Por Paz Fernández – Abogada DataCompliance
La reciente consulta pública desarrollada por la Agencia Nacional de Ciberseguridad (ANCI), en el marco del primer procedimiento de calificación de Operadores de Importancia Vital (OIV), constituye uno de los ejercicios regulatorios más relevantes desde la promulgación de la Ley 21.663. No solo porque define qué actores —públicos y privados— deben someterse a un régimen reforzado de obligaciones, sino porque pone a prueba la precisión conceptual, la proporcionalidad técnica y la coherencia interinstitucional del nuevo andamiaje de seguridad digital del país. A partir del análisis de más de 1.700 entidades preliminarmente calificadas y de miles de observaciones recibidas, la consulta deja al descubierto una realidad evidente y, al mismo tiempo, compleja: la criticidad no es un atributo estático, y la infraestructura digital que sostiene a Chile es más transversal y frágil de lo que los marcos tradicionales han permitido reconocer.
La primera conclusión que emerge del proceso es la validación ciudadana y sectorial de la noción de criticidad por dependencia tecnológica y por impacto significativo, los dos requisitos copulativos que exige la ley. En los sectores financiero, de telecomunicaciones, de infraestructura TI, salud y servicios municipales, existe un consenso técnico claro: la continuidad operacional está fuertemente anclada en plataformas digitales cuya interrupción genera efectos sistémicos inmediatos. La inclusión de bancos, proveedores de conectividad troncal, servicios de hosting, administradores de plataformas críticas y emisores de documentos de identidad es coherente con el mandato legal de proteger servicios esenciales para la vida social, económica e institucional del país. El propio ecosistema reconoce que la cadena de valor digital —desde data centers hasta operadores de medios de pago— actúa hoy como un continuo, donde la indisponibilidad de un eslabón puede amplificar el impacto aguas abajo.
Sin embargo, la consulta también expone el talón de Aquiles del procedimiento: la dificultad de distinguir entre servicios verdaderamente esenciales y actores cuya función, aunque tecnológica, no genera un riesgo país ante un incidente significativo. Las observaciones que solicitan exclusión —desde servicios de baja dependencia informática hasta empresas pequeñas, revendedores o actores redundantes dentro de su sector— revelan la necesidad de una calibración fina del concepto de OIV. No todos los prestadores digitales, por masivo que sea su uso, cumplen la condición de relevancia sistémica. El riesgo de “sobre-inclusión” no es meramente burocrático: genera cargas regulatorias desproporcionadas, distorsiona la competencia y erosiona el foco del sistema en quienes realmente sostienen la continuidad del Estado, la economía y los servicios esenciales. La consulta deja claro que el desafío no es solo definir quién debe ser OIV, sino delimitar con solvencia técnica quién no debe serlo.
El punto de tensión central: proporcionalidad, equivalencias y coherencia regulatoria
La categoría de observaciones más reveladora no es la que respalda ni la que rechaza calificaciones específicas, sino aquella que exige claridad respecto de los criterios, alcances, estándares y métodos de implementación. Aquí se advierte una demanda transversal: el régimen OIV debe operar bajo principios de proporcionalidad y equivalencia normativa. Sectores intensamente regulados —como el financiero, eléctrico o de salud— requieren que la ANCI coordine criterios con sus respectivos reguladores y reconozca obligaciones ya existentes para evitar duplicidades. La ausencia de equivalencias formales genera un doble problema: incrementa los costos de cumplimiento sin elevar la seguridad real y, paradójicamente, incentiva la fragmentación de controles en lugar de fomentar una arquitectura unificada de ciberseguridad. La consulta demuestra que la coordinación inter regulatoria no es un aspecto accesorio, sino una condición estructural para que la Ley 21.663 opere con legitimidad técnica y jurídica.
Por otra parte, las observaciones respecto a entidades no precalificadas revelan un punto ciego que debe ser atendido: la criticidad transversal. Infraestructura digital mayorista, servicios de ciberseguridad gestionados, plataformas municipales, proveedores de fichas clínicas, sistemas de pago previsional y data centers son eslabones horizontales que sostienen a múltiples sectores. La exclusión de actores de este tipo no solo sería incoherente con la arquitectura del riesgo, sino que debilitaría la capacidad del Estado de anticipar, contener y responder a incidentes de alto impacto. El mensaje es claro: el sistema no puede limitarse a calificar actores sectoriales; también debe identificar proveedores cuya afectación multiplica el daño por su posición estructural en la red de dependencias del país.
En definitiva, la consulta pública realizada por la ANCI no es un trámite administrativo ni un ejercicio cosmético. Es un termómetro de la madurez regulatoria del país en materia de ciberseguridad y, al mismo tiempo, un espejo que obliga a reconocer dónde el modelo OIV debe afinarse. El proceso evidencia la necesidad de criterios más transparentes para evaluar la criticidad, marcos de proporcionalidad que den viabilidad al régimen, mecanismos de equivalencia normativa que eviten superposiciones y una visión sistémica que permita reconocer a los actores que, sin ser visibles para los ciudadanos, sostienen la continuidad digital del Estado y de la economía.
La ANCI tiene ahora una oportunidad decisiva: transformar las observaciones recibidas en un estándar de calificación robusto, coherente y técnicamente defendible. El país necesita un régimen OIV que no solo identifique correctamente a sus operadores críticos, sino que también fortalezca la resiliencia sin burocratizar ni distorsionarla. La consulta pública abrió la puerta para dar ese paso. Corresponde ahora consolidar un modelo de gobernanza que esté a la altura de la interdependencia digital que define nuestra vida cotidiana.
