{"id":2024,"date":"2025-07-24T09:57:16","date_gmt":"2025-07-24T13:57:16","guid":{"rendered":"https:\/\/www.hdgroup.cl\/legal\/?p=2022"},"modified":"2025-07-24T09:57:47","modified_gmt":"2025-07-24T13:57:47","slug":"prensa-articulo-de-nuestro-director-juan-pablo-gonzalez-para-iapp","status":"publish","type":"post","link":"https:\/\/www.hdgroup.cl\/legal\/en\/blog\/2025\/07\/24\/prensa-articulo-de-nuestro-director-juan-pablo-gonzalez-para-iapp\/","title":{"rendered":"Prensa | Art\u00edculo de nuestro director Juan Pablo Gonz\u00e1lez para IAPP"},"content":{"rendered":"

Lee ac\u00e1<\/strong><\/a><\/p>\n

\n
\n

La ciberseguridad en Chile: inicia el proceso de calificaci\u00f3n de OIV<\/h2>\n
\n

Con fecha de 30 de mayo de 2025, la Agencia Nacional de Ciberseguridad dict\u00f3 una resoluci\u00f3n (Resol. Exenta N.\u00ba 24, 2025<\/a>) que inicia el procedimiento de calificaci\u00f3n de Operadores de Importancia Vital acorde a lo indicado en el art\u00edculo 6\u00ba de la\u00a0Ley N.\u00ba 21.663 Marco de Ciberseguridad<\/a>\u00a0que debe realizarse cada tres a\u00f1os. As\u00ed, acorde al principio de racionalidad (art. 3, N.\u00ba 7), que indica que \u201cpara la gesti\u00f3n de incidentes de ciberseguridad, las obligaciones de ciberseguridad y el ejercicio de las facultades de la Agencia deber\u00e1n ser necesarias y proporcionales al grado de exposici\u00f3n a los riesgos, y al eventual impacto social y econ\u00f3mico\u201d; por lo que, se estableci\u00f3 un cronograma para dar inicio al proceso de calificaci\u00f3n de OIV en dos grandes etapas de acuerdo con la naturaleza y criticidad de los servicios prove\u00eddos por las entidades que prestan servicios esenciales.<\/p>\n<\/div>\n

\n

En ese sentido, la primera etapa que inicia el 30 de mayo de 2025, aborda los siguientes servicios esenciales: generaci\u00f3n, transmisi\u00f3n o distribuci\u00f3n el\u00e9ctrica, incluyendo el coordinador independiente del Sistema El\u00e9ctrico Nacional; telecomunicaciones; infraestructura digital, servicios digitales, servicios de tecnolog\u00eda de la informaci\u00f3n gestionada por terceros; banca, servicios financieros y medios de pago; prestaci\u00f3n institucional de salud por entidades tales como hospitales, cl\u00ednicas consultorios y centros m\u00e9dicos; empresas p\u00fablicas creadas por ley; organismos de la Administraci\u00f3n del Estado.<\/p>\n<\/div>\n

\n

La segunda etapa que partir\u00e1 el 30 de noviembre de 2025 abordar\u00e1 aquellas instituciones que prestan los servicios de: transporte, almacenamiento o distribuci\u00f3n de combustible; suministro de agua potable o saneamiento; transporte terrestre, a\u00e9reo, ferroviario o mar\u00edtimo, as\u00ed como la operaci\u00f3n de su infraestructura respectiva; dem\u00e1s concesionarios de servicios p\u00fablicos; administraci\u00f3n de prestaciones de seguridad social; servicios postales y de mensajer\u00eda; producci\u00f3n y\/o investigaci\u00f3n de productos farmac\u00e9uticos.<\/p>\n<\/div>\n

\n
\n
\n
\n

Importante es mencionar que este procedimiento de la ANCI, de acuerdo a lo indicado en el art\u00edculo 6\u00ba de la Ley N.\u00ba 21.663, debe requerir informes fundados a los organismos p\u00fablicos con competencia sectorial del primer grupo de instituciones que prestan servicios esenciales y, por ende, acorde al art. 37 bis de la\u00a0Ley N.\u00ba 19.880 sobre Procedimiento Administrativo<\/a>, estos deber\u00e1n evacuar el informe solicitado, dentro de los 30 d\u00edas corridos desde la fecha en que se recibi\u00f3 el requerimiento. Este informe podr\u00e1 ser valorado y, por ende, su contenido en cuanto a la opini\u00f3n del \u00f3rgano administrativo incorporado en la motivaci\u00f3n del acto administrativo que dicte la ANCI.<\/p>\n<\/div>\n

\n

Recibidos estos informes, la ANCI tendr\u00e1 30 d\u00edas corridos para evacuar un informe con la n\u00f3mina de aquellas instituciones que ser\u00e1n consideradas de importancia vital \u2014OIV; siendo sometida a consulta p\u00fablica por un per\u00edodo de 30 d\u00edas corridos; para que, finalizados el proceso y previo informe del Ministerio de Hacienda dentro de los 30 d\u00edas corridos se emita un informe final que contenga las instituciones que sean OIV. En contra de esta resoluci\u00f3n proceder\u00e1 el recurso de ilegalidad acorde a lo indicado en el art. 46\u00ba de la Ley N.\u00ba 21.663.<\/p>\n<\/div>\n

