Departamento TI
Compliance

Prestador de servicios esenciales (PSE) en Chile: qué es, obligaciones y diferencias con OIV

juanhernandez@preyhq.com
Juan H.
Jun 25, 2025
0 minutos de lectura
Prestador de servicios esenciales (PSE) en Chile: qué es, obligaciones y diferencias con OIV
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

Aspectos claves:

  • Un prestador de servicios esenciales (PSE) es una entidad cuya operación es crítica para el país (salud, abastecimiento, servicios básicos, etc.) y por eso la Ley 21.663 le exige medidas concretas de ciberseguridad.
  • Un operador de importancia vital (OIV) es un caso aún más exigente: su dependencia tecnológica y el impacto de un incidente pueden afectar gravemente la continuidad del servicio o la seguridad pública.

La Ley 21.663, también conocida como Ley Marco de Ciberseguridad, vino a poner orden en un tema que ya no puede quedar en segundo plano: proteger a Chile frente a las ciberamenazas. Para lograrlo, creó a la Agencia Nacional de Ciberseguridad (ANCI), que coordina esfuerzos públicos y privados. ¿Uno de sus focos? Los servicios esenciales, esas actividades que no pueden fallar sin afectar el día a día de todos.

Según la ley, los servicios esenciales incluyen sectores como electricidad, agua, salud, transporte, telecomunicaciones e infraestructura digital. Son, en resumen, los pilares que mantienen funcionando al país. Por eso, entender quiénes son los prestadores de servicios esenciales (PSE) es vital: si una empresa o institución cae en esa categoría, tiene responsabilidades adicionales para garantizar que su operación siga en pie incluso frente a un ciberataque.

¿Quiénes pueden ser considerados prestadores de servicios esenciales (PSE)?

No todas las organizaciones entran automáticamente en la categoría de prestador de servicios esenciales (PSE), pero muchas podrían serlo. Y si además cumplen ciertos criterios críticos, podrían incluso ser catalogadas como operadores de importancia vital (OIV).

¿La diferencia? Todos los OIV son PSE, pero no todos los PSE califican como OIV. Los OIV tienen un rol aún más crítico: su interrupción puede afectar directamente la seguridad o el orden público.

Esta clasificación no distingue entre lo público y lo privado. Si prestas un servicio clave y dependes de redes informáticas, podrías estar en la mira de la ANCI. Algunos de los sectores que suelen caer bajo esta categoría incluyen:

  • Energía
  • Agua y saneamiento
  • Salud
  • Transporte
  • Telecomunicaciones
  • Infraestructura digital

Cómo saber si tu organización podría ser PSE (mini diagnóstico)

Si tu equipo es pequeño y no tienes un área formal de seguridad, lo más útil es partir con un filtro simple. Tu organización podría ser calificada como PSE si se cumple al menos una de estas condiciones:

  • Tu servicio sostiene necesidades básicas o continuidad del país: salud, energía, agua, telecomunicaciones, transporte, banca/pagos, abastecimiento, servicios públicos, entre otros.
  • Si tu servicio se interrumpe, el impacto sería real: riesgo para la vida de personas, problemas de abastecimiento, afectación al medioambiente, o interrupción del funcionamiento del Estado.
  • Tu operación depende de tecnología y redes y un incidente podría detener procesos críticos (especialmente relevante si además podrías caer como OIV).

Si estás en duda, lo correcto no es “esperar a que te notifiquen”, sino prepararte con un plan mínimo. Abajo te explicamos obligaciones y un checklist para partir.

¿Qué son los Operadores de Importancia Vital (OIV)?

Como hablamos anteriormente, dentro de los operadores de servicios esenciales, hay un grupo aún más crítico: los Operadores de Importancia Vital (OIV). La ANCI es la encargada de designarlos, pero no lo hace al azar. Para ser considerado OIV, una entidad debe prestar un servicio que dependa fuertemente de redes y sistemas informáticos, y cuya interrupción pueda generar un impacto serio en la seguridad, el orden público o el funcionamiento normal del Estado.

Lo interesante es que no solo los servicios esenciales pueden ser calificados como OIV. Instituciones privadas que no estén en esa categoría también pueden recibir esa calificación si cumplen ciertos criterios. En estos casos, la ANCI también debe considerar el tamaño de la organización y aplicar un criterio proporcional con énfasis en proteger a las micro, pequeñas y medianas empresas.

