El lunes 7 de julio, la Agencia Nacional de Ciberseguridad (ANCI) llevó a cabo una charla sumamente relevante para el ecosistema empresarial y tecnológico chileno, centrada en explicar el procedimiento mediante el cual se determinará quiénes serán calificados como OIV conforme a la nueva normativa en materia de ciberseguridad en nuestro país.
Esta figura —la de los OIV— es probablemente uno de los pilares más estratégicos de la nueva legislación. No se trata simplemente de etiquetar empresas como “críticas”, sino de identificar a aquellas cuyo funcionamiento resulta esencial para la seguridad nacional, el orden público o la continuidad de servicios básicos para la sociedad. Ser calificado como OIV implica, en la práctica, entrar a un régimen de mayores exigencias de ciberseguridad, de reporte y eventualmente de fiscalización, lo que conlleva una serie de desafíos para las empresas involucradas.
La ley y su Reglamento (DS N° 285 de 2024) establecen que sólo pueden ser OIV quienes presten servicios esenciales y, además, cumplan con ciertos requisitos objetivos. Entre estos, destaca que la provisión del servicio dependa de redes y sistemas informáticos y que la afectación, interrupción o destrucción de dicho servicio genere un impacto significativo, ya sea en la seguridad del país, en el orden público o en la provisión continua de servicios que el Estado está obligado a garantizar. Para determinar ese impacto, se ponderan factores como el número de personas potencialmente afectadas, la existencia o no de proveedores alternativos (la llamada “redundancia”), la existencia de monoprovisión de servicios, la dependencia entre servicios esenciales y la relevancia de la institución proveedora.
Uno de los puntos que más interés —y también inquietud— ha despertado en la industria, y que se abordó en detalle durante la charla, es la situación de los llamados “servicios digitales” y de los “servicios de tecnología de la información gestionados por terceros”. Aquí se concentra una parte significativa de la incertidumbre interpretativa. La ANCI explicó que no basta con ser una empresa tecnológica para quedar automáticamente calificada como OIV. La clave está en el vínculo entre el servicio que se presta y la criticidad de la actividad esencial a la que da soporte. Por ejemplo, si una empresa provee servicios digitales a una compañía eléctrica —que es por sí misma prestadora de un servicio esencial— podría considerarse OIV si de su continuidad depende el funcionamiento de ese servicio esencial. Sin embargo, si la misma empresa provee servicios digitales a una compañía cuya actividad no califica como esencial, entonces, en principio, no se la calificaría como OIV, salvo que, por razones sobrevinientes, adquiera un rol crítico para el abastecimiento o la seguridad del país.
Este matiz es sumamente relevante. No se trata, por tanto, de una clasificación rígida ni puramente sectorial, sino de un análisis caso a caso, basado en el nivel de dependencia que tengan los servicios digitales respecto de sectores críticos y en el potencial efecto en cadena que podría provocar su interrupción. La ANCI fue clara en señalar que no todas las plataformas digitales serán objeto de esta regulación más intensa, sino aquellas que —directa o indirectamente— resulten imprescindibles para mantener servicios esenciales o garantizar bienes jurídicos fundamentales como la seguridad, la salud pública o la economía nacional.
Otra arista importante del proceso es su estructura predominantemente administrativa y transparente.
La calificación como OIV se inicia mediante resolución, tras la cual la ANCI recaba información tanto de los reguladores sectoriales, así mismo, podrá solicitar la entrega voluntaria de antecedentes a los propios privados cuya calificación como OIV se encuentre en revisión. Posteriormente, se elabora una nómina preliminar de posibles OIV, la que se somete a consulta pública. Este mecanismo busca no sólo transparencia, sino también asegurar que empresas eventualmente calificadas puedan exponer información técnica, comercial o estratégica que permita dimensionar adecuadamente su rol y el impacto que tendría su inclusión en la categoría de OIV. Finalmente, tras la evaluación de las observaciones, se dicta una resolución definitiva, que tiene una vigencia de tres años, salvo que circunstancias extraordinarias justifiquen una revisión anticipada.
Para muchos sectores, especialmente los vinculados a infraestructura digital, telecomunicaciones, servicios financieros y salud, este proceso redefine las reglas del juego. Ser calificado como OIV implicará robustecer sus medidas de ciberseguridad, someterse a obligaciones específicas de reporte y, eventualmente, adaptarse a futuras exigencias de certificación, toda vez que el reglamento de certificaciones aún está pendiente, aunque se estima que incluirá referencias a estándares internacionales, siendo la ISO 27001 uno de los posibles marcos de referencia.
Estamos, sin duda, ante un cambio de paradigma en la forma en que el país concibe su seguridad digital.
El proceso de calificación de OIV no es solo un trámite regulatorio: es una herramienta para mapear y proteger las arterias digitales que sostienen el funcionamiento de Chile. Para las empresas, la recomendación es clara, analizar cuidadosamente si sus servicios son o se encuentran vinculados a sectores críticos, preparar sus equipos técnicos y legales para responder ante eventuales consultas de la ANCI y, sobre todo, mantener una visión proactiva en materia de ciberseguridad. La resiliencia digital, en adelante, ya no será solo una buena práctica, se convertirá en una obligación legal y estratégica.
Te invitamos a revisar esta nota y el perfil de LinkedIn de Valentina 👇🏻
