Con fecha de 1º de marzo de 2025, y acorde al DFL 1 de la Ley N.º 21.663, la ley Marco de Ciberseguridad hace vigentes las disposiciones relativas a los operadores de importancia vital (art. 5º), sus deberes específicos (art. 8º) y el deber de reportar los ciberataques e incidentes que puedan tener impactos significativos, siendo aplicable esta disposición, tanto para los servicios esenciales como para los OIV (art. 9º), además de todo el régimen de infracciones contenido en el título VII de la ya citada normativa. Importante es recordar que el resto de las disposiciones contenidas en la norma ya entró en vigor el 1º de enero de 2025, junto con las operaciones de la Agencia Nacional de Ciberseguridad.
En el caso específico, la normativa señala que dentro de aquellos servicios esenciales (art. 4º), la ANCI podrá calificar como OIV aquellas instituciones públicas o privadas (art. 5º) que (1) demuestren dependencia de las redes y sistemas informáticos; (2) que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
No obstante ello, la ANCI “podrá calificar como operadores de importancia vital a instituciones privadas que, aunque no tengan la calidad de prestadores de servicios esenciales, reúnan los requisitos antes indicados, y cuya calificación sea indispensable por haber adquirido un rol crítico en el abastecimiento de la población, la distribución de bienes o la producción de aquellos indispensables o estratégicos para el país; o por el grado de exposición de la entidad a los riesgos y la probabilidad de incidentes de ciberseguridad, incluyendo su gravedad y las consecuencias sociales y económicas asociadas”. Es decir, sin perjuicio del listado de prestadores de servicios esenciales, existirán aquellas instituciones que, por su rol en la sociedad en un determinado contexto social-económico, serán necesarias, a juicio de la Agencia y, por lo tanto, serán consideradas como OIV.
La decisión no será baladí si se considera la carga regulatoria que conforman los deberes específicos para estos sujetos obligados (art. 8º), los cuales incluyen: implementar un sistema de gestión de seguridad de la información continuo con el fin de determinar aquellos riesgos que puedan afectar la seguridad de las redes, sistemas informáticos y datos, y la continuidad operacional del servicio, que incluya una evaluación de la probabilidad y el impacto de un incidente de ciberseguridad; mantener un registro de la acciones del SGSI; elaborar e implementar planes de continuidad, que deben ser certificados por centros especializados al respecto; realizar actividades de revisión, ejercicios, simulacros y análisis de las redes; adoptar de forma oportuna y expedita medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad; contar con programas de capacitación, formación y educación, y, finalmente, la designación de un delegado de ciberseguridad, quien actuará como punto de contacto con la ANCI. Importante es destacar la facultad de la ANCI de homologar algunas certificaciones técnicas internacionales en materia de ciberseguridad que son ampliamente aceptadas por la industria.
Considerando el incumplimiento de las obligaciones de los OIV (art. 39º)—asociadas tanto con infracciones leves (p. ej., no tener un registro de acciones, programas de capacitaciones, un delegado de ciberseguridad o no contar con las certificaciones que establece, como la continuidad de negocio) como con infracciones graves (no elaborar o implementar el SGSI, ni contar con planes de continuidad operacional)—, surge la duda de por dónde comenzar en este proceso, especialmente, para aquellos posibles OIV ajenos a sectores regulados, como financiero o eléctrico.
Como punto de partida, se recomienda entender si tu organización se encuentra dentro de aquellas que pueden ser consideradas OIV; que, como se indicó anteriormente, sea de aquellas industrias que son prestadores de servicios esenciales o derechamente, por contexto socioeconómico, pueda lograr relevancia para que sea calificadas como tal por la ANCI. Caso contrario, solo se aplicarán los deberes generales de los prestadores de servicios esenciales (art. 7º), es decir, adoptar medidas para prevenir, reportar y resolver incidentes de ciberseguridad, pudiendo ser las medidas de diversas naturalezas (ej. tecnológica, organizacional, física o informativa).
Ahora bien, si fuese positiva la respuesta, comenzar con un análisis de la organización a nivel de riesgos de ciberseguridad y seguridad de la información (risk assessment), permitirá tener claridad de la superficie de riesgos que deberá afrontar en sus operaciones. Esto permitirá tener claridad para la elaboración de una estrategia y plan comprensivo de ciberseguridad, que aborde entre algunos de sus elementos el diseño y establecimiento del SGSI, en qué buenas prácticas, como ISO 27k o NIST, serán un elemento orientador.
La manera en que la organización aborda la identificación y manejo de vulnerabilidades en las redes o sistemas informáticos es un elemento clave para evitar incumplimiento de las obligaciones específicas, ya sea por retraso o entrega parcial de información requerida. En este escenario, se podrá implementar una serie de medidas técnicas y organizativas que permita proteger los activos de información, para asegurar que estas medidas sean efectivas; vale decir, que sean eficaces respecto al riesgo que se busca mitigar.
Otro tema relevante, y en concordancia con el artículo 9º, es la existencia de un plan de gestión de incidentes—lineamientos claros para detectar, reportar y resolver ciberataques e incidentes—especialmente uno relacionado con la obligación de reporte de aquellos incidentes de impacto significativo. Para estos efectos, serán reportables aquellos, que son capaces de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, como en el caso de afectar sistemas informáticos que contengan datos personales, considerando el número de personas afectadas, la duración del incidente y extensión geográfica con respecto de la zona afectada (art. 27º), pudiendo tomar buenas prácticas como NIST o ISO 27.035.
En ese sentido, el monitoreo continuo de las medidas desplegadas en los sistemas informáticos y las redes, como pruebas y simulacros ante ciber incidentes, permitirán fortalecer la postura de defensa de la organización y, por ende, identificar y manejar oportunamente alguna vulnerabilidad que pueda ser explotada por terceros, siendo los playbooks aliados valiosos para prepararse y reaccionar adecuadamente frente a este tipo de situaciones.
Para concluir—y no menos importante—desde el enfoque del cumplimiento, mantener documentación actualizada, no limitándose a la existencia de documentos formales, sino que hayan sido formalizados oportunamente en la organización, permitirá demostrar mediante evidencias concretas que las diversas acciones que conforman las obligaciones específicas del artículo 8º de la Ley N.º 21.663, no son solo “un checklist formal”, sino que materialmente, existen actividades que permitan acreditar cumplimiento de esta regulación por parte de la organización.
Ahora bien, considerando que la ANCI aún no clasifica específicamente a los OIV, es menester aprovechar este tiempo para comenzar a definir las estrategias que procuren instaurar una cultura en ciberseguridad, que nazca desde la alta administración e irradie al resto de la organización. Todo lo anterior corresponde sin perjuicio de diversas interrogantes de cómo se materializan estas disposiciones a nivel nacional, especialmente, con múltiples cargas regulatorias, no solo en materia de ciberseguridad sino en el resto del ecosistema normativo, desde la perspectiva de la protección de datos personales, los delitos informáticos, entre otras.
Juan Pablo González Gutiérrez es abogado y académico en derecho y nuevas tecnologías.