PSE vs OIV: Diferencias clave

Aspecto PSE (Prestador de Servicios Esenciales) OIV (Operador de Importancia Vital)
Qué es Servicio esencial para el país. Servicio crítico para el país con alto impacto ante un incidente.
Enfoque del riesgo Continuidad de servicios esenciales. Continuidad + riesgo sistémico, seguridad y orden público.
Exigencia práctica Reportes, controles básicos y coordinación. Exigencias más estrictas, mayor fiscalización y sanciones más altas.
Qué pregunta clave responde “¿Mi servicio es esencial para la sociedad o el Estado?” “¿Un incidente podría generar un impacto grave a la sociedad?”
Señal típica Interrupción que afecta a la población, el abastecimiento o al Estado. Incidente que puede escalar a una crisis por alta dependencia digital.

Obligaciones legales PSE vs OIV

Obligación Servicios Esenciales (PSE) Operadores de Importancia Vital (OIV)
Deberes generales de ciberseguridad
Deber de reportar incidentes a la autoridad (ANCI / CSIRT)
Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
Registro de las acciones ejecutadas del SGSI
Planes de continuidad operacional y de ciberseguridad
Revisión, ejercicios, simulacros y análisis de redes
Adoptar medidas para reducir el impacto de incidentes
Informar a los potenciales afectados
Programas de capacitación, formación y educación continua
Designar un delegado de ciberseguridad

Entendiendo las obligaciones legales para los PSE

Ser un prestador de servicios esenciales no es solo un título importante: viene con un paquete de responsabilidades bastante claro. La Ley 21.663 establece una serie de obligaciones concretas que buscan garantizar que estos servicios estén preparados frente a cualquier incidente de ciberseguridad. Si estás en esta categoría, no basta con tener buenas intenciones: hay que demostrarlo con acciones medibles.

Deberes generales de ciberseguridad
Implementar medidas técnicas y organizativas razonables para prevenir incidentes, proteger sus sistemas y reducir riesgos cibernéticos.

Deber de reportar incidentes de ciberseguridad
Los PSE deben reportar a la autoridad competente (ANCI / CSIRT Nacional) los incidentes relevantes, dentro de los plazos establecidos (Máximo 3hrs).
El objetivo no es sancionar, sino permitir una respuesta coordinada y oportuna a nivel país.

Designar un delegado de ciberseguridad:
Este rol actúa como enlace directo con la ANCI. Es la persona que representa a la organización ante la ANCI.

Te recomendamos

Checklist de Cumplimiento – Ley Marco de Ciberseguridad (21.663)

¿Quieres empezar con una hoja de ruta clara? Prepara a tu organización paso a paso para cumplir con las nuevas exigencias.

Descargar gratis
Portada del checklist Ley Marco de Ciberseguridad
Te recomendamos

Starter Kit de Compliance para la ley Marco de ciberseguridad

Te ofrecemos un kit listo para usar: guía de cmnplimiento, plantillas de inventario, matriz de riesgo, BIA e IRP.

Descargar Kit
Portada del starter kit de demostrabilidad

Procedimiento de calificación como PSE u OIV

La ANCI no designa a los PSE y OIV al azar ni de forma secreta. Existe un procedimiento formal para evaluarlos y calificarlos. En el caso de entidades privadas, este proceso incluye una consulta pública, donde otras partes interesadas pueden opinar antes de que la resolución quede firme. Es un sistema pensado para ser transparente y bien justificado.

Proceso de calificación como PSE

Los prestadores de servicios esenciales pueden ser definidos directamente por la ley o ser identificados por la ANCI mediante resolución. Como mencionamos anteriormente, si el servicio que prestan cumple con ciertos criterios y su interrupción podría afectar gravemente a la sociedad o el Estado, pueden ser oficialmente clasificados como PSE.

Criterios de calificación como PSE según el artículo 4:

  • El servicio es prestado por un organismo público, concesionario, o institución privada en sectores clave.
  • Su interrupción podría afectar el abastecimiento, la salud, el orden público, la seguridad o el medioambiente.
  • La ANCI puede ampliar la lista si detecta nuevos servicios críticos.
  • La designación debe pasar por un proceso de consulta pública (ley 19.880).
  • La resolución debe especificar qué infraestructura, procesos o funciones quedan sujetos a las obligaciones de la ley.

Proceso de calificación como OIV

La calificación como Operador de Importancia Vital es aún más específica y se basa en el nivel de dependencia tecnológica y el posible impacto de un incidente. Este proceso también incluye revisión por organismos sectoriales y una consulta pública si la institución es privada.

