• Inicio /
  • Noticias /
  • Alerta Legal – Publicación Lista Preliminar Operadores de Importancia Vital de Ley Marco de Ciberseguridad

Alerta Legal – Publicación Lista Preliminar Operadores de Importancia Vital de Ley Marco de Ciberseguridad

  • 16 septiembre 2025
  • Lectura: 6 minutos

El 16 de septiembre se publicó en el Diario Oficial (DO) una lista clave para avanzar en la implementación de la Ley N° 21.663, Marco de Ciberseguridad (LMC). La Resolución Exenta N° 50 de la Agencia nacional de ciberseguridad (ANCI) que “Aprueba nómina preliminar de calificación de Operadores de importancia Vital correspondiente “al primer proceso de calificación y da inicio a la consulta pública”. 

  1. ¿Qué entidades aparecen en este listado preliminar?

Conforme a la ResEx 24 de mayo pasado, la cual dio inicio al primer procedimiento de calificación de Operadores de Importancia Vital, este se divide en dos etapas: 

  • Primer grupo de entidades evaluadas como OIVs, desde el 30 de mayo de 2025: el proceso de designación de OIVs iniciará con la evaluación de los Prestadores de servicios esenciales (PSE) que se desenvuelven en alguno de estos sectores: i. electricidad (generación, transmisión, distribución), ii. telecomunicaciones, iii. infraestructura digital y servicios TI gestionados por terceros, iv. banca, servicios financieros y medios de pago, v. prestadores institucionales de salud, vi. empresas públicas creadas por ley y vii. organismos de la Administración del Estado. 

 

  • Segundo grupo de entidades evaluadas como OIVs, Desde el 30 de noviembre de 2025: se evaluarán los PSE que correspondan a los sectores: i. transporte y distribución de combustibles, ii. agua potable y saneamiento, iii. transporte terrestre, aéreo, ferroviario o marítimo, iv. concesionarios de servicios públicos, v. seguridad social, vi. servicios postales y de mensajería, y vii. industria farmacéutica (producción/investigación). 

Para calificar a un PSE como OIV la ANCI considera los siguientes criterios: 

  • Que la provisión del servicio dependa de redes y sistemas informáticos. 
  • Que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en: a) La seguridad y el orden público, b) la provisión continua y regular de servicios esenciales, c) el efectivo cumplimiento de las funciones del Estado, y d) en general, en los servicios que el Estado debe proveer o garantizar. 

 

Por tanto, en este primer listado sólo aparecen entidades correspondientes al “Primer grupo de entidades evaluadas como OIVs “ 

 

  1. Siguientes etapas 

 

Concluida esta “Etapa I de entidades evaluadas como OIVs”, debe considerarse que el listado de la ANCI es preliminar y no definitivo, por tanto, a continuación, deben desarrollarse las siguientes etapas: 

 

  1. Consulta pública 
  • La nómina preliminar de instituciones privadas consideras OIVs se someterá a consulta pública. 
  • Cualquier persona natural o jurídica podrá presentar observaciones a través de la plataforma electrónica de la ANCI https://portal.anci.gob.cl/  en un plazo de 30 días corridos, desde la publicación de la lista preliminar en el DO. 
  • Tras analizar las observaciones, la ANCI publicará un resumen ejecutivo con su respuesta y, posteriormente, la nómina final de instituciones calificadas como OIV. 

 

  1. Publicación y recursos 
  • La nómina final se publicará en el Diario Oficial  
  • Contra esta resolución pueden deducirse recursos administrativos generales, sin perjuicio de la reclamación judicial establecida en el art. 46 de la LMC 

 

  1. Reclamación judicial (art. 46 LMC) 
  • Puede interponerse ante Corte de Apelaciones de Santiago o la Corte del domicilio del reclamante. 
  • Debe presentarse dentro de los 15 días hábiles siguientes a la notificación de la designación como OIV. 
  • La Corte requerirá un informe a la Agencia y podrá abrir un término de prueba. 
  • Si la Corte acoge el reclamo, podrá ordenar la rectificación del acto, modificar la resolución impugnada o dejarla sin efecto. 
  • Finalmente, es posible recurrir ante la Ex. Corte Suprema dentro del plazo de 10 días hábiles de la decisión de la Corte de Apelaciones.  

 

  1. Efectos de la declaración de OIV 

Como se comentó anteriormente, ser OIV implica asumir obligaciones más exigentes que las aplicables a un PSE. Así, los Prestadores de servicios esenciales (PSE) están obligados a aplicar de manera permanente las medidas para prevenir y resolver incidentes de ciberseguridad indicadas por la ANCI (pendientes de publicación), y reportar ciberataques e incidentes con efectos significativos que sufran. Mientras que un OIV, adicionalmente, debe cumplir con las siguientes obligaciones: 

  • Implementar un sistema de gestión de seguridad de la información.
  • Desarrollar e implementar planes de continuidad operativa y ciberseguridad, los cuales deberán certificarse de conformidad con el art. 28 LMC (reglamento de ANCI aún pendiente).
  • Realizar operaciones de revisión, ejercicios y análisis de redes y sistemas informáticos que comprometan la ciberseguridad, y comunicar los resultados al CSIRT Nacional.
  • Tomar las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad.
  • Obtener las certificaciones de ciberseguridad previstas por la ley (reglamento de ANCI aún pendiente).
  • Informar a los potenciales afectados, en la medida en que puedan identificarse y cuando así lo requiera la Agencia, sobre la ocurrencia de incidentes que pudieran comprometer gravemente su información o sus redes y sistemas informáticos, especialmente cuando involucren datos personales y no exista otra disposición legal que requiera su notificación.
  • Contar con programas de capacitación, educación y educación continua para sus trabajadores y colaboradores, incluyendo campañas de ciberhigiene.
  • Designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia e informará a la alta dirección.

Finalmente, las sanciones a los OIVs son el doble que las de los PSE: la máxima sanción a PSEs puede llegar a 20.000 UTM (app. 1.450.000 USD), mientras que para OIVs puede ser de 40.000 UTM (app. 2.900.000 USD). 

Lista preliminar completa de OIVs:

1. Órganos de la administración del Estado

2. Empresas del Estado y del sector estatal

3. Instituciones que proveen servicios de generación, transmisión o distribución eléctrica, y el Coordinador Eléctrico Nacional

4. Instituciones que proveen servicios de telecomunicaciones

5. Instituciones que realizan actividades de infraestructura digital, servicios digitales y servicios de tecnología de la información gestionados por terceros

6. Instituciones que realizan actividades de banca, servicios financieros y medios de pago

7. Instituciones que realizan prestación de salud

Revisa el enlace en el listado oficial haciendo clic aquí.

Compartir