Este miércoles, la Agencia Nacional de Ciberseguridad (ANCI) publicó el listado definitivo del primer proceso de calificación de Operadores de Importancia Vital (OIV), es decir, prestadores de servicios esenciales que dependen de redes informáticas y cuya continuidad operativa es crítica para el funcionamiento del país. Son 915 OIV, los que estarán regulados por la Ley Marco de Ciberseguridad y que, en caso de infracción, arriesgan multas por hasta 40 mil UTM (unos $ 2.780 millones).
La lista preliminar identificó 1.712 organizaciones públicas y privadas de los sectores energía eléctrica, telecomunicaciones, servicios digitales, financiero, institucionales de salud, empresas públicas creadas por ley y administración del Estado. Entre ellas, algunas que no son consideradas críticas en sus rubros, lo que generó alertas en industrias como las Tecnologías de la Información (TI), la generación de energías renovables y en el área de la salud.
El director de la ANCI, Daniel Álvarez, explicó que, tras el proceso de consulta pública con los descargos de las empresas y el diálogo con los reguladores sectoriales, la lista se redujo a casi la mitad. Se excluyeron más de 200 prestadores de salud por su baja dependencia de sistemas informáticos, como los centros de diálisis, y las empresas de servicios digitales bajaron de 748 a 413, tras revisar casos de firmas de ecommerce, factoring y software.
Otra de las críticas era la ausencia de empresas de agua potable y saneamiento. Álvarez dijo que se incorporarán en el segundo proceso de calificación de OIV -en curso-, cuya lista preliminar se conocerá en marzo y la definitiva se publicará durante el primer semestre de 2026.
“El número (de entidades que califican como OIV) bajó de manera importante, de 1.712 a 915 instituciones públicas y privadas”.
- ¿Cuáles fueron los principales ajustes que se realizaron?
- Procesamos la información de la consulta pública que cerró el 16 de octubre y los descargos de las empresas, pero también le volvimos a preguntar su opinión a los reguladores sectoriales (como la Comisión para el Mercado Financiero y la Subsecretaría de Telecomunicaciones).
El número bajó de manera importante, de 1.712 a 915 instituciones públicas y privadas, con reducciones importantes en salud y servicios digitales. En salud, eran 326 y quedaron 114, por ejemplo, excluimos a los centros de diálisis, porque tienen todo diseñado de manera analógica, ni siquiera dependen de una ficha clínica electrónica, que era una de las razones por las cuales habían entrado. También pasó con los laboratorios médicos, donde algunos cumplen con un nivel de resiliencia importante.
En servicios digitales y toda la industria TI, pasamos de 748 a 413 empresas. Aquí tuvimos una dificultad adicional porque no hay un regulador, nadie tenía esta información. Tuvimos que pedirla al Servicio de Impuestos Internos, a ChileCompra, incluso a las mismas empresas. Aquí hubo harto descargo y priorizamos los servicios más críticos.
En general, los números disminuyeron en todas las categorías. Por ejemplo, en el sector eléctrico pasamos de 307 organizaciones a 147 y esto fue fruto de la conversación con los reguladores sectoriales. Y aquí bajó bastante la cantidad de instituciones de generación de energías renovables.
- Tras la publicación en el Diario Oficial, ¿qué plazos tienen las empresas para apelar?
- Tendrán cinco días hábiles para presentar un recurso de reposición ante la agencia (ANCI), en el fondo, que nos pidan que reconsideremos la decisión; y un plazo de 15 días para presentar un recurso de ilegalidad en la Corte de Apelaciones.
- La lista preliminar generó alertas en la industria TI por incluir firmas de ecommerce, software y factoring. ¿A qué se debió?
- Está el desarrollador de software llave en mano, que entrega el producto y se olvida de él, pero también está el desarrollo que viene con soporte y mantención continua. Con las observaciones y los comentarios, fuimos sacando aquellos que solo venden el producto cerrado y no tienen ninguna incidencia.
En ciertas categorías específicas, como ecommerce, sus giros eran mucho más amplios y decían expresamente ‘infraestructura digital’, y esto le pasó a muchos, y calza perfecto con uno de los giros que están regulados en la Ley Marco. Cuando las empresas nos hicieron ver en los descargos que solo tenían el giro, pero no ejercían funciones en ese ámbito, lo tomamos en consideración y los bajamos. Y las de factoring usualmente tenían giros mezclados.
“En servicios digitales pasamos de 748 a 413 empresas (...) y en el sector eléctrico de 307 a 147”.
Segundo proceso
- ¿Por qué se decidió dejar para un segundo proceso empresas como Aguas Andinas y el suministro de agua y saneamiento?
- Al final, esto es criticidad sistémica. En el caso de agua potable y servicios sanitarios, son sistemas que todavía son analógicos, su exposición al riesgo es mucho más baja que otras industrias que son completamente digitales. Hoy puedes controlar una planta de agua potable en forma completamente manual, a lo largo de todo el país. En cambio, no puedes controlar un banco, una eléctrica, una telco o servicios digitales de manera manual. Es imposible.
El segundo proceso también va a incluir a combustibles, todo lo asociado a transporte, concesionarios de servicios públicos, seguridad social, servicios de mensajería y postales, y farmacéuticos. Ya oficiamos a los reguladores sectoriales. Si todo sale bien, en marzo debiera estar publicada la nómina preliminar y el primer semestre de 2026 la lista definitiva.
VER MÁS
MARKET DATA
<%userdata?.email%>
Editar perfil
Credencial
Salir
(Twitter)
Instagram
Facebook
LinkedIn
YouTube
TikTok
Alto contraste
Ciberseguridad
