Segundo proceso de calificación de operadores de importancia vital en Chile

Con fecha de 24 de abril de 2026, se publicó en el Diario Oficial de Chile, la segunda nómina de calificación de operadores de importancia vital mediante la Resolución Exenta N.º 85 de la Agencia Nacional de Ciberseguridad. 

Antecedentes

En este segundo proceso, se incluyeron algunos prestadores de servicios esenciales, acorde a lo señalado en la Resolución Exenta N.º 76 de 2025, de sectores económicos como: transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; administración de prestaciones de seguridad social; servicios postales y de mensajería; producción y/o investigación de productos farmacéuticos; así como los prestados bajo concesión de servicio público. Las empresas calificadas tienen un plazo de 30 días para presentar observaciones y acompañar documentos y antecedentes que estimen pertinentes para exponer sus argumentos indicando que no debiese ser calificados OIV.

¿Qué de diferente tiene este proceso al anterior? 

El primer proceso de calificación de OIV, iniciado mediante la Resolución Exenta N.º 50 de 2026, se centró en instituciones cuyos niveles de madurez en materia de ciberseguridad pueden considerarse mayores, ya que pertenecen a sectores que habitualmente se encuentran bajo estándares altos de industrias reguladas, tales como los sectores financiero, eléctrico y de telecomunicaciones, entre otros. Si bien, ya finalizó el proceso de observaciones de aquellas instituciones calificadas, aún se encuentran pendientes los recursos de reposición y/o reclamación de esta primera etapa, en particular sobre la Resolución Exenta N.º 87 de 2025.

No obstante, este segundo proceso de calificación ha sido diferente, especialmente por la experiencia previa del primer proceso. Además, si uno analiza los sectores económicos nominados en esta oportunidad, pertenecen algunas instituciones que pueden tener bajos niveles de madurez en ciberseguridad, lo que, sin duda, implicará un tremendo desafío dentro de sus procesos de identificación de las amenazas informáticas y, por ende, gestión de riesgos de ciberseguridad. A su vez, implicará que este asunto pase desde un mero enfoque táctico-operativo, a uno de carácter estratégico dentro de la compañía, especialmente en aquellas instituciones que utilizan muchos sistemas legados que requieren diversas aproximaciones para mitigar estos riesgos. 

Siguiendo este camino, es importante recordar que dentro de las obligaciones más relevantes de los OIV se encuentran el diseño e implementación de un sistema de gestión de seguridad de la información. En los términos señalados en el artículo 8º de la Ley 21.663, consta que el sistema debe estar vinculado a acciones que permitan acreditar que esté funcionando a la fecha. Sin duda, la designación de un delegado de ciberseguridad, con los requisitos definidos por la ANCI, será fundamental.

¿Cuáles son los desafíos en materia de ciberseguridad?

Dentro de los desafíos en la implementación de la Ley, consta que, a la fecha, no existen multas desde la ANCI a los regulados —que se conozcan—, por lo que existe mucha expectativa en el mercado acerca del proceso sancionatorio y la postura que adoptará el fiscalizador. Otro desafío en cuanto a las obligaciones de los OIV, por ejemplo, es el alcance del sistema de gestión de la información que deberán implementar las organizaciones. Es decir, ¿estos sistemas deberían abordar todos los procesos o solo algunos específicos? Sin duda, esta obligación repercutirá en los costos de adopción de los sistemas así como los tiempos esperados para que cuenten con una certificación que los acredite.

Otro tema relevante es la existencia de estándares diferenciados para las pequeñas y medianas empresas según la Ley N.º 21.663. Estas pymes deben afrontar desafíos como la negociación de cláusulas contractuales con clientes. En ciertas oportunidades, estos desafíos pueden resultar excesivos para este tipo de instituciones. En este caso, la ANCI debiese dictar lineamientos al respecto.

La industria también se encuentra expectante ante el reglamento sobre certificaciones, el cual permitirá homologar estándares técnicos internacionales en materia de ciberseguridad. Ante la ausencia de dicho reglamento, muchas instituciones han avanzado en la adopción temprana de estándares como ISO 27.001 o NIST CSF. Sin embargo, a la fecha no existe claridad respecto de las entidades que podrán certificar el cumplimiento de la normativa, especialmente en lo relativo al artículo 8, letra f) de la Ley N.º 21.663, dentro de las obligaciones de los OIV. Por ende, su incumplimiento podría configurar una infracción leve en los términos del artículo 39 de la misma ley.

Conclusiones

A nivel internacional, la ciberseguridad se ha vuelto un tema sumamente relevante debido a las modificaciones en las estrategias que adoptan las organizaciones ante el uso de IA para detectar vulnerabilidades de manera más rápida, y con ello, desplegar ataques en los entornos de seguridad de las instituciones de manera más eficaz. A nivel nacional, este segundo proceso de calificación de OIV presenta varios desafíos para aquellas organizaciones que han sido calificadas tempranamente y que están en proceso de observaciones. A su vez, permite que este tema comience a cobrar relevancia a nivel de riesgos estratégicos de la compañía, ya no solo desde la perspectiva de cumplimiento sino desde el negocio, para evitar posibles multas en caso de su incumplimiento.