Ser calificado como Operador de Importancia Vital cambia el nivel de exigencia de una empresa frente a la Ley 21.663. Un OIV no cumple los mismos deberes que un prestador de servicios esenciales común: carga con un régimen reforzado de gobernanza, continuidad y auditoría. Entender si tu organización puede quedar en esa categoría, y qué implica, es lo que separa a las empresas que llegan preparadas a la fiscalización de las que reaccionan tarde.

Qué es un Operador de Importancia Vital

Un Operador de Importancia Vital es una entidad, pública o privada, que la Agencia Nacional de Ciberseguridad califica porque la interrupción de sus servicios tendría un efecto significativo en la seguridad nacional, el orden público, la salud de la población o la economía del país. Es la categoría de mayor criticidad que define la Ley Marco de Ciberseguridad.

La designación no depende solo del rubro. Para calificar como OIV se combinan dos condiciones: que el servicio dependa de redes y sistemas informáticos, y que su interrupción provoque ese efecto significativo. Por eso la ANCI puede calificar como OIV a una empresa privada que administra infraestructura digital estratégica o grandes volúmenes de datos críticos, aunque no pertenezca a un sector tradicionalmente regulado.

OIV y prestador de servicios esenciales: la diferencia que importa

La ley distingue dos niveles de obligación, y confundirlos lleva a subestimar el esfuerzo de cumplimiento.

Un prestador de servicios esenciales cumple los deberes generales: gestión de riesgos, capacidad de respuesta a incidentes, reporte al CSIRT y designación de un encargado de ciberseguridad. Operan en sectores como energía, agua, telecomunicaciones, transporte, banca, salud y ciertos servicios digitales.

Un Operador de Importancia Vital cumple esos deberes y suma un conjunto reforzado. La diferencia no es de grado, es de naturaleza: al OIV se le exige formalizar, certificar y auditar lo que al servicio esencial se le pide gestionar.

Cómo la ANCI califica a una empresa como OIV

El proceso de calificación lo conduce la ANCI mediante resolución, en un procedimiento público de etapas sucesivas. La Resolución N° 024/2025 inició el primer proceso. La agencia publica una nómina, abre etapas de consulta y define el listado definitivo en el Diario Oficial. La lista se revisa y actualiza cada tres años.

El punto práctico para un área de TI o de riesgo es anticiparse. Si operas en un sector crítico, la pregunta no es si te van a mirar, es si estarás preparado cuando llegue la resolución que te califica. Un primer indicio concreto es revisar si tu organización recibió alguna comunicación formal de la ANCI en los últimos doce meses. Quien espera la nómina para empezar a trabajar llega con meses de retraso, porque los plazos de adecuación corren desde la publicación.

Las obligaciones reforzadas de un OIV

Una vez calificada, la organización debe cumplir deberes adicionales a los generales:

  • Sistema de Gestión de la Seguridad de la Información (SGSI). Implementar y mantener un SGSI formal, no un conjunto de controles sueltos. Es la columna del cumplimiento de un OIV.
  • Planes de continuidad operacional y de ciberseguridad. Elaborar, mantener y certificar planes que aseguren la operación ante un incidente, sujetos a prueba periódica.
  • Delegado de ciberseguridad. Designar a un delegado con criterios de independencia y reporte directo a la dirección, distinto del encargado que basta para un servicio esencial. La Instrucción General N° 3 de la ANCI detalla esta designación.
  • Auditorías periódicas. Someterse a evaluaciones con la periodicidad que fije la ANCI, en algunos casos con auditores externos certificados.
  • Coordinación y registro reforzados. Documentar decisiones, resguardar evidencias y mantener comunicación con la ANCI, con plazos acotados desde la nómina final.

Cumplir estas obligaciones sin una arquitectura de seguridad detrás produce papeles, no protección. El SGSI, la continuidad y la evidencia auditable se sostienen sobre controles técnicos reales.

Cómo prepararse antes de la calificación

El camino no cambia por estar o no en la nómina todavía. Primero, un diagnóstico de brechas que compare los controles actuales contra las obligaciones de OIV. Segundo, cerrar las brechas más expuestas: gestión de identidades, detección de incidentes, continuidad. Tercero, formalizar el SGSI y los planes.

Buena parte de ese trabajo se apoya en el modelo Zero Trust, que ordena la seguridad por capas de identidad, dispositivo, dato y red. La relación entre Zero Trust y el cumplimiento de la Ley 21.663 es directa: la arquitectura que exige un OIV es, en la práctica, una arquitectura Zero Trust bien implementada.

Siguiente paso

Si tu empresa opera en un sector crítico y no sabes si quedarás calificada como OIV, el paso concreto es medir hoy la brecha entre tus controles y las obligaciones reforzadas de la ley. XMS realiza ese diagnóstico con el stack Microsoft y especializaciones de seguridad auditadas por Microsoft. Conversemos en una reunión de 30 minutos [→ /servicios/cumplimiento-ley-21663-empresas/].

Nota de Daniela Lalanne (Directora de Marketing XMS)

Da el siguiente paso con XMS

¿Quieres un diagnóstico de cumplimiento para tu empresa?

En XMS hacemos una sesión inicial sin costo: revisamos tu entorno Microsoft, identificamos las brechas frente a la Ley 21.663 y te entregamos una hoja de ruta priorizada.

Preguntas frecuentes

Es una entidad pública o privada que la ANCI califica porque la interrupción de sus servicios tendría un efecto significativo en la seguridad, el orden público, la salud o la economía del país. Es la categoría de mayor criticidad de la Ley 21.663.

El prestador de servicios esenciales cumple deberes generales de ciberseguridad. El OIV cumple esos deberes y suma obligaciones reforzadas: SGSI formal, planes de continuidad certificados, delegado de ciberseguridad y auditorías periódicas.

La ANCI conduce el proceso mediante resolución, publica una nómina y la define en el Diario Oficial. Una empresa de un sector crítico debe anticiparse revisando si depende de sistemas informáticos y si su interrupción tendría efecto significativo, sin esperar la nómina para empezar a prepararse.

Implementar un SGSI, mantener planes de continuidad operacional y de ciberseguridad certificados, designar un delegado de ciberseguridad con reporte a la dirección, someterse a auditorías periódicas y cumplir los deberes de reporte y coordinación con la ANCI.

La nómina de Operadores de Importancia Vital se revisa y actualiza cada tres años.

Noticia anterior
ANCI y CSIRT Nacional: quién fiscaliza la ciberseguridad en Chile y cómo reportar un incidente
Noticia siguiente
Zero Trust y la Ley 21.663: cómo la arquitectura de seguridad ayuda a cumplir la ley

También te puede interesar