La ciberseguridad en Chile: inicia el proceso de calificación de OIV
Con fecha de 30 de mayo de 2025, la Agencia Nacional de Ciberseguridad dictó una resolución (Resol. Exenta N.º 24, 2025) que inicia el procedimiento de calificación de Operadores de Importancia Vital acorde a lo indicado en el artículo 6º de la Ley N.º 21.663 Marco de Ciberseguridad que debe realizarse cada tres años. Así, acorde al principio de racionalidad (art. 3, N.º 7), que indica que “para la gestión de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deberán ser necesarias y proporcionales al grado de exposición a los riesgos, y al eventual impacto social y económico”; por lo que, se estableció un cronograma para dar inicio al proceso de calificación de OIV en dos grandes etapas de acuerdo con la naturaleza y criticidad de los servicios proveídos por las entidades que prestan servicios esenciales.
En ese sentido, la primera etapa que inicia el 30 de mayo de 2025, aborda los siguientes servicios esenciales: generación, transmisión o distribución eléctrica, incluyendo el coordinador independiente del Sistema Eléctrico Nacional; telecomunicaciones; infraestructura digital, servicios digitales, servicios de tecnología de la información gestionada por terceros; banca, servicios financieros y medios de pago; prestación institucional de salud por entidades tales como hospitales, clínicas consultorios y centros médicos; empresas públicas creadas por ley; organismos de la Administración del Estado.
La segunda etapa que partirá el 30 de noviembre de 2025 abordará aquellas instituciones que prestan los servicios de: transporte, almacenamiento o distribución de combustible; suministro de agua potable o saneamiento; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; demás concesionarios de servicios públicos; administración de prestaciones de seguridad social; servicios postales y de mensajería; producción y/o investigación de productos farmacéuticos.
Importante es mencionar que este procedimiento de la ANCI, de acuerdo a lo indicado en el artículo 6º de la Ley N.º 21.663, debe requerir informes fundados a los organismos públicos con competencia sectorial del primer grupo de instituciones que prestan servicios esenciales y, por ende, acorde al art. 37 bis de la Ley N.º 19.880 sobre Procedimiento Administrativo, estos deberán evacuar el informe solicitado, dentro de los 30 días corridos desde la fecha en que se recibió el requerimiento. Este informe podrá ser valorado y, por ende, su contenido en cuanto a la opinión del órgano administrativo incorporado en la motivación del acto administrativo que dicte la ANCI.
Recibidos estos informes, la ANCI tendrá 30 días corridos para evacuar un informe con la nómina de aquellas instituciones que serán consideradas de importancia vital —OIV; siendo sometida a consulta pública por un período de 30 días corridos; para que, finalizados el proceso y previo informe del Ministerio de Hacienda dentro de los 30 días corridos se emita un informe final que contenga las instituciones que sean OIV. En contra de esta resolución procederá el recurso de ilegalidad acorde a lo indicado en el art. 46º de la Ley N.º 21.663.
La tarea que tendrá la ANCI no será fácil, especialmente en esta primera etapa de calificación de OIV, a pesar de que varios de los sectores presentados, ya cuentan con lineamientos en materia de ciberseguridad de sus reguladores sectoriales (p. ej., sector eléctrico, financiero y telecomunicaciones, entre otros). No obstante y haciendo el símil al proceso de transposición que se está viviendo en Europa a propósito de la Directiva NIS2; la ANCI, en su rol de supervisar la ciberseguridad de aquellos sectores esenciales, tendrá que velar para que las entidades en el listado de posibles OIV puedan lograr una “ciber resiliencia” para el país, tomando como referencia el catálogo de servicios esenciales descrito en el artículo 4º de la normativa, en que se definió que la afectación a la prestación de estos servicios —desde un enfoque de seguridad informática— tendría extensas y significativas consecuencias para la sociedad y el mercado.
El desafío de la normativa, no solo será la articulación de la carga regulatoria de aquellas instituciones del sector privado, sino especialmente en aquellos sectores regulados en que el exceso y sobreposición de requerimientos de reportes, por ejemplo, podrían generar un entorno complejo para reaccionar con la celeridad que se espera, particularmente ante el reporte de incidentes de impacto significativo en un entorno dinámico, en que la colaboración entre todos los actores parece ser la vía para responder oportunamente a las amenazas informáticas.
Los criterios para la designación de un OIV, indicados en el artículo 5º de la Ley N.º 21.663, buscan la preparación de capacidades de las organizaciones para adaptarse y resistir ante incidentes informáticos. De esta manera, los deberes específicos indicados en el artículo 8º se centran en que estos operadores cuenten con las capacidades para responder ante eventos informáticos (que afecten sus redes y sistemas informáticos) tanto como situaciones complejas, como un ataque con efecto “cascada”, por ejemplo, en que se prioricen aquellos componentes del sistema informático que son más urgentes durante la crisis, no afectando la provisión de aquellos servicios que han sido reconocidos en la normativa como esenciales.
Estos criterios y la designación de instituciones específicas como OIV permitirán colocar énfasis en las posibles implicancias de estos ataques en actividades de dependencia de redes y sistemas informáticos de estos operadores, sobre todo, si uno analiza que entre sus obligaciones se encuentra el diseño e implementación de un Sistema de Gestión de Seguridad de la Información como Planes de Continuidad Operacional, que finalmente, implica un manejo de infraestructura informática, desplegando controles preventivos ante una posible situación de crisis.
