Hoy miércoles 15 de octubre, Neuronet tuvo el privilegio de participar en un desayuno exclusivo organizado por Fortinet y Dacas en el Hotel Almasur de Providencia, un evento que reunió a expertos y líderes de la industria para abordar uno de los temas más críticos de la agenda empresarial chilena: la implementación de la Ley Marco de Ciberseguridad.
Un marco regulatorio que cambia las reglas del juego
La Ley 21.663, conocida como Ley Marco de Ciberseguridad, fue promulgada el 8 de abril de 2024, marcando un hito histórico como el marco regulatorio más ambicioso de América Latina para proteger la infraestructura digital crítica del país. Durante el desayuno, el abogado Sebastián Hassi, especialista en Ciberseguridad, compartió su visión sobre el impacto del nuevo marco regulatorio y las implicancias que tendrá tanto en el sector público como privado.
Las disposiciones principales entraron en vigencia el 1 de enero de 2025, mientras que las normas más críticas comenzaron a aplicarse desde el 1 de marzo de 2025, incluyendo aspectos fundamentales como la calificación de Operadores de Importancia Vital, los deberes específicos de estos operadores y la obligación de reportar incidentes al CSIRT Nacional.
OIV vs Prestadores de servicios esenciales: entendiendo las diferencias
Uno de los puntos más relevantes discutidos durante el evento fue la distinción entre dos categorías fundamentales establecidas por la ley:
Prestadores de servicios esenciales (PSE)
Los Prestadores de Servicios Esenciales son entidades públicas o privadas que ofrecen servicios críticos para el funcionamiento del país, incluyendo sectores como agua, electricidad, salud, transporte, telecomunicaciones, finanzas y servicios digitales. Estos están definidos directamente por la ley.
Los PSE incluyen:
- Organismos de administración del Estado y el Coordinador Eléctrico Nacional
- Servicios prestados bajo concesión de servicio público
- Instituciones privadas en sectores estratégicos como generación y distribución eléctrica, telecomunicaciones, servicios digitales, transporte y salud
Operadores de Importancia Vital (OIV)
A diferencia de los PSE, los Operadores de Importancia Vital son designados por la Agencia Nacional de Ciberseguridad (ANCI) a través de un proceso administrativo regulado. Todos los OIV son PSE, pero no todos los PSE califican como OIV.
Para ser calificado como OIV, el servicio debe depender críticamente de redes y sistemas informáticos, y su afectación, interrupción o destrucción debe generar un impacto significativo en la seguridad pública, la continuidad de servicios esenciales o el cumplimiento de funciones del Estado.
En septiembre de 2025, la ANCI identificó 1.712 instituciones públicas y privadas como OIV en sectores de energía, salud, telecomunicaciones, servicios digitales, servicios financieros y del Estado.
En resumen:
| Aspecto | Prestadores de Servicios Esenciales (PSE) | Operadores de Importancia Vital (OIV) |
|---|---|---|
| Definición | Entidades públicas o privadas que ofrecen servicios críticos para el funcionamiento del país | Subconjunto de PSE designados por ANCI como de mayor criticidad |
| Designación | Definidos directamente por la ley | Designados por ANCI mediante proceso administrativo regulado |
| Quiénes son | Organismos de administración del Estado, Coordinador Eléctrico Nacional, Servicios bajo concesión pública, Instituciones privadas en sectores estratégicos | 1.712 instituciones identificadas (septiembre 2025) en sectores críticos |
| Sectores | Agua, electricidad, salud, transporte, telecomunicaciones, finanzas, servicios digitales | Energía, salud, telecomunicaciones, servicios digitales, servicios financieros y del Estado |
| Criterio clave | Prestación de servicios esenciales | Dependencia crítica de redes y sistemas informáticos + impacto significativo en seguridad pública/continuidad de servicios |
| Relación | Todos los OIV son PSE | No todos los PSE son OIV |
| Multas máximas | Hasta 20.000 UTM | Hasta 40.000 UTM (doble que PSE) |
Sobre multas: sanciones que marcan la diferencia
Durante el desayuno, se enfatizó la importancia de comprender el régimen sancionatorio establecido por la ley. Las multas económicas van desde 5.000 hasta 40.000 UTM (aproximadamente $310 millones a $2.5 billones de pesos chilenos), dependiendo de la severidad del incumplimiento. Para Operadores de Importancia Vital, estas multas pueden llegar hasta el doble.
