Nota del editor: la IAPP mantiene una posición neutral en cuestiones de políticas. Publicamos artículos de opinión y análisis de colaboradores para ofrecer a nuestros miembros una amplia gama de puntos de vista en nuestros ámbitos.
Con fecha de 30 de mayo de 2025, la Agencia Nacional de Ciberseguridad dictó una resolución (Resol. Exenta N.º 24, 2025) que inicia el procedimiento de calificación de Operadores de Importancia Vital acorde a lo indicado en el artículo 6º de la Ley N.º 21.663 Marco de Ciberseguridad que debe realizarse cada tres años. Así, acorde al principio de racionalidad (art. 3, N.º 7), que indica que “para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y económico”; por lo que, se estableció un cronograma para dar inicio al proceso de calificación de OIV en dos grandes etapas de acuerdo con la naturaleza y criticidad de los servicios proveídos por las entidades que prestan servicios esenciales.
En ese sentido, la primera etapa que inicia el 30 de mayo de 2025, aborda los siguientes servicios esenciales: generación, transmisión o distribución eléctrica, incluyendo el coordinador independiente del Sistema Eléctrico Nacional; telecomunicaciones; infraestructura digital, servicios digitales, servicios de tecnología de la información gestionada por terceros; banca, servicios financieros y medios de pago; prestación institucional de salud por entidades tales como hospitales, clínicas consultorios y centros médicos; empresas públicas creadas por ley; organismos de la Administración del Estado.
La segunda etapa que partirá el 30 de noviembre de 2025 abordará aquellas instituciones que prestan los servicios de: transporte, almacenamiento o distribución de combustible; suministro de agua potable o saneamiento; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; demás concesionarios de servicios públicos; administración de prestaciones de seguridad social; servicios postales y de mensajería; producción y/o investigación de productos farmacéuticos.
Importante es mencionar que este procedimiento de la ANCI, de acuerdo a lo indicado en el artículo 6º de la Ley N.º 21.663, debe requerir informes fundados a los organismos públicos con competencia sectorial del primer grupo de instituciones que prestan servicios esenciales y, por ende, acorde al art. 37 bis de la Ley N.º 19.880 sobre Procedimiento Administrativo, estos deberán evacuar el informe solicitado, dentro de los 30 días corridos desde la fecha en que se recibió el requerimiento. Este informe podrá ser valorado y, por ende, su contenido en cuanto a la opinión del órgano administrativo incorporado en la motivación del acto administrativo que dicte la ANCI.
Recibidos estos informes, la ANCI tendrá 30 días corridos para evacuar un informe con la nómina de aquellas instituciones que serán consideradas de importancia vital —OIV; siendo sometida a consulta pública por un período de 30 días corridos; para que, finalizados el proceso y previo informe del Ministerio de Hacienda dentro de los 30 días corridos se emita un informe final que contenga las instituciones que sean OIV. En contra de esta resolución procederá el recurso de ilegalidad acorde a lo indicado en el art. 46º de la Ley N.º 21.663.
La tarea que tendrá la ANCI no será fácil, especialmente en esta primera etapa de calificación de OIV, a pesar de que varios de los sectores presentados, ya cuentan con lineamientos en materia de ciberseguridad de sus reguladores sectoriales (p. ej., sector eléctrico, financiero y telecomunicaciones, entre otros). No obstante y haciendo el símil al proceso de transposición que se está viviendo en Europa a propósito de la Directiva NIS2; la ANCI, en su rol de supervisar la ciberseguridad de aquellos sectores esenciales, tendrá que velar para que las entidades en el listado de posibles OIV puedan lograr una “ciber resiliencia” para el país, tomando como referencia el catálogo de servicios esenciales descrito en el artículo 4º de la normativa, en que se definió que la afectación a la prestación de estos servicios —desde un enfoque de seguridad informática— tendría extensas y significativas consecuencias para la sociedad y el mercado.
El desafío de la normativa, no solo será la articulación de la carga regulatoria de aquellas instituciones del sector privado, sino especialmente en aquellos sectores regulados en que el exceso y sobreposición de requerimientos de reportes, por ejemplo, podrían generar un entorno complejo para reaccionar con la celeridad que se espera, particularmente ante el reporte de incidentes de impacto significativo en un entorno dinámico, en que la colaboración entre todos los actores parece ser la vía para responder oportunamente a las amenazas informáticas.
Los criterios para la designación de un OIV, indicados en el artículo 5º de la Ley N.º 21.663, buscan la preparación de capacidades de las organizaciones para adaptarse y resistir ante incidentes informáticos. De esta manera, los deberes específicos indicados en el artículo 8º se centran en que estos operadores cuenten con las capacidades para responder ante eventos informáticos (que afecten sus redes y sistemas informáticos) tanto como situaciones complejas, como un ataque con efecto “cascada”, por ejemplo, en que se prioricen aquellos componentes del sistema informático que son más urgentes durante la crisis, no afectando la provisión de aquellos servicios que han sido reconocidos en la normativa como esenciales.
Estos criterios y la designación de instituciones específicas como OIV permitirán colocar énfasis en las posibles implicancias de estos ataques en actividades de dependencia de redes y sistemas informáticos de estos operadores, sobre todo, si uno analiza que entre sus obligaciones se encuentra el diseño e implementación de un Sistema de Gestión de Seguridad de la Información como Planes de Continuidad Operacional, que finalmente, implica un manejo de infraestructura informática, desplegando controles preventivos ante una posible situación de crisis.
Para concluir, el proceso que inició el pasado 30 de mayo de 2025, no solo refleja la importancia en cuanto a la prevención en un entorno interconectado ante una falla y, por ende, una vulnerabilidad en un sistema informático, sino más aún, que las organizaciones logren focalizar sus esfuerzos en aquellos componentes dentro de las redes y sistemas informáticos para priorizar la entrega de servicios que son esenciales y, por su relevancia, vitales para el país.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.
