El incumplimiento de las nuevas y exigentes normativas en ciberseguridad podrá acarrear multas, que tienen como propósito desincentivar la falta de preparación y proteger la infraestructura crítica del país.

El gobierno continúa avanzando en la implementación de la nueva Ley Marco de Ciberseguridad con la publicación de una nómina preliminar de los “Operadores de Importancia Vital” (OIV). El documento identificó a las instituciones públicas y privadas cuya operación es fundamental para el funcionamiento del país, y cuya interrupción por un ciberataque podría generar un grave impacto en la seguridad nacional, el orden público o la entrega de servicios esenciales para los ciudadanos. 

El listado preliminar es el resultado de la coordinación entre la Agencia Nacional de Ciberseguridad (ANCI) y otros reguladores sectoriales como el Banco Central y las superintendencias, organismos del Estado y empresas de sectores estratégicos como energía, telecomunicaciones, infraestructura digital, banca y servicios financieros, y los principales prestadores de salud. 

El paso siguiente es un período de consulta pública, donde las instituciones privadas señaladas tendrán la oportunidad de presentar sus observaciones y antecedentes a la ANCI antes de que ésta dicte la nómina definitiva.

Lea también: Bill Gates llama a superar la visión catastrófica del cambio climático y priorizar la resiliencia global

Una vez que se publique el listado final, lo que se espera para finales de 2025 o inicios de 2026, las obligaciones legales se activarán de forma inmediata y obligatoria para todas las entidades designadas en el listado definitivo. A partir de ese momento, ya no se tratará de un proceso de calificación, sino de una fase de cumplimiento y fiscalización, donde estas organizaciones deben adoptar un estándar de protección digital significativamente más alto que el actual.

Entre los puntos más importantes, las empresas calificadas deberán implementar un Sistema de Gestión de Seguridad de la Información (SGSI), establecer, elaborar e implementar planes de continuidad operacional y ciberseguridad, los cuales deben ser certificados, así como realizar operaciones continuas de revisión, ejercicios, simulacros y análisis para detectar amenazas. Además, deberán cumplir con tiempos más acotados para el reporte de incidentes, debiendo entregar actualizaciones al CSIRT Nacional en un máximo de veinticuatro horas si el incidente afecta la prestación de sus servicios esenciales. Otro tema importante es que deberán designar un delegado de ciberseguridad como contraparte de la ANCI. 

El incumplimiento de estas nuevas y exigentes normativas podrá acarrear multas, que tienen como propósito desincentivar la falta de preparación y proteger la infraestructura crítica del país. La fase de cumplimiento y fiscalización se acerca, por lo que es esencial que los OIV avancen hoy en sus estrategias de ciberseguridad.

*El autor es Director del Centro de Ciberinteligencia (CCI) de Entel Digital

Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes Chile