OIV en Chile: Quedan 15 días para presentar observaciones bajo la Ley 21.663

El 16 de septiembre de 2025, la Agencia Nacional de Ciberseguridad (ANCI) publicó la lista preliminar de 1.712 instituciones consideradas como Operadores de Importancia Vital (OIV), en el marco de la Ley 21.663, Ley Marco de Ciberseguridad.

La lista abrió un proceso de consulta pública de 30 días corridos, plazo que vence el 16 de octubre de 2025.

Para las organizaciones incluidas, este no es un trámite formal. Es el primer paso hacia un régimen de cumplimiento que exigirá nuevos estándares técnicos, legales y operativos en ciberseguridad. Actuar ahora es clave.

¿Qué significa estar en la lista preliminar de OIV?

De acuerdo con la Ley 21.663, un Operador de Importancia Vital es toda institución cuya interrupción o falla afectaría de manera crítica la seguridad, el orden público, la continuidad de servicios esenciales o el bienestar de la población.

La lista publicada por la ANCI es preliminar, lo que significa que todavía puede recibir observaciones antes de consolidarse en una nómina oficial. Sin embargo, la inclusión ya implica que la institución es considerada crítica para la infraestructura y servicios del país y debe comenzar a prepararse.

¿Qué establece el reglamento de calificación OIV?

El Reglamento del Procedimiento de Calificación de OIV (Decreto N° 285, marzo 2025) regula cómo se determina quién es un OIV. La ANCI considera criterios como:

• Impacto significativo: Número de personas potencialmente afectadas por una interrupción.
• Redundancia: Existencia o no de proveedores alternativos que puedan sustituir el servicio.
• Monoprovisión: Casos en que existe un único proveedor crítico.
• Dependencia de servicios: Interdependencia con otros operadores o cadenas de suministro.
• Relevancia institucional: Incidencia directa en la seguridad, salud pública o economía.

Las instituciones privadas incluidas en la lista fueron evaluadas bajo estos parámetros.

Pasos inmediatos que deben seguir las instituciones OIV

1. Revisar la inclusión en la lista

• Confirmar que la institución está correctamente mencionada.
• Si corresponde, preparar observaciones.

2. Presentar observaciones (hasta el 16 de octubre de 2025)

• Solo puede hacerlo el representante legal de la institución.
• Se requiere:
  
  • Certificado de vigencia de la persona jurídica.
  • Certificado de vigencia de poderes del representante legal (emitidos hace menos de 90 días).
• El trámite se realiza en el portal institucional de la ANCI: portal.anci.gob.cl.

3. Designar un responsable de ciberseguridad

• Persona con autoridad y presupuesto para coordinar las acciones.

4. Diagnóstico inicial de ciberseguridad

• Identificar brechas frente a los estándares de la Ley 21.663.
• Mapear activos críticos y dependencias tecnológicas.

5. Preparar un plan de cumplimiento

• Definir acciones inmediatas y progresivas para alinearse a los requisitos de la Ley y su reglamento.

Cómo te puede apoyar Netprovider

Una empresa especializada puede acompañar a las instituciones OIV en:

• Diagnósticos técnicos y normativos para identificar riesgos y brechas.
• Planes de acción inmediatos que prioricen medidas críticas en función del plazo.
• Implementación de controles técnicos y operativos.
• Capacitación de equipos internos sobre obligaciones y mejores prácticas.
• Soporte en cumplimiento normativo, auditorías y relación con organismos reguladores.

Conclusión: El tiempo es limitado

Las instituciones incluidas en la lista preliminar de OIV tienen 15 días restantes para presentar observaciones a la ANCI. Este no es solo un trámite administrativo, es el inicio de un régimen de mayor responsabilidad y fiscalización en ciberseguridad para organizaciones críticas del país.

En este escenario, contar con una empresa de ciberseguridad especializada no es opcional, es estratégico. Una asesoría externa permite:

• Detectar brechas con rapidez.
• Diseñar planes de acción alineados a la Ley 21.663.
• Implementar controles eficaces sin perder tiempo en prueba y error.
• Asegurar continuidad operativa y cumplimiento normativo frente a futuras auditorías.

El plazo de la consulta pública termina el 16 de octubre de 2025. Las organizaciones que se anticipen con el apoyo adecuado estarán mejor preparadas para enfrentar la próxima fase de la Ley Marco de Ciberseguridad.