\n

La tarea que tendr\u00e1 la ANCI no ser\u00e1 f\u00e1cil, especialmente en esta primera etapa de calificaci\u00f3n de OIV, a pesar de que varios de los sectores presentados, ya cuentan con lineamientos en materia de ciberseguridad de sus reguladores sectoriales (p. ej., sector el\u00e9ctrico, financiero y telecomunicaciones, entre otros). No obstante y haciendo el s\u00edmil al proceso de transposici\u00f3n que se est\u00e1 viviendo en Europa a prop\u00f3sito de la Directiva NIS2; la ANCI, en su rol de supervisar la ciberseguridad de aquellos sectores esenciales, tendr\u00e1 que velar para que las entidades en el listado de posibles OIV puedan lograr una \u201cciber resiliencia\u201d para el pa\u00eds, tomando como referencia el cat\u00e1logo de servicios esenciales descrito en el art\u00edculo 4\u00ba de la normativa, en que se defini\u00f3 que la afectaci\u00f3n a la prestaci\u00f3n de estos servicios \u2014desde un enfoque de seguridad inform\u00e1tica\u2014 tendr\u00eda extensas y significativas consecuencias para la sociedad y el mercado.<\/p>\n<\/div>\n

\n

El desaf\u00edo de la normativa, no solo ser\u00e1 la articulaci\u00f3n de la carga regulatoria de aquellas instituciones del sector privado, sino especialmente en aquellos sectores regulados en que el exceso y sobreposici\u00f3n de requerimientos de reportes, por ejemplo, podr\u00edan generar un entorno complejo para reaccionar con la celeridad que se espera, particularmente ante el reporte de incidentes de impacto significativo en un entorno din\u00e1mico, en que la colaboraci\u00f3n entre todos los actores parece ser la v\u00eda para responder oportunamente a las amenazas inform\u00e1ticas.<\/p>\n<\/div>\n

\n

Los criterios para la designaci\u00f3n de un OIV, indicados en el art\u00edculo 5\u00ba de la Ley N.\u00ba 21.663, buscan la preparaci\u00f3n de capacidades de las organizaciones para adaptarse y resistir ante incidentes inform\u00e1ticos. De esta manera, los deberes espec\u00edficos indicados en el art\u00edculo 8\u00ba se centran en que estos operadores cuenten con las capacidades para responder ante eventos inform\u00e1ticos (que afecten sus redes y sistemas inform\u00e1ticos) tanto como situaciones complejas, como un ataque con efecto \u201ccascada\u201d, por ejemplo, en que se prioricen aquellos componentes del sistema inform\u00e1tico que son m\u00e1s urgentes durante la crisis, no afectando la provisi\u00f3n de aquellos servicios que han sido reconocidos en la normativa como esenciales.<\/p>\n<\/div>\n

\n

Estos criterios y la designaci\u00f3n de instituciones espec\u00edficas como OIV permitir\u00e1n colocar \u00e9nfasis en las posibles implicancias de estos ataques en actividades de dependencia de redes y sistemas inform\u00e1ticos de estos operadores, sobre todo, si uno analiza que entre sus obligaciones se encuentra el dise\u00f1o e implementaci\u00f3n de un Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n como Planes de Continuidad Operacional, que finalmente, implica un manejo de infraestructura inform\u00e1tica, desplegando controles preventivos ante una posible situaci\u00f3n de crisis.<\/p>\n<\/div>\n

\n

Para concluir, el proceso que inici\u00f3 el pasado 30 de mayo de 2025, no solo refleja la importancia en cuanto a la prevenci\u00f3n en un entorno interconectado ante una falla y, por ende, una vulnerabilidad en un sistema inform\u00e1tico, sino m\u00e1s a\u00fan, que las organizaciones logren focalizar sus esfuerzos en aquellos componentes dentro de las redes y sistemas inform\u00e1ticos para priorizar la entrega de servicios que son esenciales y, por su relevancia, vitales para el pa\u00eds.<\/p>\n<\/div>\n

\n

Juan Pablo Gonz\u00e1lez Guti\u00e9rrez es abogado, Director de HD Group en materia de protecci\u00f3n de datos personales y ciberseguridad; y acad\u00e9mico.<\/em><\/p>\n

\"\"<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Lee ac\u00e1 La ciberseguridad en Chile: inicia el proceso de calificaci\u00f3n de OIV Con fecha de 30 de mayo de 2025, la Agencia Nacional de Ciberseguridad dict\u00f3 una resoluci\u00f3n (Resol. Exenta N.\u00ba 24, 2025) que inicia el procedimiento de calificaci\u00f3n de Operadores de Importancia Vital acorde a lo indicado en el art\u00edculo 6\u00ba de la\u00a0Ley<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-2024","post","type-post","status-publish","format-standard","hentry","category-going-on"],"acf":[],"lang":"en","translations":{"en":2024,"es":2022},"meta_box":{"news_pdf":[],"team_posicion-imagen":false,"team_taxonomy":false,"listado_categorias":false,"gp_limit":false,"gp_taxonomia":false},"pll_sync_post":{"es":true,"en":true},"_links":{"self":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/2024","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/comments?post=2024"}],"version-history":[{"count":0,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/posts\/2024\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/media?parent=2024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/categories?post=2024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hdgroup.cl\/legal\/wp-json\/wp\/v2\/tags?post=2024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}