logo-fischerycia_white
Implementación Normativa de Ciberseguridad
marzo 14, 2025

Este jueves 13 de marzo se publicó en el Diario Oficial el reglamento que establece el proceso de calificación para los operadores de importancia vital de la Ley Marco de Ciberseguridad (Ley N° 21.663).  

La normativa definió dos grupos de instituciones obligadas: los Servicios Esenciales (SE), que son aquellos necesarios para el normal funcionamiento del país, y los Operadores de Importancia Vital (OIV). 

¿CUÁLES SON LOS SERVICIOS ESENCIALES (SE)? 

Los servicios esenciales incluyen organismos del Estado, empresas públicas y sociedades con mayoría estatal, además de sectores estratégicos como energía (eléctrica y combustibles), agua, telecomunicaciones, transporte (terrestre, aéreo, ferroviario y marítimo), banca y finanzas, seguridad social, mensajería, salud y la industria farmacéutica. Asimismo, la Agencia Nacional de Ciberseguridad (ANCI) podrá calificar otros servicios como esenciales cuando su afectación pueda causar un grave daño a la vida o integridad de la población, al abastecimiento, a sectores relevantes de la economía, al medioambiente, al normal funcionamiento de la sociedad y la Administración del Estado, a la defensa nacional o a la seguridad y el orden público. 

¿CUÁLES SON LOS OPERADORES DE IMPORTANCIA VITAL (OIV)? 

Se trata de aquellas instituciones públicas o privadas que dependen de redes y sistemas informáticos, y que, en caso de ser afectados por un ciberataque, puedan poner en riesgo la seguridad y el orden público, la prestación continua y regular de un servicio esencial para la ciudadanía, o el normal funcionamiento del Estado. 

La ANCI es responsable de su calificación y, conforme a ello, se publicó el día de ayer un reglamento que regula este proceso. La evaluación comenzará el 30 de mayo de 2025, cuando la ANCI solicite informes técnicos a reguladores sectoriales, sobre las instituciones públicas y privadas que deban ser calificadas como OIV en sus respectivos ámbitos de competencia. Luego la ANCI elaborará una nómina preliminar y la someterá a consulta pública por 30 días mediante una plataforma electrónica que permitirá la participación ciudadana y de las propias instituciones señaladas. Tras analizar las observaciones recibidas, la ANCI publicará un resumen ejecutivo con sus respuestas y publicará la nómina final de OIV, en el Diario Oficial o un diario de circulación nacional. 

 ¿CUÁLES SON LAS OBLIGACIONES DE CIBERSEGURIDAD? 

Deberes generales 

Las instituciones sujetas a la Ley Marco de Ciberseguridad deben aplicar medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad. Estas medidas pueden ser tecnológicas, organizacionales, físicas o informativas y deben cumplir con los estándares y protocolos definidos por la ANCI.  

Deber de Reporte 

Todas las instituciones obligadas deben reportar al CSIRT Nacional los ciberataques o incidentes significativos tan pronto como sea posible, y siguiendo el siguiente esquema: 

  • Alerta Temprana: Dentro de 3 horas desde que se ha tomado conocimiento de un incidente. 
  • Segundo Reporte: Dentro de 72 horas desde que se ha tomado conocimiento de un incidente (o 24 horas si afecta servicios esenciales), con el fin de actualizar la información entregada en la Alerta Temprana. 
  • Plan de Acción:  Dentro de 7 días corridos desde que se ha tomado conocimiento de un incidente, detallando un programa de recuperación y responsabilidades técnicas y administrativas. 
  • Informe final: Dentro de 15 días corridos desde la Alerta Temprana. No obstante, si el incidente no se hubiera gestionado en ese plazo, la institución deberá postergar el envío del Informe Final y remitir un Informe Parcial de Incidente de Ocurrencia Prolongada, refiriéndose a la situación, los que deberán actualizarse cada 15 días contados desde el último envío. 

Deberes específicos para OIV: 

Todos los operadores de importancia vital deberán: 

  • Contar con un sistema de gestión de seguridad de la información para evaluar riesgos y continuidad operacional. 
  • Mantener un registro de acciones dentro de dicho sistema. 
  • Elaborar e implementar planes de continuidad operacional y ciberseguridad, certificados y revisados cada dos años. 
  • Realizar revisiones, simulacros y análisis para detectar amenazas y reportarlas al CSIRT Nacional. 
  • Tomar medidas inmediatas para mitigar incidentes y evitar su propagación
  • Obtener las certificaciones de ciberseguridad que señale la ley y las que determine la ANCI mediante reglamento. 
  • Informar a los afectados sobre incidentes cuando puedan identificarse y cuando así lo requiera la ANCI. 
  • Desarrollar programas de capacitación y ciberhigiene para trabajadores y colaboradores. 
  • Designar un delegado de ciberseguridad como enlace con la Agencia. 

PLATAFORMA ANCI DE REPORTE 24/7 

La ANCI cuenta con una plataforma (para la recepción y gestión de reportes de incidentes), la cual estará operativo las 24 horas del día, todos los días del año. Este sistema permitirá que los reportes realizados por los sujetos obligados sean comunicados simultáneamente a otros órganos sectoriales, cuando exista la obligación de notificar a más de una autoridad. 

SANCIONES 

La infracción a la Ley Marco de Ciberseguridad conlleva la imposición de una multa a beneficio fiscal, de acuerdo con la siguiente escala: 

  • Infracciones leves:  multa de hasta 5.000 UTM, o hasta 10.000 UTM si se trata de un OIV. 
  • Infracciones graves:  multa de hasta 10.000 UTM, o hasta 20.000 UTM si se trata de un OIV. 
  • Infracciones gravísimas: multa de hasta 20.000 UTM, o hasta 40.000 UTM si se trata de un operador de importancia vital.

Para más detalles sobre la aplicación de la Ley Marco de Ciberseguridad y los Reglamentos asociados, pueden comunicarse a este correo electrónico

Recibe nuestro newsletter mensual


logo-fischerycia_white

comunicaciones@fycom.cl
+562 3210 4500 | Av. Andrés Bello 2687, piso 21, 7550611, Las Condes, Santiago

Social media & sharing icons powered by UltimatelySocial
LinkedIn