La nueva Ley Marco de Ciberseguridad (Ley N° 21.663) ya está en vigor y establece nuevas reglas para proteger los sistemas informáticos y los datos frente a amenazas cibernéticas.
Uno de los puntos clave es la identificación de los sujetos obligados, es decir, las entidades que deben cumplir con esta normativa. Entre ellos se encuentran: Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV).
Ley Marco de Ciberseguridad: ¿Qué hacer si te nombran como Operador de Importancia Vital?
28 de julio 2025
Por: AltLegal
La nueva Ley Marco de Ciberseguridad (Ley N° 21.663) ya está en vigor y establece nuevas reglas para proteger los sistemas informáticos y los datos frente a amenazas cibernéticas.
Uno de los puntos clave es la identificación de los sujetos obligados, es decir, las entidades que deben cumplir con esta normativa. Entre ellos se encuentran:
- Prestadores de Servicios Esenciales (PSE): empresas que ofrecen servicios críticos para el funcionamiento del país, como agua, electricidad, salud, transporte, telecomunicaciones, finanzas y servicios digitales.
- Operadores de Importancia Vital (OIV): organizaciones que manejan infraestructura o servicios que, si se ven afectados, pueden tener un gran impacto en la seguridad nacional, la economía o la salud pública.
Ser considerado un OIV significa tener una posición crítica en la cadena de servicios esenciales o una alta exposición a riesgos de ciberseguridad. Por eso, están sujetos a exigencias especiales bajo la Ley Marco de Ciberseguridad (ver infografía)
¿Cuál es la importancia de ser nombrado un Operador de Importancia Vital?
Ser designado como Operador de Importancia Vital (OIV) tiene implicancias directas en la gestión y operación de tu empresa. No es solo un título: implica más fiscalización, mayores costos y más obligaciones legales bajo la Ley Marco de Ciberseguridad (Ley N° 21.663).
Los OIV deben cumplir con exigencias mucho más estrictas que los Prestadores de Servicios Esenciales (PSE). Entre ellas:
- Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) y contar con un delegado de ciberseguridad.
- Obtener certificaciones obligatorias en ciberseguridad.
- Diseñar e implementar planes de continuidad operativa.
- Someterse a revisiones y auditorías periódicas.
Esto supone una mayor carga operativa y una inversión significativa en recursos humanos, tecnológicos y financieros para cumplir con los estándares legales y técnicos exigidos (Ver infografía con el detalle de las obligaciones y etapas de cumplimiento)
¿Cómo se nombran los OIV?
A diferencia de los Prestadores de Servicios Esenciales (PSE), que están definidos directamente por la ley, los Operadores de Importancia Vital (OIV) son designados por la Agencia Nacional de Ciberseguridad (ANCI) a través de un proceso administrativo regulado.
Este proceso incluye:
- Informes técnicos elaborados por organismos sectoriales
- Una consulta pública, donde se pueden presentar observaciones
- Una resolución de nombramiento, que se publica en el Diario Oficial
Este procedimiento asegura que la designación se base en criterios objetivos y participativos.
Además, si una empresa no está de acuerdo con su nombramiento como OIV, puede presentar:
- Recursos administrativos, conforme a la Ley N° 19.880, y/o;
- Un reclamo de ilegalidad ante la Corte de Apelaciones correspondiente
Esto garantiza el derecho a defensa y control legal del proceso.
¿Qué tengo que hacer si soy nombrado como Operador de Importancia Vital?
Si tu empresa es nombrada como Operador de Importancia Vital (OIV) por la Agencia Nacional de Ciberseguridad (ANCI), lo primero es no asumir que la decisión es definitiva. Este nombramiento puede ser revisado y, en algunos casos, impugnado.
1. Evalúa jurídicamente la decisión
Contrata una asesoría legal especializada en ciberseguridad para analizar si el nombramiento como OIV está justificado. Dado que la ANCI procesará gran volumen de información técnica, es posible que se produzcan errores. Por eso, revisar jurídicamente el acto administrativo es clave.
