Cuando se habla de «Operador de Importancia Vital» (OIV), la mayoría de las empresas se encoge de hombros. Piensan: «Eso es para las grandes mineras, los bancos enormes o el Gobierno, a mí no me toca».
Pero la realidad, cortesía de la nueva Ley de Ciberseguridad (Ley 21.663), es completamente distinta. El juego cambió, y tu empresa podría estar en la mira de la autoridad (la ANCI) incluso si nunca lo esperaste.
Si tu nombre aparece en esa lista y te pillan sin un plan listo, las consecuencias no serán un simple «tirón de orejas». Hablamos de costos brutales: un golpe directo a tu reputación, interrupciones operacionales catastróficas y, sí, multas que duelen en el bolsillo como nunca antes.
Este artículo no es solo para informarte. Es una llamada de atención urgente que te ayudará a:
- Despejar la duda: Entender si el concepto de OIV bajo la Ley 21.663 aplica a tu realidad.
- Conocer la lupa: Saber exactamente qué criterios usará la ANCI para definirlos.
- Ganarle al reloj: Manejar los plazos críticos que están activos ahora mismo.
- Trazar el plan: Saber qué pasos ejecutar inmediatamente si sospechas que entras en la categoría.
1. El Nuevo Riesgo Regulatorio: ¿Qué Significa Realmente ser un OIV?
Dejemos de lado el nombre formal. La Ley no te clasifica como OIV por una simple etiqueta. Lo hace porque identifica algo clave: una falla en tu operación tendría un impacto sistémico a nivel país.
Un OIV es aquella organización cuyo funcionamiento es tan crítico que si se cae o es atacada (una hora, un día, una semana), podría desestabilizar gravemente:
- La seguridad nacional.
- La salud pública o el suministro de servicios básicos.
- La economía chilena o la infraestructura esencial.
Si la ANCI te pone ese sello, te está diciendo: «Usted es demasiado importante para fallar.»
No es opcional: si entras en esa lista y no cumples, pagarás el costo.
Ser clasificado como OIV te obliga a un estándar de cumplimiento mucho más alto. Olvídate de la ciberseguridad «a medias». Tendrás que realizar:
- Reporte estricto de incidentes (plazos más cortos).
- Auditorías constantes.
- Posibles sanciones más severas.
- Necesidad de demostrar controles robustos de ciberseguridad.
Ojo aquí: Si te incluyen en la lista, no es una sugerencia. Si no cumples, el costo lo pagarás tú.
2. La Lupa de la ANCI: ¿Cómo Te Clasificarán?
La Agencia Nacional de Ciberseguridad (ANCI) no va a jugar a los dados. Su evaluación se basará en dos ejes esenciales que miden qué tan dependiente eres de la tecnología y qué tan graves serían las consecuencias de una caída:
| Eje | Qué mide | Ejemplos / preguntas |
|---|---|---|
| Dependencia tecnológica | Qué tan crítica es la tecnología para que tus operaciones funcionen | ¿Tus servicios dependen de sistemas digitales 24/7? ¿No tienes redundancia? |
| Impacto significativo | Qué tan grave sería para la sociedad, la economía o servicios básicos tu falla | ¿Un corte de servicio dañaría hospitales, bancos, red eléctrica, transporte, agua potable? |
Además, se consideran sectores con alta probabilidad de ser OIV:
- Energía (generación, transmisión, combustibles)
- Agua y saneamiento
- Telecomunicaciones e infraestructura digital
- Servicios financieros / medios de pago
- Salud (hospitales, clínicas, bases de datos clínicos)
- Transporte / logística crítica
- Entidades públicas con funciones esenciales
¡Alerta! La ANCI tiene la potestad de incluir a cualquier empresa que no esté en estos sectores si determina que su colapso «afectaría gravemente el funcionamiento normal del país».
El Autodiagnóstico Rápido: ¿Tienes que Preocuparte?
Hazte estas preguntas con honestidad:
- ¿Mi servicio es un eslabón esencial para la continuidad de otros servicios críticos (financieros, salud, logísticos)?
- ¿Una interrupción de pocas horas en mi operación genera pérdidas graves o efectos en cadena que van más allá de mi empresa?
- ¿Tengo baja disponibilidad o carezco de planes de respaldo y recuperación certificados y probados?
- ¿Pertenezco a alguno de los sectores «críticos» mencionados arriba?
Si respondiste afirmativamente a dos o más preguntas, tienes una probabilidad muy alta de aparecer en la nómina de OIV. Tienes que actuar ahora.