Las infracciones se clasifican en tres niveles:
- Infracciones Leves: Hasta 5.000 UTM
- Infracciones Graves: Hasta 10.000 UTM
- Infracciones Gravísimas: Hasta 20.000 UTM
Para los OIV, estas multas pueden duplicarse hasta 40.000 UTM. Además del impacto financiero, las organizaciones enfrentan consecuencias reputacionales y posibles restricciones operativas hasta que subsanen las deficiencias identificadas.
Obligaciones específicas y plazos de cumplimiento
El evento destacó las obligaciones concretas que las organizaciones deben cumplir:
Sistema de gestión de seguridad de la información (SGSI)
Las entidades clasificadas como PSE u OIV deben implementar un SGSI robusto que identifique riesgos, establezca controles y garantice la continuidad del servicio.
Reporte de incidentes al CSIRT Nacional
Las entidades deben reportar cualquier ciberataque o incidente significativo con los siguientes plazos: alerta temprana en un máximo de 3 horas desde su detección, actualización dentro de las 72 horas (24 horas para OIV), e informe final 15 días después de la alerta.
El Decreto Supremo N° 295 de 2024 del Ministerio del Interior establece los requisitos mínimos de los informes y el procedimiento de notificación al CSIRT Nacional, incluyendo una plataforma asíncrona en línea disponible 24/7. La Resolución Exenta N° 7 de 2025 de la ANCI aprobó la taxonomía oficial de incidentes.
Certificaciones y capacitación
Los OIV deben obtener certificaciones obligatorias en ciberseguridad, contar con programas de capacitación y campañas de ciberhigiene, además de realizar revisiones, simulacros y monitoreo continuo de redes y sistemas involucrados.
Neuronet: su partner estratégico en cumplimiento normativo
Como partner certificado de Fortinet y trabajando de la mano con el mayorista Dacas, en Neuronet entendemos los desafíos que enfrentan las organizaciones chilenas para cumplir con la Ley Marco de Ciberseguridad. Nuestro portafolio de soluciones Fortinet está diseñado específicamente para abordar los puntos críticos de la normativa:
- Implementación de SGSI: Soluciones que facilitan la gestión integral de la seguridad de la información
- Detección y Respuesta a Incidentes: Tecnologías avanzadas para identificar, contener y reportar incidentes en los plazos establecidos
- Continuidad Operacional: Infraestructuras resilientes que garantizan la disponibilidad de servicios críticos
- Certificación y Auditoría: Acompañamiento en procesos de certificación y preparación para auditorías de la ANCI
El desayuno organizado por Fortinet y Dacas nos dejó claridad sobre el camino que las organizaciones chilenas deben recorrer para cumplir con la Ley Marco de Ciberseguridad. La diferenciación entre PSE y OIV, el régimen de multas progresivo y las obligaciones específicas de reporte e implementación requieren de un enfoque estratégico y tecnológico robusto.
En Neuronet, estamos comprometidos con acompañar a las organizaciones en este proceso de transformación digital segura. La Ley Marco no es solo un requisito de cumplimiento, es una oportunidad para elevar los estándares de protección y resiliencia de la infraestructura crítica del país.
¿Necesitas asesoría sobre cómo cumplir con la Ley Marco de Ciberseguridad? Contáctanos en Neuronet. Como partner de Fortinet y con el respaldo de Dacas, le ayudamos a implementar soluciones de ciberseguridad de clase mundial que no solo cumplen con la normativa, sino que protegen el futuro de su organización.