2. Participa en el proceso y ejerce tus derechos
Si consideras que la decisión es errónea o discutible:
- Participa activamente en la consulta pública.
- Presenta los recursos administrativos establecidos en la Ley N° 19.880.
- Si es necesario, interpón un reclamo de ilegalidad ante la Corte de Apelaciones.
⚠️ Atención con los plazos legales: son de días y fatales, por lo que actuar con sentido de urgencia es fundamental.
3. Si la designación es correcta, adáptate rápido
En caso de que sí debas cumplir como OIV, debes:
- Contratar expertos en seguridad de la información y asesores legales.
- Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) conforme a la Ley N° 21.663.
- Cumplir con certificaciones, auditorías y planes de continuidad operativa.
El incumplimiento de esta ley puede generar multas de hasta USD 2,5 millones (aproximadamente) y riesgos reputacionales importantes para tu empresa.
¿Qué tengo que hacer si la Agencia me eximió de ser un OIV?
Si la Agencia Nacional de Ciberseguridad (ANCI) decide no nombrarte como Operador de Importancia Vital (OIV), no bajes la guardia. Esto no significa que estás libre de cumplir la Ley Marco de Ciberseguridad (Ley N° 21.663).
Podrías ser un Prestador de Servicios Esenciales (PSE)
Aunque no seas OIV, podrías estar clasificado como Prestador de Servicios Esenciales (PSE). Estos no son designados por la Agencia, sino que están definidos por ley, y no recibirás una notificación directa si tu empresa se encuentra en esa categoría. (Ver infografía para saber si puedes ser considerado PSE)
¿Qué implica ser PSE?
Si eres PSE, igual debes:
- Cumplir medidas obligatorias de ciberseguridad, aunque menos exigentes que las de los OIV
- Registrarte en el portal de la ANCI para reportar incidentes de ciberseguridad
En resumen: no haber sido nombrado OIV no significa que estés fuera del marco legal. Es clave evaluar tu situación y actuar proactivamente para evitar sanciones.
¿Qué pasa si no presto servicios esenciales ni soy OIV?
Si tu empresa no ha sido nombrada Operador de Importancia Vital (OIV) ni clasifica como Prestador de Servicios Esenciales (PSE), la Ley Marco de Ciberseguridad (Ley N° 21.663) no se te aplica de forma obligatoria. Sin embargo, esto no significa que estés exento de responsabilidad en ciberseguridad.
¿Por qué igual debes tomar medidas?
- Protección de datos personales. Si manejas información de personas (clientes, empleados, proveedores), tienes la obligación legal de protegerla. Debes asegurar la confidencialidad, integridad y disponibilidad de esos datos.
- Exigencias contractuales de terceros. Si prestas servicios a empresas que sí están reguladas como OIV o PSE, es probable que te exijan cumplir estándares mínimos de ciberseguridad como condición para seguir contratando contigo.
- Protección de tu negocio. Tu información es un activo crítico. Si sufres un ciberataque, puedes perder datos clave, frenar tus operaciones o sufrir daños reputacionales. La ciberseguridad es esencial para tu continuidad operativa.
¿Qué medidas tomar si no estás obligado por la ley?
Aunque no estés regulado, puedes y debes comenzar desde ya con acciones preventivas:
- Define una política interna de ciberseguridad adaptada a tu realidad.
- Adapta tus reglamentos y contratos a la ley.
- Capacita a tu equipo sobre buenas prácticas digitales y detección de riesgos.
- Establece protocolos de respuesta ante incidentes informáticos.
- Evalúa la robustez de tus tecnologías y procesos actuales.
Pequeños pasos hoy pueden evitar grandes problemas mañana.
Quiero saber más
📺 Revisa estas charlas:
- Charla: Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV)
- Charla: Introducción a la nueva Ley Marco de Ciberseguridad y Ley de Protección de Datos Personales
📥 Descarga estos documentos:
- Newsletter: Ley No. 21.663, Marco de Ciberseguridad
- PowerPoint: Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV)
Necesito ayuda
Hablemos. Te invitamos a que nos contactes en www.altlegal.cl/contacto.