3. Calendario clave que no debes perder de vista.
La Ley ya está vigente: lo preocupante no es el “¿cuándo?” sino el “¿qué tan preparado estás?”
Aquí los hitos más importantes:
| Fase del proceso | Fecha objetivo | Estado en agosto 2025 | Qué debes hacer ahora |
|---|---|---|---|
| Bases y criterios ANCI | 30 de mayo | ✅ Publicadas (Resol. Exenta N.º 285) | Verifica si tu empresa cumple con los requisitos establecidos. |
| Informe sectorial de reguladores | 30 de junio | ✅ Entregado a la ANCI | Reúne evidencia de continuidad y mitigaciones que respalden tu caso. |
| Nómina preliminar de OIV | 30 de julio | ❌ Aún no publicada. Puede salir en cualquier momento. | Revisa el Diario Oficial a diario y ten tu objeción lista. |
| Consulta pública (30 días) | 30 de agosto | ❌ No iniciada, depende de la nómina preliminar. | Prepara tu descargo con documentación en cuanto se abra el plazo. |
| Resumen ejecutivo ANCI | 30 de septiembre | Se ajustará al posible atraso. | Ajusta planes de cumplimiento según el feedback recibido. |
| Nómina definitiva de OIV | 30 de octubre | ⏳ Sin cambios (por ahora). | Si apareces en la lista, activa tu plan de cumplimiento inmediato. |
No esperes a ver tu nombre en esa lista. Cada día que pasa sin preparación reduce drásticamente tu capacidad de defensa y aumenta el riesgo de multas.
4. ¿Puedes influir en la decisión? Cómo presentar observaciones ante la ANCI
Revisar la nómina preliminar de Operadores de Importancia Vital (OIV), tendrás un espacio breve para defender tu posición. Aquí te dejo un plan práctico para hacerlo de manera ordenada y convincente.
1. Descarga y revisa la nómina preliminar
- Apenas se publique en el Diario Oficial o en anci.gob.cl, busca tu empresa.
- Revisa con detalle los antecedentes que la ANCI usó para clasificarte.
Este primer chequeo es clave para saber qué argumentos usar.
2. Redacta tu objeción con datos
- Expón de manera clara por qué una interrupción de tu servicio no tendría un “impacto significativo”.
- O bien, demuestra que ya cuentas con controles sólidos que reducen el riesgo (ejemplo: SGSI certificado, data centers redundantes, contratos de respaldo).
- Usa datos verificables:
- Porcentajes de disponibilidad real.
- Métricas de RTO/RPO.
- Evidencia de planes de continuidad ya auditados.
3. Aporta evidencia sólida (no solo palabras)
Incluye anexos que respalden cada punto:
- Certificaciones vigentes (ISO 27001 / ISO 22301 o equivalentes).
- Resultados de simulacros y pruebas de continuidad.
- Plan de Continuidad Operacional propio o de proveedores externos.
- Informes de auditoría independiente.
Mientras más tangible y verificable sea tu respaldo, mayor será tu credibilidad.
4. Entrega el expediente dentro del plazo
- El plazo estándar es de 30 días desde la publicación.
- Si la lista preliminar se retrasa, ese tiempo podría ser aún más corto.
- Envía todo a través de la mesa de partes digital de la ANCI y guarda el acuse de recibo como respaldo legal.
5. Monitorea la respuesta oficial
- La ANCI publicará un resumen ejecutivo con las observaciones recibidas y su decisión final (objetivo: 30 de septiembre de 2025).
- Ajusta tu estrategia según el resultado:
- Si permaneces en la lista, acelera la implementación de tu SGSI y planes de continuidad antes del 30 de octubre.
Tip práctico: Tener tu expediente listo con antelación evita que trabajes contrarreloj. Además, un archivo bien ordenado y con evidencia robusta aumenta las probabilidades de éxito en tu objeción.
Conclusión:
La Ley 21.663 no te pregunta si eres «seguro»; te exige que lo demuestres. Si estás en un sector crítico o tu dependencia digital es alta, la posibilidad de que te clasifiquen como OIV es una realidad ineludible.
No se trata solo de evitar una multa, se trata de proteger la continuidad de tu negocio, tu reputación y la confianza de tus stakeholders de manera profesional.
Hacer esto a última hora es un riesgo que ninguna empresa responsable debería tomar.
Conoce la nueva resolución de la ANCI aquí: https://ley21663.cl/