Addyra

¿Tu empresa fue incluida como Operador de Importancia Vital? Esto es lo que debes saber y hacer. 

Publicado el 16 de septiembre de 2025 

¿Qué es la Ley Marco de Ciberseguridad y por qué importa ahora?

La Ley N.º 21.663, vigente desde enero de 2025, establece un marco regulatorio robusto para proteger la infraestructura digital crítica del país. Su implementación marca un antes y un después en la forma en que empresas y organismos públicos deben enfrentar amenazas cibernéticas. 

Las disposiciones de esta norma han comenzado a entrar en vigor, incluyendo la clasificación de Operadores de Importancia Vital (OIV), que destacan por tener deberes especiales y un régimen de sanciones que puede alcanzar hasta 40.000 UTM. 

¿Qué significa ser un Operador de Importancia Vital (OIV)?

Ser designado como OIV implica que tu organización cumple un rol crítico en la continuidad de servicios esenciales o posee una alta exposición a riesgos de ciberseguridad. Esta clasificación no se otorga por ley, sino que es determinada por la Agencia Nacional de Ciberseguridad (ANCI) mediante resolución. 

Los OIV deben cumplir con exigencias superiores a las de los Prestadores de Servicios Esenciales (PSE), incluyendo: 

  • Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) 
  • Designación de un delegado de ciberseguridad 
  • Certificaciones técnicas homologadas por la ANCI 
  • Planes de continuidad operativa certificados 
  • Auditorías periódicas y simulacros de ciberincidentes 

 

¿Cómo se realiza la designación como OIV?

El proceso incluye: 

  • Informes técnicos sectoriales 
  • Consulta pública (actualmente abierta hasta el 16 de octubre) 
  • Resolución Exenta publicada en el Diario Oficial 

La ANCI publicó el primer listado preliminar de OIV el 16 de septiembre de 2025, iniciando oficialmente el proceso de observaciones por parte de las entidades indicadas. 

¿Qué hacer si tu empresa fue incluida en el listado preliminar?

Paso 1: Revisión legal Contrata asesoría jurídica especializada para evaluar si la inclusión está debidamente fundamentada. 

Paso 2: Participación activa Presenta observaciones en la consulta pública y, si corresponde, interpón recursos administrativos o reclamos de ilegalidad si correspondiera. 

Paso 3: Preparación operativa Si la designación se confirma, adapta tu empresa rápidamente a las exigencias legales. El incumplimiento puede acarrear sanciones económicas y reputacionales graves. 

¿Y si no fuiste designado como OIV? ¿Estás fuera del alcance de la ley?

No necesariamente, ya que el listado publicado es preliminar. Aún así, podrías estar clasificado como Prestador de Servicios Esenciales (PSE), lo que también implica obligaciones legales, aunque menos estrictas: 

  • Políticas internas de ciberseguridad 
  • Registro en el portal de ANCI 
  • Reporte de incidentes relevantes 

La ley no exige notificación directa para los PSE, por lo que es responsabilidad de cada empresa evaluar si se encuentra dentro de esta categoría. 

 

¿Y si no eres ni OIV ni PSE?

En ese caso, no estás obligado por la ley, pero se recomienda adoptar buenas prácticas de ciberseguridad. La ANCI podría incluir nuevas entidades en futuros listados, por lo que mantenerse informado y preparado es clave. 

 

Fuente: Agencia Nacional de Ciberseguridad / Diario Oficial