANCI

La Resolución Exenta N° 024 de la ANCI inició el primer proceso formal para la calificación de OIVs. La evaluación se realizará en dos etapas para los PSE, según su sector económico:

• Desde el 30 de mayo de 2025: Se evaluarán PSEs de sectores como electricidad, telecomunicaciones, infraestructura digital y servicios TI gestionados por terceros, banca, servicios financieros y medios de pago, prestadores institucionales de salud, empresas públicas creadas por ley, y organismos de la Administración del Estado.

• Desde el 30 de noviembre de 2025: Se evaluarán PSEs de sectores como transporte y distribución de combustibles, agua potable y saneamiento, transporte terrestre, aéreo, ferroviario o marítimo, concesionarios de servicios públicos, seguridad social, servicios postales y de mensajería, e industria farmacéutica (producción/investigación).

Para calificar a un PSE como OIV, la ANCI considerará que la provisión del servicio dependa de redes y sistemas informáticos, y que su afectación, interceptación, interrupción o destrucción tenga un impacto significativo en la seguridad, el orden público, la provisión continua de servicios esenciales o el cumplimiento de funciones del Estado.

El procedimiento incluye:

• Inicio: La ANCI requerirá informes técnicos a organismos públicos competentes. Con base en estos, publicará una nómina preliminar de OIVs, que será notificada a cada organización. 

• Consulta Pública: La nómina preliminar de OIVs privados se someterá a consulta pública por 30 días corridos a través de la plataforma electrónica de la ANCI, donde cualquier persona natural o jurídica podrá presentar observaciones.

• Publicación y Recursos: Tras analizar las observaciones, la ANCI publicará un resumen ejecutivo con su respuesta y, posteriormente, la nómina final en el Diario Oficial. Contra esta resolución, se pueden deducir recursos administrativos generales o una reclamación judicial ante la Corte de Apelaciones de Santiago o la Corte del domicilio del reclamante, dentro de los 15 días hábiles siguientes a la notificación de la designación.

III. Obligaciones y Deberes Específicos

La LMC establece deberes generales para todos los sujetos obligados y obligaciones adicionales para los OIV:

A. Obligaciones Generales para PSEs (y, por extensión, para OIVs):

• Medidas de Prevención y Resolución: Aplicar de manera permanente las medidas para prevenir y resolver incidentes de ciberseguridad indicadas por la ANCI (pendientes de publicación).

   

• Reporte de Incidentes Significativos: Todos los sujetos obligados deben reportar ciberataques e incidentes con efectos significativos que sufran al CSIRT Nacional.

  • Inscripción en Plataforma: La Instrucción General N° 1 regula la inscripción previa en la plataforma de la ANCI (https://portal.anci.gob.cl). Esto debe ser realizado por un encargado designado con formación o experiencia en ciberseguridad, utilizando Clave Única, contraseña robusta y autenticación de dos factores (2FA). El nombramiento debe acreditarse mediante un documento suscrito con firma electrónica avanzada por el representante legal. Esta obligación entró en vigencia el 11 de junio de 2025.

B. Obligaciones Adicionales para OIVs:

Además de las obligaciones de los PSE, los OIV deben cumplir con:

• Sistema de Gestión de Seguridad de la Información (SGSI): Implementar un SGSI (Ver planes).

• Planes de Continuidad Operativa y Ciberseguridad: Desarrollar e implementar estos planes, los cuales deberán certificarse (reglamento de ANCI aún pendiente).

• Revisión y Análisis de Redes: Realizar operaciones de revisión, ejercicios y análisis de redes y sistemas informáticos que comprometan la ciberseguridad, y comunicar los resultados al CSIRT Nacional.

• Reducción de Impacto: Tomar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad.

• Certificaciones de Ciberseguridad: Obtener las certificaciones previstas por la ley (reglamento de ANCI aún pendiente).

• Información a Afectados: Informar a los potenciales afectados, si son identificables y lo requiere la ANCI, sobre incidentes que comprometan gravemente su información (especialmente datos personales).

• Capacitación Continua: Contar con programas de capacitación, educación y educación continua para sus trabajadores y colaboradores, incluyendo campañas de ciberhigiene.

• Delegado de Ciberseguridad: Designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia e informará a la alta dirección.

   

IV. Régimen de Sanciones

El incumplimiento de la LMC conlleva multas significativas:

• Para los PSEs, la máxima sanción puede llegar a 20.000 UTM (aproximadamente USD 1.450.000).

• Para los OIVs, las sanciones son el doble, pudiendo ser de hasta 40.000 UTM (aproximadamente USD 2.900.000). 

• El incumplimiento de la Instrucción General N° 1 sobre la inscripción en la plataforma de reportes de incidentes es considerado una infracción leve de la LMC, y conlleva una multa de hasta 5.000 UTM (aproximadamente USD 362.500).

   

V. Implicaciones para tu Empresa y Pasos a Seguir

La Ley Marco de Ciberseguridad representa un cambio fundamental que exige proactividad. Independientemente de si tu organización es un PSE o potencialmente un OIV, es crucial:

1. Evaluar tu Situación: Determinar si eres un PSE y si cumples los criterios para ser calificado como OIV.

2. Iniciar la Adecuación: Realizar un diagnóstico de brecha (GAP Analysis) frente a los requisitos de la LMC y, de ser necesario, iniciar la implementación o el fortalecimiento de un Sistema de Gestión de la Seguridad de la Información (SGSI), que es un requisito clave para los OIVs y una buena práctica general.

3. Preparar la Capacidad de Reporte: Asegurarse de cumplir con la Instrucción General N° 1 de la ANCI, inscribiéndose en la plataforma de reportes y designando a los encargados con la debida acreditación y credenciales (Clave Única, 2FA).

4. Fortalecer Defensas: Revisar y optimizar las políticas, procedimientos y controles técnicos de ciberseguridad, así como los planes de respuesta a incidentes.

5. Capacitar al Personal: Asegurar que todo el equipo conozca sus responsabilidades en materia de ciberseguridad.

En Confiden Ciberseguridad, estamos listos para ser tu aliado estratégico. Con nuestra vasta experiencia, te guiaremos a través de este nuevo marco normativo, asegurando que tu empresa no solo cumpla con la ley, sino que también fortalezca su postura de ciberseguridad de manera integral y eficiente. ¡Contáctanos y aseguremos juntos el futuro digital de tu organización!