La Ley Marco de Ciberseguridad N.º 21.663 ya está en vigor en Chile, y su aplicación comienza a tener consecuencias concretas para cientos de instituciones públicas y privadas. Si tu empresa ha sido identificada como Operador de Importancia Vital (OIV) o crees que podría serlo, es clave que comprendas las principales exigencias que impone esta normativa.
En este artículo te explicamos las 4 obligaciones críticas que deben cumplir los OIV y cómo puedes prepararte para evitar multas, sanciones o interrupciones operativas.
¿Qué es un Operador de Importancia Vital (OIV)?
Un OIV es una organización —pública o privada— que presta servicios esenciales para el funcionamiento del país. Esto incluye sectores como:
-
Energía
-
Telecomunicaciones
-
Salud
-
Infraestructura digital
-
Finanzas y medios de pago
-
Servicios públicos
-
Administración del Estado
La Agencia Nacional de Ciberseguridad (ANCI) es la entidad responsable de calificar a estas organizaciones y fiscalizar el cumplimiento de la ley.
1. Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
Los OIV deben contar con un SGSI conforme a estándares internacionales, como ISO/IEC 27001. Esto implica establecer políticas, procedimientos, controles y métricas para proteger la confidencialidad, integridad y disponibilidad de sus sistemas críticos.
Recomendación: Si no cuentas con un SGSI, lo primero es hacer un diagnóstico de madurez. Esto permitirá trazar un plan de implementación progresiva y cumplir con los plazos regulatorios.
2. Designar un Delegado de Ciberseguridad
Toda organización clasificada como OIV debe nombrar a un Delegado de Ciberseguridad, quien será responsable de:
-
Coordinar las acciones internas frente a incidentes.
-
Actuar como nexo formal con la ANCI y CSIRT nacional.
-
Supervisar la implementación del SGSI.
-
Garantizar la actualización de los planes de ciberseguridad.
Este rol debe tener la autonomía y respaldo necesarios dentro de la estructura organizacional.
3. Reportar incidentes al CSIRT nacional
La ley obliga a reportar los incidentes de ciberseguridad de forma oportuna, según los protocolos definidos por la ANCI. Esto incluye ataques, filtraciones, accesos no autorizados o cualquier evento que comprometa la seguridad de los sistemas críticos.
Importante: El no reporte, el reporte tardío o el ocultamiento de información puede derivar en sanciones legales.
4. Contar con planes de continuidad y recuperación
La resiliencia es parte central de la nueva legislación. Las empresas deben demostrar que tienen:
-
Planes de continuidad operativa (BCP)
-
Planes de recuperación ante desastres (DRP)
-
Simulaciones o pruebas periódicas
Todo esto debe estar documentado y actualizado, para asegurar la operación ininterrumpida de los servicios esenciales, incluso ante incidentes graves.
¿Mi empresa está afectada?
La ANCI publicó una lista preliminar de 1.712 organizaciones precalificadas como OIV, pero este número puede crecer. Si tu empresa participa en alguno de los sectores mencionados, es muy probable que esté bajo la regulación o lo esté pronto.
En Cut Security desarrollamos un asistente basado en inteligencia artificial que te permite saber si estás en la lista, qué obligaciones tienes y cómo prepararte.
🔗 Accede a nuestro GPT especializado aquí
También te podría interesar: ¿Qué es un SOC y por qué tu empresa necesita uno gestionado?
Conclusión
La Ley 21.663 no es solo un marco legal: es un llamado urgente a la acción. Las organizaciones esenciales no pueden seguir operando con controles mínimos o reacciones improvisadas. Cumplir con la normativa no solo evita multas, también fortalece la confianza, protege la reputación y mejora la continuidad operativa.
En Cut Security acompañamos a las organizaciones en su camino hacia el cumplimiento. Desde diagnósticos de madurez hasta implementación de SGSI, delegados virtuales y reportes automatizados. ¿Ya sabes si estás cumpliendo?
🔗 Conoce todas nuestras marcas
Cut Security forma parte del ecosistema digital de Grupotech.
Descubre nuestras otras marcas especializadas en ciberseguridad, desarrollo web, automatización y soluciones digitales para empresas chilenas.
