Operadores de Importancia Vital en Chile: qué significa para tu empresa y cómo prepararte

Resumen

• El 16 de septiembre de 2025 se publicó en el Diario Oficial la nómina preliminar de Operadores de Importancia Vital (OIV) y se abrió la consulta pública para instituciones privadas. Es el primer gran hito de implementación de la Ley 21.663 (Ley Marco de Ciberseguridad).
• Ser OIV implica exigencias reforzadas en gobierno del riesgo, capacidades de detección y respuesta, continuidad y reporte de incidentes al CSIRT Nacional (Ley 21.663 y Reglamento de Reporte D.S. 295/2025).
• La ANCI dictó la Instrucción General N°1 sobre inscripción obligatoria de prestadores de servicios esenciales en la plataforma de reporte. Para OIV, estas prácticas deben ser aún más robustas.

¿Qué cambia si tu organización está (o puede quedar) en la nómina OIV?

1. Gobierno y rendición de cuentas: el directorio/alta administración debe gestionar el riesgo cibernético como riesgo empresarial, con responsabilidades claras y seguimiento.
2. Reporte al CSIRT Nacional: la normativa establece deber de reportar incidentes y detalla el procedimiento y plazos en el Reglamento de Reporte (D.S. 295/2025). Enfatiza incidentes con efectos significativos.
3. Capacidades técnicas y procesos continuos: se espera monitoreo, detección, respuesta y evidencias auditables; además de planes de continuidad y pruebas periódicas.
4. Interacción formal con ANCI/CSIRT: inscripción en la plataforma oficial y designación de encargados para notificación.

¿Por qué importa (más allá de “cumplir”)?

• Continuidad del negocio: un incidente puede cortar operaciones, ingresos y confianza.
• Cadena de suministro: si eres OIV, tus proveedores críticos heredan exigencias; si eres proveedor de un OIV, te pedirán controles.
• Costo total del riesgo: prevenir/detectar a tiempo suele ser más barato que incidentes + sanciones + auditorías.
• Señal al mercado: demostrar madurez auditada en ciberseguridad abre puertas con clientes y reguladores.

Cómo ayuda un MDR bien implementado (ej.: ESET PROTECT MDR con acompañamiento de Lockbits)

• Monitoreo 24/7 con caza de amenazas: equipo humano + analítica (EDR/XDR y sandbox en la nube) para detectar antes y contener más rápido.
• Respuesta guiada y trazable: acciones de contención y reportes periódicos/a demanda que sirven para auditorías y cumplir con el Reglamento de Reporte.
• Visibilidad y reducción de superficie: ESET PROTECT Platform centraliza telemetría y añade Vulnerability & Patch Management para cerrar brechas que derivan en incidentes.
• Nota: un MDR no te exime de la ley, pero acorta drásticamente el tiempo entre detección → análisis → contención → evidencia para reportar, justo donde más fricción hay para OIV.

Checklist accionable (para no perder tiempo)

1. Verifica tu estatus en el PDF del Diario Oficial (16-sep-2025).
2. Inscríbete (si aplica) en la plataforma ANCI y designa responsables de reporte.
3. Haz un gap assessment contra la Ley 21.663 y el D.S. 295/2025: gobierno, reportes, continuidad, monitoreo y pruebas.
4. Operativiza la detección y respuesta 24/7 (MDR + procesos internos): define fuentes de telemetría, criterios de severidad y flujos de comunicación para incidentes.
5. Ejecuta un simulacro end-to-end (técnico + legal + comunicaciones) y mide tiempos de detección, contención y reporte.

Preguntas frecuentes rápidas

¿La nómina es definitiva?

No, es preliminar y, para privados, sujeta a consulta pública; luego se consolidará la nómina final.

¿Dónde encuentro la base legal y el “cómo reportar”?

En la Ley 21.663 (marco general) y el Reglamento de Reporte (D.S. 295/2025) que define procedimiento y plazos.

¿Qué ofrece exactamente ESET PROTECT MDR?

Servicio 24/7 con threat hunting, monitoreo y respuesta; reporting ejecutivo; y módulos de XDR y gestión de vulnerabilidades/parches en la plataforma.

Referencias clave (fuentes oficiales y técnicas)

• Diario Oficial (16-sep-2025) – Nómina preliminar de Operadores de Importancia Vital (PDF): https://www.diariooficial.interior.gob.cl/publicaciones/2025/09/16/44252/01/2699936.pdf
• Ley 21.663 – Ley Marco de Ciberseguridad (BCN): https://www.bcn.cl/
• D.S. 295/2025 – Reglamento de Reporte de Incidentes de Ciberseguridad (BCN): https://www.bcn.cl/
• Instrucción General N°1 – Inscripción de prestadores de servicios esenciales en plataforma ANCI (BCN): https://www.bcn.cl/
• ESET PROTECT MDR y Plataforma ESET PROTECT (sitios oficiales): https://www.eset.com/

© Lockbits SpA — Este contenido es informativo y no constituye asesoría legal.