Criterios de calificación como OIV según el artículo 5:

  • El servicio depende críticamente de redes y sistemas informáticos.
  • Un incidente podría afectar gravemente la seguridad, el orden público o la continuidad del servicio.
  • La entidad cumple un rol estratégico en el abastecimiento o distribución de bienes esenciales.
  • Se consideran la exposición al riesgo, la probabilidad de incidentes, y su impacto económico o social.
  • La ANCI debe tener en cuenta el tamaño de la empresa, especialmente si es micro, pequeña o mediana.

Sanciones por incumplimiento

La Ley 21.663 establece un sistema de sanciones que clasifica las infracciones en tres niveles —leves, graves y gravísimas— con multas que pueden llegar hasta las 40.000 UTM si se trata de un operador de importancia vital. En otras palabras, no es algo menor.

Las faltas pueden ir desde retrasarse en enviar información hasta omitir acciones clave durante un incidente. Y sí, los reincidentes lo tienen peor. Además, la ley considera el tamaño de la organización, su nivel de exposición al riesgo y si hizo algún esfuerzo por prevenir o contener el incidente.

Infracciones leves

Errores administrativos o faltas menores de cumplimiento, como:

  • Entregar información fuera de plazo cuando no afecta la gestión de un incidente.
  • No seguir instrucciones generales de la ANCI (si no son críticas).
  • Para los OIV: no mantener registros, no hacer ejercicios de simulación, no capacitar al personal o no designar un delegado de ciberseguridad.

Sanción:

  • Hasta 5.000 UTM (10.000 si eres OIV).

Infracciones graves

Acciones u omisiones que afectan directamente la preparación y respuesta:

  • No implementar el SGSI ni los protocolos exigidos.
  • Entregar información falsa o fuera de plazo cuando afecta la respuesta.
  • Incumplir el deber de reportar incidentes.
  • En el caso de los OIV: no tener planes de continuidad, no actuar ante un incidente, o no avisar a los afectados.

Sanción:

  • Hasta 10.000 UTM (20.000 si eres OIV).

Infracciones gravísimas

Fallas que escalan el riesgo o impacto de forma significativa:

  • Obstruir deliberadamente la gestión de un incidente grave.
  • No actuar de forma oportuna en un incidente de alto impacto.
  • Reincidir en infracciones graves.

Sanción:

  • Hasta 20.000 UTM (40.000 si eres OIV).

Recomendaciones para cumplir con la Ley 21.663

Cumplir con la Ley de Ciberseguridad no se trata de esperar una inspección para recién empezar a actuar. La clave está en anticiparse, entender tu rol y fortalecer tu postura digital. Aquí te dejamos una serie de pasos prácticos para que tu organización esté preparada y no te tome por sorpresa una clasificación como PSE u OIV.

  1. Diagnóstico inicial: Antes de cualquier plan de acción, lo primero es saber si estás en la mira. Evalúa si tu organización presta un servicio esencial o cumple los criterios para ser operador de importancia vital. Esto te permitirá dimensionar el nivel de exigencia que se viene y qué tan urgente es prepararse.
  2. Fortalecimiento de capacidades internas: Invierte en tu equipo. Capacita a tu personal en temas de ciberseguridad y buenas prácticas, y designa a una persona responsable (delegado de ciberseguridad) que pueda asumir la coordinación directa con la ANCI y liderar internamente las acciones requeridas.
  3. Diseño e implementación de un SGSI: Si eres un OIV, tu Sistema de Gestión de Seguridad de la Información (SGSI) no puede ser genérico. Usa marcos de ciberseguridad reconocidos como ISO/IEC 27001 o NIST como base, pero adáptalos a la realidad de tu organización. La clave está en cubrir tus verdaderos puntos débiles, no en llenar checklists.
  4. Automatización de alertas y reportes: El tiempo es crítico cuando hay un incidente. Contar con soluciones que detecten comportamientos anómalos y generen alertas automáticas puede marcar la diferencia entre una amenaza controlada o un desastre en curso. Además, facilita el cumplimiento de plazos de reporte.
  5. Auditorías regulares y simulacros de respuesta: No esperes a que ocurra un incidente para saber si tu plan funciona. Realiza auditorías internas y ejercicios de simulación para poner a prueba tus sistemas y equipos. Esto no solo fortalece tu preparación, también te ayuda a identificar puntos ciegos antes de que sea tarde.
  6. Documentación y trazabilidad: Todo lo que hagas en materia de ciberseguridad debe quedar registrado: decisiones, acciones, incidentes y medidas correctivas. Esto te protege ante una fiscalización, pero también te permite aprender de tus propias experiencias y ajustar tu estrategia con base en datos reales.

