Departamento TI
Compliance

Ley de Ciberseguridad en Chile: ¿Qué es un operador de servicios esenciales?

juanhernandez@preyhq.com
Juan H.
Jun 25, 2025
0 minutos de lectura
Ley de Ciberseguridad en Chile: ¿Qué es un operador de servicios esenciales?
Tabla de Contenidos
Heading H2
Haga del cumplimiento una tarea sencilla, no una carga
Compartir
Sobre el autor
juanhernandez@preyhq.com
Juan H.

JC Hernandez es nuestro especialista en contenido de Prey. Investiga información interesante y relevante relacionada con la ciberseguridad y la explica de manera que todos puedan entenderla y utilizarla.

La Ley 21.663, también conocida como Ley Marco de Ciberseguridad, vino a poner orden en un tema que ya no puede quedar en segundo plano: proteger a Chile frente a las ciberamenazas. Para lograrlo, creó a la Agencia Nacional de Ciberseguridad (ANCI), que coordina esfuerzos públicos y privados. ¿Uno de sus focos? Los servicios esenciales, esas actividades que no pueden fallar sin afectar el día a día de todos.

Según la ley, los servicios esenciales incluyen sectores como electricidad, agua, salud, transporte, telecomunicaciones e infraestructura digital. Son, en resumen, los pilares que mantienen funcionando al país. Por eso, entender quiénes son los operadores de servicios esenciales (OSE) es vital: si una empresa o institución cae en esa categoría, tiene responsabilidades adicionales para garantizar que su operación siga en pie incluso frente a un ciberataque.

¿Quiénes pueden ser considerados operadores de servicios esenciales (OSE)?

No todas las organizaciones entran automáticamente en la categoría de operador de servicios esenciales (OSE), pero muchas podrían serlo. Y si además cumplen ciertos criterios críticos, podrían incluso ser catalogadas como operadores de importancia vital (OIV).

¿La diferencia? Todos los OIV son OSE, pero no todos los OSE califican como OIV. Los OIV tienen un rol aún más crítico: su interrupción puede afectar directamente la seguridad o el orden público.

Esta clasificación no distingue entre lo público y lo privado. Si prestas un servicio clave y dependes de redes informáticas, podrías estar en la mira de la ANCI. Algunos de los sectores que suelen caer bajo esta categoría incluyen:

  • Energía
  • Agua y saneamiento
  • Salud
  • Transporte
  • Telecomunicaciones
  • Infraestructura digital

Pero, ¿y qué son los Operadores de Importancia Vital?

Como hablamos anteriormente, dentro de los operadores de servicios esenciales, hay un grupo aún más crítico: los Operadores de Importancia Vital (OIV). La ANCI es la encargada de designarlos, pero no lo hace al azar. Para ser considerado OIV, una entidad debe prestar un servicio que dependa fuertemente de redes y sistemas informáticos, y cuya interrupción pueda generar un impacto serio en la seguridad, el orden público o el funcionamiento normal del Estado.

Lo interesante es que no solo los servicios esenciales pueden ser calificados como OIV. Instituciones privadas que no estén en esa categoría también pueden recibir esa calificación si cumplen ciertos criterios. En estos casos, la ANCI también debe considerar el tamaño de la organización y aplicar un criterio proporcional con énfasis en proteger a las micro, pequeñas y medianas empresas.

¿Como puede incluirse tu organización a la lista OSE?

Desde el 11 de junio de 2025, todas las entidades públicas y privadas que ya prestan servicios esenciales deben registrarse obligatoriamente en la plataforma del CSIRT Nacional, gestionada por la ANCI. Además, cada organización debe designar a una persona responsable de reportar incidentes de ciberseguridad —con experiencia o formación en el área— mediante un documento firmado por su representante legal. El registro se realiza exclusivamente en portal.anci.gob.cl, y el incumplimiento puede ser sancionado como infracción leve.

Ahora bien, si tu organización aún no está oficialmente en la lista, eso no significa que esté exenta. El artículo 4° de la Ley 21.663 le da a la ANCI la facultad de ampliar esta clasificación. Si se determina que la interrupción de tu servicio puede poner en riesgo la vida de las personas, afectar el abastecimiento, el medioambiente o comprometer la seguridad o el funcionamiento del Estado, puede declararlo como esencial mediante una resolución fundada.

Eso sí, este proceso tiene reglas: debe pasar por una consulta pública y ajustarse a los procedimientos de la Ley 19.880. De este modo, la ANCI puede incluir infraestructuras, procesos o funciones específicas que, aunque no estén contempladas en el listado inicial, deben cumplir con todas las obligaciones de ciberseguridad exigidas por la ley.

El artículo 4° de la Ley 21.663 le otorga a la ANCI la facultad de ampliar esta lista de servicios esenciales. Si detecta que la interrupción de un servicio puede poner en riesgo la vida de las personas, afectar el abastecimiento, el medioambiente o la seguridad del país, puede declararlo como esencial mediante una resolución fundada.

