Ley Marco de Ciberseguridad en Simple: ¿Servicio Esencial (SE) u OIV?

La entrada en vigencia de la Ley Marco de Ciberseguridad (Ley N.º 21.663) ha generado un escenario de incertidumbre en los directorios de Chile. Sin embargo, el error más común y peligroso que escuchamos en las reuniones de gerencia es este:

“Esa ley es para empresas críticas gigantes… nosotros no somos Operadores de Importancia Vital (OIV), así que no nos aplica”.

Ese razonamiento es incompleto y financieramente riesgoso.

La ley no regula solo a la cima de la pirámide (OIV). Regula primero a la base: los Servicios Esenciales (SE). En Magnosecurity hemos preparado esta guía ejecutiva para despejar la ambigüedad, aclarar tus obligaciones ante la Agencia Nacional de Ciberseguridad (ANCI) y mostrarte cómo cumplir técnicamente para evitar multas de hasta 40.000 UTM.

1. La Pirámide Regulatoria: SE vs. OIV

Para entender tu riesgo, visualiza la ley como una pirámide:

  • Base (La Mayoría): Servicios Esenciales (SE).
  • Cima (La Minoría): Operadores de Importancia Vital (OIV).

La Regla de Oro: No puedes ser OIV si antes no eres SE. Pero puedes ser SE (y tener obligaciones legales estrictas) sin llegar a ser OIV.

¿Qué es un Servicio Esencial (SE)?

Es cualquier organización que opera en sectores críticos para el país. Atención Gerentes: No depende del tamaño de tu facturación ni de tu número de empleados, depende del rubro. Eres SE por ley si perteneces a:

  • Tecnología: MSPs, outsourcing TI, servicios digitales y Data Centers.
  • Finanzas: Banca, Fintech, medios de pago y servicios financieros.
  • Salud: Clínicas, laboratorios, centros médicos y farmacéuticas.
  • Suministros: Electricidad, gas, combustibles, agua y saneamiento.
  • Transporte y Logística: Terrestre, aéreo, marítimo y ferroviario.
  • Sector Público: Ministerios y municipalidades.

Si estás en esta lista, la ley ya te aplica.

¿Qué es un Operador de Importancia Vital (OIV)?

Es un SE que la ANCI califica formalmente mediante resolución, debido a que su caída afectaría la seguridad nacional, el orden público o la vida de las personas. Tú no te autodeclaras OIV; la autoridad te notifica.

2. Matriz de Cumplimiento: ¿Qué debes implementar hoy?

La ley exige Reportar, Prevenir y Resolver. En Magnosecurity hemos traducido los artículos 7, 9 y 27 de la ley en una matriz de servicios técnicos para asegurar tu cumplimiento.

A. Si eres Servicio Esencial (SE)

Tu foco legal es la prevención demostrable y el reporte oportuno.

1. Obligación de Reportar (El Reloj en Contra)

No reportar un incidente a tiempo es una infracción grave. Los plazos son estrictos:

  • Alerta Temprana: Máximo 3 horas desde la detección.
  • Actualización: 72 horas.
  • Informe Final: 15 días.

Solución Magno Security: Implementación de un Playbook de Respuesta a Incidentes alineado a la ANCI y servicio de Respuesta a Incidentes (IR) bajo demanda para cumplir con la ventana de 3 horas.

2. Obligación de Prevenir (Debida Diligencia)

El Artículo 7 exige medidas permanentes de seguridad. Ante una fiscalización, debes demostrar que hiciste lo razonable para evitar el ataque.

  • Ethical Hacking: Recomendamos 2 al año (uno por semestre) para detectar vulnerabilidades antes que los criminales.
  • Hardening de Infraestructura: Revisión técnica de servidores y nubes para cerrar puertas traseras.
  • Factor Humano: Campañas de Phishing y Concientización semestrales (el error humano sigue siendo la causa #1 de brechas).

B. Si eres Operador de Importancia Vital (OIV)

Debes cumplir todo lo anterior, más exigencias de Gobernanza Estructural:

  • Implementación de un SGSI (Sistema de Gestión de Seguridad de la Información), usualmente basado en ISO 27001.
  • Planes de Continuidad de Negocio (BCP) y Ciberresiliencia probados y auditados externamente.
  • Aquí la ciberseguridad deja de ser un tema TI y pasa a ser un tema de Directorio y Riesgo Corporativo.

3. El Costo de la Inacción (Multas y Reputación)

La ANCI no evaluará intenciones, evaluará evidencia. Las sanciones son progresivas:

  • Multas Gravísimas: Hasta 40.000 UTM (aprox. $2.800 millones de pesos).
  • Reincidencia: Multas de hasta el 2% al 4% de los ingresos anuales de la empresa.
  • Responsabilidad: Directa por reportar tarde, ocultar información o no tener los controles mínimos (Hardening, Hacking, etc.).

El Dato: En la práctica, el costo de paralización operativa y el daño reputacional suele ser infinitamente mayor que la multa.

Conclusión Ejecutiva:

La mayoría de las empresas que leen esto son Servicios Esenciales, aunque no lo sepan. Muy pocas serán OIV, pero la base regulatoria para los SE ya es alta y exigente.

La pregunta correcta para el directorio no es “¿Somos OIV?”, sino:

“¿Podemos demostrar ‘debida diligencia’ técnica si hoy tenemos un incidente?”

¿No sabes en qué categoría estás o qué te falta para cumplir?

En Magnosecurity realizamos un Diagnóstico Normativo Express. Evaluamos tu clasificación (SE vs OIV), tus brechas frente a la Ley 21.663 y diseñamos tu hoja de ruta de cumplimiento (Ethical Hacking, Hardening y Respuesta)

Previous Project
Next Project