De obligación a oportunidad: Convierte la nueva ley en tu ventaja competitiva

Anticiparse siempre es mejor que reaccionar a última hora, sobre todo cuando se trata de proteger servicios clave. Si tu organización opera en un sector crítico o sospechas que podrías ser calificado como PSE u OIV, empezar hoy es una ventaja. Tener todo en orden no solo evita dolores de cabeza legales, también muestra que te tomas en serio la seguridad.

Sí, la Ley 21.663 puede parecer compleja al principio, pero su objetivo es claro: poner la ciberseguridad en un rol protagónico para proteger a la ciudadanía. Seguir su marco no solo te pone en regla, también te posiciona mejor frente a clientes, autoridades y potenciales crisis.

Preguntas frecuentes sobre PSE, OIV y la Ley 21.663

¿Qué significa ser un prestador de servicios esenciales (PSE) en Chile?

Significa que tu organización presta un servicio crítico para el país y, por la Ley 21.663, debe cumplir obligaciones específicas de ciberseguridad (reportes al CSIRT, delegado y controles definidos por la autoridad).

¿Cuál es la diferencia entre PSE y OIV?

PSE se centra en la esencialidad del servicio. OIV agrega un nivel mayor de exigencia por la dependencia tecnológica y el impacto que tendría un incidente sobre continuidad, seguridad u orden público.

¿Cómo sé si mi empresa puede ser considerada PSE?

Si la interrupción de tu servicio podría afectar la vida de personas, el abastecimiento, el medioambiente, la seguridad o el funcionamiento del Estado, podrías calzar con criterios de PSE y deberías prepararte.

¿Dónde se registra un PSE en Chile?

El registro se realiza en la plataforma asociada al CSIRT Nacional/ANCI (según el proceso vigente). Lo importante es preparar responsable, documentación y flujo interno de reportes.

¿Qué obligaciones mínimas debería priorizar primero?

1) responsable interno (delegado/punto de contacto), 2) flujo de reporte de incidentes, 3) análisis de riesgos y controles mínimos.

¿Qué pasa si no cumplo como PSE u OIV?

La Ley 21.663 contempla infracciones leves, graves y gravísimas, con multas que escalan según la gravedad y la categoría (en OIV pueden ser significativamente más altas).

¿Qué es un SGSI y por qué lo exige la ley?

Un SGSI es un sistema de gestión que identifica riesgos, define controles y permite demostrar continuidad y mejora continua. La ley lo exige porque reduce improvisación y acelera respuesta ante incidentes.

¿Puedo ser OIV aunque no sea un servicio esencial “clásico”?

Sí, si tu dependencia tecnológica y el impacto potencial de un incidente justifican esa calificación bajo los criterios aplicables.

¿Cuál es el primer paso práctico si no tengo equipo de seguridad?

Hacer un diagnóstico simple (si podrías ser PSE/OIV) y usar un checklist para priorizar controles básicos antes de avanzar a proyectos más complejos.

¿Dónde encuentro una guía corta para empezar?

Descarga el checklist de cumplimiento de la Ley 21.663 y úsalo como hoja de ruta inicial.

Frequently asked questions

No items found.

Sobre el mismo tema

Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile
Tipos de políticas de datos que debes tener para cumplir con la Ley 21.719 en Chile

Conoce las políticas de datos que exige la Ley 21.719 en Chile y cómo implementarlas para demostrar cumplimiento, reducir riesgos y estar preparado para fiscalización.

Jan 19, 2026
Continuar leyendo
Hoja de ruta para cumplir la ley de protección de datos en Chile
Hoja de ruta para cumplir la ley de protección de datos en Chile

Guía práctica para que empresas en Chile cumplan la Ley 21.719 de protección de datos: pasos clave, prioridades y cómo prepararte antes de sanciones.

Jan 15, 2026
Continuar leyendo
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo
Modelo de cumplimiento para la ley 21.719: qué exige y cómo implementarlo

Guía práctica del modelo de cumplimiento de la Ley 21.719: gobernanza, RAT, DPIA, controles técnicos y cómo implementarlo paso a paso en tu organización.

Jan 14, 2026
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar