{"id":1801,"date":"2025-05-14T12:13:13","date_gmt":"2025-05-14T16:13:13","guid":{"rendered":"https:\/\/www.hdgroup.cl\/legal\/?p=1801"},"modified":"2025-05-15T11:21:12","modified_gmt":"2025-05-15T15:21:12","slug":"prensa-columna-de-opinion-de-nuestros-directores-vergara-y-gonzalez-para-estado-diario-e-iapp","status":"publish","type":"post","link":"https:\/\/www.hdgroup.cl\/legal\/blog\/2025\/05\/14\/prensa-columna-de-opinion-de-nuestros-directores-vergara-y-gonzalez-para-estado-diario-e-iapp\/","title":{"rendered":"Prensa | Columna de opini\u00f3n de nuestros directores, Vergara y Gonz\u00e1lez, para Estado Diario e IAPP"},"content":{"rendered":"

LINKS:\u00a0<\/strong><\/p>\n

https:\/\/iapp.org\/news\/a\/servicios-esenciales-y-operadores-de-importancia-vital-segun-la-ley-n-21-663<\/a><\/p>\n

https:\/\/estadodiario.com\/columnas\/servicios-esenciales-y-operadores-de-importancia-vital-acorde-a-la-ley-no-21-663-algunas-reflexiones-desde-la-perspectiva-del-derecho-administrativo\/<\/a><\/p>\n

Servicios esenciales y operadores de importancia vital seg\u00fan la Ley N.\u00ba 21.663<\/strong><\/p>\n

Por Alberto Vergara y Juan Pablo Gonz\u00e1lez<\/strong><\/p>\n

\n

La Ley N.\u00ba 21.663 entro en vigor el 1\u00ba de marzo de 2025. Entre las disposiciones de la ley, conocida tambi\u00e9n como la Ley Marco de Ciberseguridad, se aborda latamente el procedimiento de declaraci\u00f3n de Operador de Importancia Vital en el art\u00edculo 6\u00ba, a trav\u00e9s de un procedimiento reglado, ante la Agencia Nacional de Ciberseguridad, alej\u00e1ndose de la aproximaci\u00f3n europea contenida en la Directiva NIS2 sobre ciberseguridad, que autom\u00e1ticamente incluye sectores regulados en los que se encuentran entidades esenciales e importantes, sin que exista la necesidad de una declaraci\u00f3n formal por parte de una autoridad nacional. Ello, no obstante, del proceso de trasposici\u00f3n que cada pa\u00eds debi\u00f3 cumplir a octubre de 2024, aunque la realidad nos refleja que \u00fanicamente lo han realizado, hasta la fecha, pa\u00edses como B\u00e9lgica, Italia, Lituania, Hungr\u00eda y Croacia, estando el resto a\u00fan en proceso de revisi\u00f3n de su normativa interna.<\/p>\n<\/div>\n

\n

Ahora bien, lo anterior refleja la dificultad intr\u00ednseca que tiene el proceso de definir aquellos sectores que son cr\u00edticos para un pa\u00eds, cabiendo mencionar que con la anterior normativa europea NIS1 eran \u00fanicamente 7 (por ej. sector financiero, transporte y energ\u00eda, entre otros), siendo ampliado a casi 18 sectores (al incluirse sectores como tratamiento de agua, producci\u00f3n de alimentos, servicios postales y proveedores de servicios digitales, entre otros) los cuales requieren una protecci\u00f3n adicional desde la perspectiva de los incidentes de ciberseguridad que pueden sufrir, por los posibles impactos en la sociedad.<\/p>\n<\/div>\n

\n
\n

Sin duda, los acuerdos entre todos los actores interesados y la bajada sectorial implican un proceso complejo. El criterio de establecer un listado de sectores que son esenciales fue determinado en parte en el proceso de discusi\u00f3n legislativa de la Ley N.\u00ba 21.663; y se ve reflejado en el inciso segundo del art\u00edculo 4\u00ba, aunque no se incluy\u00f3 un anexo que establezca claramente cu\u00e1les son las actividades econ\u00f3micas incorporadas en cada uno de los sectores que ha sido definido como cr\u00edtico, por ejemplo: infraestructura digital, banca, servicios financieros y medios de pago, o el suministro de agua o saneamiento, entre otros.<\/p>\n<\/div>\n

