El 13 de marzo de 2025, se publicó en el Diario Oficial el Decreto Supremo N° 285 de 2024 del Ministerio del Interior y Seguridad Pública, que aprueba el Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital en el marco de la Ley N° 21.663.
Este reglamento establece el procedimiento mediante el cual la Agencia Nacional de Ciberseguridad ("ANCI") determinará qué prestadores de servicios esenciales ("PSE") serán calificados como operadores de importancia vital ("OIV"), estableciendo criterios, mecanismos de evaluación y procesos administrativos aplicables.
Aspectos Claves del Reglamento:
- Criterios de Calificación:
- El servicio debe depender de redes y sistemas informáticos.
- Su afectación, interrupción o destrucción debe generar un impacto significativo en la seguridad pública, la continuidad de servicios esenciales o el cumplimiento de funciones del Estado.
- Evaluación del impacto significativo:
- Número de personas afectadas por una interrupción.
- Disponibilidad de proveedores alternativos (redundancia del servicio).
- Existencia de un único proveedor del servicio (monoprovisión).
- Dependencia entre servicios esenciales.
- Relevancia de la institución afectada.
- Procedimiento de Calificación:
- La ANCI evaluará los antecedentes mediante informes técnicos de organismos sectoriales.
- Instituciones privadas podrán aportar información voluntaria para su consideración.
- Se someterá a consulta pública una nómina preliminar para observaciones de interesados.
- La nómina final será aprobada por resolución y publicada en el Diario Oficial u otro medio oficial.
- Se podrán interponer recursos administrativos y judiciales contra esta resolución.
- La calificación de OIV deberá revisarse al menos cada tres años.
- Calificación de Entidades Privadas como OIV:
- La ANCI podrá calificar como OIV a entidades privadas que, sin ser PSE según el artículo 4° de la ley, cumplan con los requisitos del artículo 5° inciso 2 y cuya calificación sea indispensable por:
- Su rol crítico en abastecimiento, distribución de bienes o producción de productos estratégicos.
- Su exposición a riesgos cibernéticos, considerando la probabilidad de incidentes y sus consecuencias económicas y sociales.
- La ANCI podrá calificar como OIV a entidades privadas que, sin ser PSE según el artículo 4° de la ley, cumplan con los requisitos del artículo 5° inciso 2 y cuya calificación sea indispensable por:
- Plazos y Vigencia:
- La primera calificación de OIV deberá iniciarse dentro de los 90 días posteriores a la entrada en vigencia de los artículos 5°, 8°, 9° y del Título VII de la Ley N° 21.663.
El reglamento completo está disponible en el Diario Oficial en el siguiente enlace.
AUTORES: Guillermo Carey, José Ignacio Mercado, Iván Meleda.