Eso sí, este proceso no es arbitrario: debe pasar por una consulta pública y seguir los procedimientos establecidos en la Ley 19.880. Así, la ANCI también puede identificar infraestructuras, procesos o funciones críticas que, aunque no estén en la lista original, deben cumplir con todas las exigencias de ciberseguridad que marca la ley.

Obligaciones legales para los OSE

Ser un operador de servicios esenciales no es solo un título importante: viene con un paquete de responsabilidades bastante claro. La Ley 21.663 establece una serie de obligaciones concretas que buscan garantizar que estos servicios estén preparados frente a cualquier incidente de ciberseguridad. Si estás en esta categoría, no basta con tener buenas intenciones: hay que demostrarlo con acciones medibles.

  • Implementar un Sistema de Gestión de Seguridad de la Información (SGSI): Este sistema permite identificar riesgos, establecer controles y garantizar la continuidad del servicio. No es un informe bonito para la galería: debe estar vivo, operativo y actualizado.
  • Reportar incidentes de seguridad al CSIRT Nacional (plazo: 3 horas): Si ocurre un incidente grave, tienes tres horas para enviar una alerta temprana. El objetivo es actuar rápido y evitar que el problema escale.
  • Ejecutar auditorías, simulacros y análisis de riesgos: No basta con tener un SGSI en papel. Debes probarlo, analizar vulnerabilidades y practicar cómo reaccionar ante un incidente real.
  • Designar un delegado de ciberseguridad: Este rol actúa como enlace directo con la ANCI. Es la persona que representa a la organización en temas de seguridad digital y debe estar al tanto de todo.
  • Cumplir con protocolos técnicos dictados por la ANCI o su regulación sectorial: No se trata de inventar tus propias reglas. Hay lineamientos oficiales que debes seguir, y pueden variar según tu industria.

Procedimiento de calificación como OSE u OIV

La ANCI no designa a los OSE y OIV al azar ni de forma secreta. Existe un procedimiento formal para evaluarlos y calificarlos. En el caso de entidades privadas, este proceso incluye una consulta pública, donde otras partes interesadas pueden opinar antes de que la resolución quede firme. Es un sistema pensado para ser transparente y bien justificado.

Proceso de calificación como OSE

Los operadores de servicios esenciales pueden ser definidos directamente por la ley o ser identificados por la ANCI mediante resolución. Como mencionamos anteriormente, si el servicio que prestan cumple con ciertos criterios y su interrupción podría afectar gravemente a la sociedad o el Estado, pueden ser oficialmente clasificados como OSE.

Criterios de calificación como OSE según el artículo 4:

  • El servicio es prestado por un organismo público, concesionario, o institución privada en sectores clave.
  • Su interrupción podría afectar el abastecimiento, la salud, el orden público, la seguridad o el medioambiente.
  • La ANCI puede ampliar la lista si detecta nuevos servicios críticos.
  • La designación debe pasar por un proceso de consulta pública (ley 19.880).
  • La resolución debe especificar qué infraestructura, procesos o funciones quedan sujetos a las obligaciones de la ley.

Proceso de calificación como OIV

La calificación como Operador de Importancia Vital es aún más específica y se basa en el nivel de dependencia tecnológica y el posible impacto de un incidente. Este proceso también incluye revisión por organismos sectoriales y una consulta pública si la institución es privada.

Criterios de calificación como OIV según el artículo 5:

  • El servicio depende críticamente de redes y sistemas informáticos.
  • Un incidente podría afectar gravemente la seguridad, el orden público o la continuidad del servicio.
  • La entidad cumple un rol estratégico en el abastecimiento o distribución de bienes esenciales.
  • Se consideran la exposición al riesgo, la probabilidad de incidentes, y su impacto económico o social.
  • La ANCI debe tener en cuenta el tamaño de la empresa, especialmente si es micro, pequeña o mediana.

Sanciones por incumplimiento

La Ley 21.663 establece un sistema de sanciones que clasifica las infracciones en tres niveles —leves, graves y gravísimas— con multas que pueden llegar hasta las 40.000 UTM si se trata de un operador de importancia vital. En otras palabras, no es algo menor.

Las faltas pueden ir desde retrasarse en enviar información hasta omitir acciones clave durante un incidente. Y sí, los reincidentes lo tienen peor. Además, la ley considera el tamaño de la organización, su nivel de exposición al riesgo y si hizo algún esfuerzo por prevenir o contener el incidente.

Infracciones leves

Errores administrativos o faltas menores de cumplimiento, como:

  • Entregar información fuera de plazo cuando no afecta la gestión de un incidente.
  • No seguir instrucciones generales de la ANCI (si no son críticas).
  • Para los OIV: no mantener registros, no hacer ejercicios de simulación, no capacitar al personal o no designar un delegado de ciberseguridad.

Sanción:

  • Hasta 5.000 UTM (10.000 si eres OIV).