\n

Si se revisa la Historia Legislativa de la Ley N.\u00ba 21.663, se percata que uno de los aspectos discutidos fue la vaguedad del concepto de servicio esencial, as\u00ed como la grave incertidumbre que implica para aquellos sujetos obligados establecer un listado de sectores sin criterios objetivos, considerando que deben cumplir con deberes generales, acorde al art\u00edculo 7\u00ba de la normativa. Adem\u00e1s, en la Comisi\u00f3n de Defensa, se discuti\u00f3 sobre las razones por la cu\u00e1les algunas industrias, por ejemplo, la del cobre, no fueran incluidas en el listado del art\u00edculo 4\u00ba de la Ley, a pesar, de su rol estrat\u00e9gico para la econom\u00eda nacional, siendo este un elemento clave para determinar aquellas prestaciones esenciales. Estos aspectos fueron corregidos en parte en la Comisi\u00f3n de Seguridad Ciudadana, a trav\u00e9s de la incorporaci\u00f3n de un procedimiento reglado y requisitos espec\u00edficos para la calificaci\u00f3n OIV, una categor\u00eda de sujeto obligado que generalmente saldr\u00e1 de aquellos prestadores de servicios esenciales y, por ende, tendr\u00e1n un r\u00e9gimen detallado de obligaciones (deberes espec\u00edficos) de acuerdo con el art\u00edculo 8\u00ba de la Ley.<\/p>\n<\/div>\n

\n

En consecuencia, el modelo chileno, es de car\u00e1cter declarativo, otorg\u00e1ndole a la ANCI el rol centralizado de calificaci\u00f3n de aquellas instituciones p\u00fablicas y privadas que son OIV dentro de aquellos sectores esenciales, activ\u00e1ndose los deberes espec\u00edficos \u00fanicamente cuando la resoluci\u00f3n de calificaci\u00f3n se encuentre ejecutoriada. Al igual que la Directiva NIS2, la Ley N.\u00ba 21.663 tiene un r\u00e9gimen diferenciado para las peque\u00f1as y medianas empresas (de acuerdo con la Ley N.\u00ba 20.416), aunque en el caso de la disposici\u00f3n europea, no incluye a las microempresas, es decir, s\u00f3lo est\u00e1n incluidas aquellas que tengan 10 empleados o m\u00e1s y un volumen de negocios anual o balance superior a 2 millones de euros, seg\u00fan la recomendaci\u00f3n 2003\/361\/CE de la Comisi\u00f3n Europea.<\/p>\n<\/div>\n

\n

El procedimiento descrito en el art\u00edculo 6\u00ba de calificaci\u00f3n de OIV y detallado en el Reglamento (Decreto N.\u00ba 285<\/a>) se centra en principios de gradualidad y proporcionalidad. En otras palabras, la declaraci\u00f3n de operadores de importancia vital es un proceso gradual\u2014que se realizar\u00e1 durante el 2025\u2014y proporcional, ya que no todas las instituciones que prestan servicios esenciales ser\u00e1n autom\u00e1ticamente OIV, en la medida que no cumplan con los requisitos que permitan indicar su nivel de criticidad en la infraestructura o servicio, a saber: (1) que la provisi\u00f3n del servicio depende de las redes y sistemas inform\u00e1ticos; (2) que la afectaci\u00f3n, interceptaci\u00f3n, interrupci\u00f3n o destrucci\u00f3n de sus servicios tenga un impacto significativo en la seguridad y el orden p\u00fablico, en la provisi\u00f3n continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que \u00e9ste debe proveer o garantizar.<\/p>\n<\/div>\n

\n

Como se mencion\u00f3 anteriormente, el procedimiento se encuentra regulado en el art\u00edculo 6\u00ba de la Ley, y se realizar\u00e1 cada tres a\u00f1os, liderado por la ANCI, qui\u00e9n debe revisar y actualizar la calificaci\u00f3n. Para iniciar el procedimiento, la ANCI requerir\u00e1 un Informe a los reguladores sectoriales sobre aquellas instituciones p\u00fablicas o privadas que deban calificarse como OIV; y una vez recibidos los informes, la ANCI cuenta con 30 d\u00edas corridos para evacuar un informe de una n\u00f3mina preliminar de las instituciones calificadas. Esta n\u00f3mina deber\u00e1 ser sometida a consulta p\u00fablica por 30 d\u00edas, solo en el caso de las instituciones privadas. En el caso de aquellas p\u00fablicas, deber\u00e1 contar con un informe del Ministerio de Hacienda. Finalizado el proceso de consulta p\u00fablica, la ANCI deber\u00e1, dentro de los 30 d\u00edas corridos, elaborar un informe que contendr\u00e1 la n\u00f3mina final de instituciones que son OIV, y el director de la ANCI, a trav\u00e9s de resoluci\u00f3n fundada, informar\u00e1 a las instituciones designadas como OIV. Contra esta resoluci\u00f3n cabr\u00e1n todos los recursos administrativos contenidos en el Cap\u00edtulo IV de la Ley N.\u00ba 19.880, tales como el de reposici\u00f3n, invalidaci\u00f3n y de revisi\u00f3n, con excepci\u00f3n del recurso jer\u00e1rquico por tratarse la ANCI de un \u00f3rgano descentralizado.<\/p>\n<\/div>\n

\n

Adicionalmente, las empresas podr\u00e1n optar por presentar un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o ante la Corte de Apelaciones competente seg\u00fan el lugar donde se encuentre la instituci\u00f3n reclamante, acorde al art. 46\u00ba de la Ley 21.663. Es probable tambi\u00e9n que veamos eventualmente algunos recursos de protecci\u00f3n conforme al art\u00edculo 20\u00ba de nuestra Constituci\u00f3n, y muy probablemente, tarde o temprano, alg\u00fan requerimiento de inaplicabilidad por inconstitucionalidad ante el Tribunal Constitucional.<\/p>\n<\/div>\n

\n

Si bien el procedimiento contempla una renovaci\u00f3n trianual, y con ello le otorga flexibilidad institucional, particularmente en atenci\u00f3n a la evoluci\u00f3n de la tecnolog\u00eda y el nivel de exposici\u00f3n al riesgo cibern\u00e9tico, ser\u00e1 muy importante el rol de la ANCI para intentar dotar de seguridad jur\u00eddica a las instituciones privadas, tanto aquellas que se encuentran dentro de los sectores econ\u00f3micos indicados como esenciales, conforme al art\u00edculo 4\u00ba, a fin de que puedan prepararse oportunamente en cuanto a la carga regulatoria, as\u00ed como tambi\u00e9n a las que sean eventualmente calificadas como OIV, en un contexto nacional en que existe otra ola regulatoria a trav\u00e9s de la pronta entrada en vigencia de la Ley N.\u00ba 21.719 que modifica la Ley N.\u00ba 19.628 sobre protecci\u00f3n de datos personales.<\/p>\n<\/div>\n

\n

Alberto Vergara Arteaga es abogado, Magister en Derecho, Director de HD Group en materia de Derecho P\u00fablico y profesor de la Facultad de Derecho de la Pontificia Universidad Cat\u00f3lica de Chile.
\nJuan Pablo Gonz\u00e1lez Guti\u00e9rrez es abogado, Director de HD Group en materia de protecci\u00f3n de datos personales y ciberseguridad; y acad\u00e9mico.<\/em><\/p>\n<\/div>\n<\/div>\n

[envira-gallery id=\u00bb1812″]<\/p>\n","protected":false},"excerpt":{"rendered":"

LINKS:\u00a0 https:\/\/iapp.org\/news\/a\/servicios-esenciales-y-operadores-de-importancia-vital-segun-la-ley-n-21-663 https:\/\/estadodiario.com\/columnas\/servicios-esenciales-y-operadores-de-importancia-vital-acorde-a-la-ley-no-21-663-algunas-reflexiones-desde-la-perspectiva-del-derecho-administrativo\/ Servicios esenciales y operadores de importancia vital seg\u00fan la Ley N.\u00ba 21.663 Por Alberto Vergara y Juan Pablo Gonz\u00e1lez La Ley N.\u00ba 21.663 entro en vigor el 1\u00ba de marzo de 2025. Entre las disposiciones de la ley, conocida tambi\u00e9n como la Ley Marco de Ciberseguridad, se aborda latamente el procedimiento de<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[70],"tags":[],"class_list":["post-1801","post","type-post","status-publish","format-standard","hentry","category-going-on"],"acf":[],"lang":"es","translations":{"es":1801,"en":1804},"meta_box":{"news_pdf":[],"team_posicion-imagen":false,"team_taxonomy":false,"listado_categorias":false,"gp_limit":false,"gp_taxonomia":false},"pll_sync_post":{"es":true,"en":true},"_links":{"self":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/1801","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/comments?post=1801"}],"version-history":[{"count":0,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/1801\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/media?parent=1801"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/categories?post=1801"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/tags?post=1801"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}