El pasado 16 de septiembre, la Agencia Nacional de Ciberseguridad (ANCI) publicó la Nómina Preliminar de Operadores de Importancia Vital (OIV), conforme a lo dispuesto en la Ley N° 21.663, Marco de Ciberseguridad, y su Reglamento aprobado por el Decreto N° 285 de 2025. 

Con esta publicación se dio inicio a un proceso de consulta pública abierto por 30 días corridos, a través del portal institucional https://portal.anci.gob.cl. Durante este período, las instituciones incluidas en el listado preliminar, así como cualquier persona natural o jurídica interesada, pueden presentar observaciones o antecedentes que estimen pertinentes. 

Etapas del proceso 

• Consulta pública: del 16 de septiembre al 16 de octubre de 2025. 

• Resumen ejecutivo: la ANCI debe pronunciarse sobre las observaciones recibidas y publicar un resumen ejecutivo dentro de los 30 días siguientes al cierre de la consulta (aprox. 15 de noviembre de 2025). 

• Nómina final: la ANCI dictará una resolución fundada que califique definitivamente a las instituciones privadas como OIV dentro de los 30 días siguientes a la publicación del resumen ejecutivo (aprox. 15 de diciembre de 2025). 

Implicancias de la calificación como OIV 

Las entidades que sean incluidas en la nómina final de OIV quedarán sujetas a un régimen reforzado de obligaciones de ciberseguridad, lo que implica que deberán cumplir con obligaciones adicionales a las generales en la materia.  

Entre las principales obligaciones de un OIV destacan: 

• Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que funcione de manera continua, con evaluaciones periódicas de riesgos y medidas de mitigación actualizadas. Este sistema deberá permitir evaluar tanto la probabilidad como el potencial impacto de un incidente de ciberseguridad. 

• Elaborar y mantener planes de continuidad operativa y de ciberseguridad certificados, que aseguren la recuperación y normalización de los servicios. 

• Realizar ejercicios y simulacros periódicos, para para detectar acciones o programas informáticos que comprometan la ciberseguridad y comunicar la información relativa a dichas acciones o programas al CSIRT Nacional (Equipo de Respuesta a Incidentes de Seguridad Informática, por sus siglas en inglés -Computer Security Incident Response Team).  

• Designar un delegado de ciberseguridad, encargado de coordinar la implementación de controles y la relación con la autoridad. 

• Contar con programas de capacitación, formación y educación continua de sus trabajadores y colaboradores, que incluyan campañas de ciberhigiene. 

• Cumplir con plazos estrictos de reporte de incidentes, incluyendo la notificación de alertas tempranas dentro de las primeras tres horas de detectado un evento. 

Asimismo, la ley contempla un régimen sancionatorio agravado para los OIV, con multas que pueden alcanzar hasta 40.000 UTM en caso de infracciones gravísimas. 

Consideraciones finales 

La resolución del 16 de septiembre corresponde a la primera etapa del proceso de calificación de OIV, que incluye sectores como telecomunicaciones, eléctrico, salud, servicios digitales, banca y servicios financieros, además de organismos públicos y empresas estatales. 

De acuerdo con la calendarización oficial, existe una segunda etapa prevista para noviembre de 2025, que comprenderá otros servicios esenciales, entre ellos combustibles, agua potable y saneamiento, transporte e infraestructura asociada, concesionarios de servicios públicos, seguridad social, servicios postales y de mensajería, así como la producción e investigación farmacéutica. 

En consecuencia, la publicación actual no agota el universo de entidades que pueden ser calificadas como OIV, sino que constituye un primer hito dentro de un procedimiento gradual que concluirá con la determinación de todas las instituciones críticas que deberán cumplir con el régimen reforzado de ciberseguridad.