Infracciones graves

Acciones u omisiones que afectan directamente la preparación y respuesta:

  • No implementar el SGSI ni los protocolos exigidos.
  • Entregar información falsa o fuera de plazo cuando afecta la respuesta.
  • Incumplir el deber de reportar incidentes.
  • En el caso de los OIV: no tener planes de continuidad, no actuar ante un incidente, o no avisar a los afectados.

Sanción:

  • Hasta 10.000 UTM (20.000 si eres OIV).

Infracciones gravísimas

Fallas que escalan el riesgo o impacto de forma significativa:

  • Obstruir deliberadamente la gestión de un incidente grave.
  • No actuar de forma oportuna en un incidente de alto impacto.
  • Reincidir en infracciones graves.

Sanción:

  • Hasta 20.000 UTM (40.000 si eres OIV).

Recomendaciones para cumplir con la Ley 21.663

Cumplir con la Ley de Ciberseguridad no se trata de esperar una inspección para recién empezar a actuar. La clave está en anticiparse, entender tu rol y fortalecer tu postura digital. Aquí te dejamos una serie de pasos prácticos para que tu organización esté preparada y no te tome por sorpresa una clasificación como OSE u OIV.

  1. Diagnóstico inicial: Antes de cualquier plan de acción, lo primero es saber si estás en la mira. Evalúa si tu organización presta un servicio esencial o cumple los criterios para ser operador de importancia vital. Esto te permitirá dimensionar el nivel de exigencia que se viene y qué tan urgente es prepararse.
  2. Fortalecimiento de capacidades internas: Invierte en tu equipo. Capacita a tu personal en temas de ciberseguridad y buenas prácticas, y designa a una persona responsable (delegado de ciberseguridad) que pueda asumir la coordinación directa con la ANCI y liderar internamente las acciones requeridas.
  3. Diseño e implementación de un SGSI: Tu Sistema de Gestión de Seguridad de la Información no puede ser genérico. Usa marcos reconocidos como ISO/IEC 27001 o NIST como base, pero adáptalos a la realidad de tu organización. La clave está en cubrir tus verdaderos puntos débiles, no en llenar checklists.
  4. Automatización de alertas y reportes: El tiempo es crítico cuando hay un incidente. Contar con soluciones que detecten comportamientos anómalos y generen alertas automáticas puede marcar la diferencia entre una amenaza controlada o un desastre en curso. Además, facilita el cumplimiento de plazos de reporte.
  5. Auditorías regulares y simulacros de respuesta: No esperes a que ocurra un incidente para saber si tu plan funciona. Realiza auditorías internas y ejercicios de simulación para poner a prueba tus sistemas y equipos. Esto no solo fortalece tu preparación, también te ayuda a identificar puntos ciegos antes de que sea tarde.
  6. Documentación y trazabilidad: Todo lo que hagas en materia de ciberseguridad debe quedar registrado: decisiones, acciones, incidentes y medidas correctivas. Esto te protege ante una fiscalización, pero también te permite aprender de tus propias experiencias y ajustar tu estrategia con base en datos reales.

De obligación a oportunidad: Convierte la nueva ley en tu ventaja competitiva

Anticiparse siempre es mejor que reaccionar a última hora, sobre todo cuando se trata de proteger servicios clave. Si tu organización opera en un sector crítico o sospechas que podrías ser calificado como OSE u OIV, empezar hoy es una ventaja. Tener todo en orden no solo evita dolores de cabeza legales, también muestra que te tomas en serio la seguridad.

Sí, la Ley 21.663 puede parecer compleja al principio, pero su objetivo es claro: poner la ciberseguridad en un rol protagónico para proteger a la ciudadanía. Seguir su marco no solo te pone en regla, también te posiciona mejor frente a clientes, autoridades y potenciales crisis.

Sobre el mismo tema

Ley de Ciberseguridad en Chile: ¿Qué es un operador de servicios esenciales?
Ley de Ciberseguridad en Chile: ¿Qué es un operador de servicios esenciales?

¿Tu empresa presta servicios clave? La Ley 21.663 de ciberseguridad en Chile exige a los OSE cumplir normas críticas. Evita sanciones, actúa hoy.

Jun 25, 2025
Continuar leyendo
La importancia del compliance en ciberseguridad para startups
La importancia del compliance en ciberseguridad para startups

Descubre estrategias efectivas de compliance en ciberseguridad para proteger tu empresa y cumplir con las normativas. ¡Lee más para asegurar tu negocio!

Apr 3, 2025
Continuar leyendo
Ley de protección de datos personales en Chile: guía completa
Ley de protección de datos personales en Chile: guía completa

Descubre los aspectos esenciales de la nueva ley de protección de datos en Chile y cómo tu organización puede adaptarse eficazmente.

Apr 2, 2025
Continuar leyendo

Descubre las poderosas

Funcionalidades de Prey

Protege tu flota con las completas soluciones de seguridad que ofrece Prey.

Conoce másComenzar