Los invitamos a leer la columna de opinión de nuestro socio Antonio Rubilar y asociada senior az Tech, Antonia Nudman, quienes analizaron dos ámbitos que serán determinantes para las empresas catalogadas como Operadores de Importancia Vital.
La reciente resolución de la Agencia Nacional de Ciberseguridad (ANCI) encendió las alertas en diversos sectores: más de mil entidades fueron consideradas preliminarmente como operadores de importancia vital (OIV), una categoría que conlleva obligaciones especiales en gestión, seguridad y continuidad. Con el cierre del periodo de observaciones el 16 de octubre, ahora comienza el verdadero desafío: ordenar el camino regulatorio y operativo que viene.
El proceso entra ahora en una nueva fase: la ANCI deberá dictar la resolución con la nómina definitiva dentro de los treinta días posteriores a la publicación del resumen ejecutivo. Si se cumplen los plazos, eso debiera ocurrir en diciembre de 2025. Pero más allá del calendario, lo relevante es aprovechar la oportunidad para hacer los análisis que correspondan.
Este es el momento de actuar, de revisar la posición jurídica y fortalecer la gestión interna, teniendo en consideración dos frentes integrales.
El primero es jurídico: revisar si la calificación OIV se ajusta a la normativa aplicable, evaluar la justificación entregada por la autoridad y, de ser necesario, considerar los recursos administrativos de la Ley N° 19.880 o, eventualmente, la reclamación judicial contemplada en la Ley N° 21.663. Se trata de ejercer el derecho a revisión con fundamentos técnicos y evidencia clara.
El segundo frente es operativo: más allá de los recursos o discrepancias, es indispensable fortalecer los mecanismos internos de gestión. Esto implica definir responsables con atribuciones reales, establecer políticas y procedimientos de riesgo y continuidad, contar con protocolos de reporte de incidentes y asegurar la trazabilidad documental.
En otras palabras, transformar las obligaciones normativas en prácticas concretas. Incluso si finalmente la entidad no es confirmada como OIV, es muy probable que quede comprendida como Prestador de Servicios Esenciales (PSE), lo que también activa los deberes generales de la Ley Marco.
En cambio, si la calificación OIV se mantiene, las exigencias se vuelven más intensas: planes de continuidad con tiempos definidos, ejercicios verificables, escalamiento formal de incidentes, preservación de evidencia y alineamiento contractual de toda la cadena de suministro.
Por eso, la recomendación es avanzar con una estrategia progresiva, integral y proporcional. Las organizaciones deben alinear las exigencias de la Ley Marco con sus propias regulaciones sectoriales y con la nueva Ley de Protección de Datos Personales, especialmente en materia de seguridad y notificación de vulneraciones.
Este enfoque es especialmente pertinente para aquellas entidades que, tras un análisis fundado, concluyan que su calificación como OIV no se ajusta ni al derecho ni a los hechos del caso. Para ellas, la ruta más inteligente es dual: defender su posición jurídica mientras fortalecen su gobernanza interna. De ese modo, cuando se dicte la resolución definitiva, estarán preparadas para cualquiera de los escenarios posibles.
En suma, no se trata de alarmarse ni de improvisar. Se trata de anticiparse con criterio: gobernanza, evidencia y acción coordinada son hoy las verdaderas señales de madurez en ciberseguridad.
Columna escrita por:
Antonio Rubilar | Socio | arubilar@az.cl
Antonia Nudman | Asociada Senior az Tech | anudman@az.cl
