Regulatorio

ANCI amplía la nómina de Operadores de Importancia Vital: tienes 30 días para actuar antes de que la calificación sea definitiva

ANCI amplió la lista de Operadores de Importancia Vital, publicando el 24 de abril de 2026 una segunda nómina preliminar que incluye nuevas entidades de sectores estratégicos como transporte, energía, telecomunicaciones, salud e infraestructura digital, y otorga un plazo de 30 días corridos para presentar observaciones. La calificación definitiva conlleva obligaciones reforzadas de ciberseguridad, gestión de riesgos, respuesta a incidentes y reporte al CSIRT Nacional, por lo que las empresas incluidas deben verificar su inclusión, evaluar la conveniencia de formular observaciones y realizar un diagnóstico de madurez en ciberseguridad antes de que la resolución sea definitiva.

Inicio/Alertas Legales/ANCI amplía la nómina de Operadores de Importancia Vital: tienes 30 días para actuar antes de que la calificación sea definitiva
Regulatorio2026-04-29Por CUBILLOS LAMA
CompartirCorreoWhatsAppLinkedIn

El 24 de abril de 2026, la Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial la resolución que contiene la segunda nómina preliminar de entidades susceptibles de ser calificadas como Operadores de Importancia Vital (OIV), en el marco de la Ley N° 21.663 (Ley Marco de Ciberseguridad) y su reglamento, el Decreto Supremo N° 285/2024. Si tu empresa presta servicios en sectores como transporte, energía, telecomunicaciones, salud o infraestructura digital y aún no fue notificada en la primera ronda de 2025, esta segunda etapa puede cambiar ese escenario — con un plazo de 30 días corridos para presentar observaciones que ya está corriendo.

Qué cambió

El proceso de calificación de OIV se inició en 2025 con una primera nómina preliminar. Esta segunda etapa amplía su alcance. La resolución publicada el 24 de abril de 2026 incorpora a nuevas entidades públicas y privadas vinculadas a sectores estratégicos que no quedaron incluidas en la primera nómina — o que, estando consideradas en el marco original de la ley, aún no habían sido formalmente integradas al proceso.

Los sectores que ahora entran al radar incluyen transporte y distribución de combustibles; suministro de agua potable y saneamiento; transporte terrestre, aéreo, ferroviario y marítimo, junto con su infraestructura asociada; concesionarios de servicios públicos; administración de prestaciones de seguridad social; servicios postales y de mensajería; y producción e investigación de productos farmacéuticos. A eso se suman los sectores que ya estaban definidos en la ley pero que no aparecieron en la primera nómina: generación y distribución eléctrica, telecomunicaciones, infraestructura digital, servicios TI, prestadores de salud y organismos del Estado.

Las entidades incluidas tienen 30 días corridos desde la publicación de la resolución para formular observaciones y acompañar los antecedentes que estimen pertinentes, conforme al artículo 13 del Decreto Supremo N° 285/2024. La misma resolución da inicio a un proceso de consulta pública: la ANCI debe habilitar una plataforma electrónica para recibirla, según el artículo 11 del mismo decreto.

La consecuencia de una eventual calificación definitiva como OIV no es menor. Marca el paso de un estándar general de ciberseguridad a un régimen reforzado con obligaciones específicas de gestión de riesgos, respuesta a incidentes, continuidad operacional y reporte obligatorio al CSIRT Nacional.

Qué puede significar para tu empresa

El punto de partida es la nómina. Si tu empresa figura en ella, el plazo ya está corriendo desde el 24 de abril de 2026 — lo que significa que el vencimiento cae aproximadamente en la tercera semana de mayo de 2026. No formular observaciones dentro del plazo no significa aceptar tácitamente la calificación, pero sí limita la capacidad de influir sobre los fundamentos del proceso.

La decisión de presentar o no observaciones requiere antes una evaluación técnica y jurídica: ¿tu empresa cumple efectivamente con los criterios de OIV definidos en la Ley N° 21.663? ¿Los antecedentes disponibles —operacionales, técnicos, regulatorios— permiten sustentar una impugnación fundada, o el perfil encaja con lo que la ley define como operador de importancia vital?

Hay otro ángulo que importa independientemente de la respuesta anterior. Si la calificación definitiva llega, las exigencias que se activarán no son menores: gobernanza interna de ciberseguridad, planes formales de gestión de riesgos, protocolos de detección y respuesta ante incidentes, estándares de continuidad operacional y reporte obligatorio al CSIRT Nacional dentro de plazos más exigentes que los del estándar general. Empresas que operen en sectores estratégicos sin haber mapeado su nivel de madurez en estas materias enfrentarán una brecha significativa.

La zona gris está en los límites del concepto de "servicio esencial". La ley define OIV en función de umbrales de impacto, pero la aplicación concreta a cada entidad depende de factores que pueden variar: escala operacional, cobertura geográfica, interdependencia con otras infraestructuras. No toda empresa del sector energético o de telecomunicaciones califica automáticamente. Pero si tu empresa no ha hecho ese análisis, el tiempo para hacerlo es ahora — no después de que la calificación sea definitiva.

El proceso también tiene una dimensión que suele pasarse por alto: la consulta pública. La ANCI debe habilitar una plataforma para recibir observaciones del público general sobre la nómina. Eso abre una ventana de participación más amplia, pero no reemplaza el derecho —y el plazo— de las entidades directamente incluidas en la nómina.

Qué puedes hacer

Si tu empresa aparece en la segunda nómina o pertenece a alguno de los sectores mencionados, tres acciones son prioritarias en este momento:

  1. Verificar si tu empresa está incluida en la resolución publicada el 24 de abril de 2026 y revisar los fundamentos técnicos y regulatorios de esa inclusión. La resolución está disponible en el Diario Oficial y en la plataforma de la ANCI.
  2. Evaluar la pertinencia de formular observaciones dentro del plazo de 30 días corridos. Esa evaluación debe combinar el análisis jurídico del encaje con los criterios OIV, el levantamiento de antecedentes operacionales y técnicos, y la decisión estratégica sobre si conviene o no participar activamente en esta etapa del proceso.
  3. Hacer un diagnóstico de madurez en ciberseguridad con independencia del resultado del proceso de calificación. Si la calificación definitiva llega, el tiempo para implementar gobernanza, gestión de riesgos, protocolos de incidentes y planes de continuidad es antes — no después. Las empresas que lleguen a la calificación definitiva con ese trabajo hecho reducen la brecha de cumplimiento y el riesgo regulatorio.

Si necesitas evaluar si tu empresa debe presentar observaciones en este proceso, mapear tu nivel de cumplimiento frente a los estándares OIV o preparar la respuesta a una eventual calificación definitiva, agenda una reunión con nuestro equipo.

Este contenido es informativo y no constituye asesoría legal para un caso específico.

¿Esta novedad legal afecta a tu empresa?

Conversemos sobre cómo podemos ayudarte.

Contáctanos →

Área relacionada: Regulatorio

Conoce cómo trabajamos esta materia bajo el modelo OGC.

Ver área Regulatorio

Alertas relacionadas

2026-04-28

La Ley 21.814 eleva el techo de multas de la SISS y obliga a replantear el mapa de riesgos del sector sanitario

Leer →2026-04-08

Ley 21.772 reforma el sistema notarial y registral chileno: los cambios que ya entraron en vigencia

Leer →2026-02-18

CMF impone deber de información a entidades financieras que presten servicios Fintec sin inscripción en el Registro

Leer →
← Volver a Alertas Legales