Para concluir, el proceso que inició el pasado 30 de mayo de 2025, no solo refleja la importancia en cuanto a la prevención en un entorno interconectado ante una falla y, por ende, una vulnerabilidad en un sistema informático, sino más aún, que las organizaciones logren focalizar sus esfuerzos en aquellos componentes dentro de las redes y sistemas informáticos para priorizar la entrega de servicios que son esenciales y, por su relevancia, vitales para el país.
Juan Pablo González Gutiérrez es abogado, Director de HD Group en materia de protección de datos personales y ciberseguridad; y académico.
Con fecha 14 de julio de 2025, la Comisión para el Mercado Financiero (CMF) publicó la Norma de Carácter General N°540, que establece las Normas de Funcionamiento Operativo del Registro de Deuda Consolidada, conforme con lo dispuesto en la Ley N°21.680 que Crea el Registro de Deuda Consolidada.
Queremos felicitar a nuestro director de Protección de Datos Personales, Ciberseguridad y Nuevas Tecnologías, Juan Pablo González Gutiérrez, por su entrevista en el Diario Financiero, donde abordó las implicancias que tendrá la ley que regula la protección y el tratamiento de los datos personales y crea la Agencia de Protección de Datos Personales, la que establece obligaciones y multas a las organizaciones que no las cumplan.
“En las organizaciones persiste una falta de cultura de tratamiento de datos. Ven la regulación como algo que hay que cumplir, y no como un tema que impacta su negocio”, afirmó nuestro director.
Agradecemos al Diario Financiero y al periodista Marco Zecchetto Rocco por esta entrevista.
Con fecha 10 de julio de 2025, la Comisión para el Mercado Financiero (CMF) publicó en consulta una propuesta normativa (Propuesta Normativa) que modifica la Norma de Carácter General N°514 que regula el Sistema de Finanzas Abiertas (NCG 514), e incorpora parte importante del texto de su Anexo Técnico N°3 (Anexo) especialmente en materia de intercambio de información. Otros elementos propios de dicho Anexo, como lo relacionado con Iniciación de Pagos, serán abordados en una próxima publicación de la CMF.
Nuestro director de Regulatorio y Medioambiente, Juan Ignacio Marín, nuevamente fue entrevistado por El Mercurio en el contexto del requerimiento presentado por más de 40 diputados ante el Tribunal Constitucional, “acusando que cinco artículos del proyecto de permisos sectoriales, impulsado por el Gobierno, serían inconstitucionales”.
“Los diputados buscan impugnar artículos como el que establece técnicas habilitantes alternativas, como regla general para habilitar proyectos o actividades sin acto administrativo previo, lo que según indican, implicaría una renuncia del Estado a su deber de protección”, indicó nuestro director.
Links:
Nos llena de orgullo el impacto y reconocimiento que ha alcanzado WRE – Women in Real Estate, primera red de abogadas en torno al derecho inmobiliario, urbanismo y construcción, y financiamiento de proyectos, liderada por nuestra abogada senior, Maria Soledad Marín Ortúzar.
Agradecemos a Entre Códigos, del Diario Financiero, y a El Diario Inmobiliario, por darle cobertura a este nuevo encuentro donde se concretó una alianza de colaboración con la Asociación Mujeres en Energía Chile.
Con fecha 1 de julio de 2025, la Cámara de Diputados aprobó el proyecto de ley que modifica el Código de Aguas con el objeto de facilitar la construcción de embalses agrícolas, quedando en condiciones de ser promulgado por el Presidente de la República.
Esta ley busca simplificar los requisitos para la construcción de embalses de uso agrícola, diferenciando los criterios según si se emplazan dentro o fuera de cauces naturales, y estableciendo un procedimiento más expedito para su autorización.
Con fecha 27 de junio de 2025, el Banco Central de Chile (BCCh) sometió a consulta pública una propuesta normativa (Propuesta Normativa) que introduce modificaciones al Capítulo III.J.1 del Compendio de Normas Financieras del BCCh (CNF).
El objetivo de esta iniciativa es adecuar la normativa vigente para permitir el uso de tarjetas de crédito, débito y prepago nominativas en Sistemas de Transporte Público Masivo de Pasajeros (Sistemas de Transporte Público o Sistemas) regulados por el Ministerio de Transportes y Telecomunicaciones (MTT), sujetas a determinados requisitos, límites y condiciones.
Con fecha 24 de junio de 2025, la Comisión para el Mercado Financiero (CMF) publicó una propuesta normativa (Propuesta Normativa) que establece normas sobre seguros paramétricos y modifica la Norma de Carácter General N°306 (NCG 306), modalidad que hasta ahora carecía de un marco normativo integral en Chile. Este instrumento responde a un contexto de creciente sofisticación en la industria aseguradora, y a la necesidad de adecuar la regulación vigente al desarrollo de soluciones innovadoras en la gestión de riesgos, particularmente frente a eventos catastróficos o de alta incertidumbre.
Con fecha 17 de junio de 2025, la Comisión para el Mercado Financiero (CMF) publicó la Norma de Carácter General N°538 (NCG 538) que establece medidas de seguridad, registro y autenticación de operaciones sometidas a la Ley N°20.009. Esta última establece un régimen de limitación de responsabilidad para titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o fraude.