Por Oliver Ortiz, Gerente de Deloitte Legal; y Ruby Soteras, Socia de Deloitte Legal*.
El 4 de junio de 2025 recién pasado se publicó la primera Instrucción General de la Agencia Nacional de Ciberseguridad (ANCI), que trata sobre la inscripción de las instituciones calificadas como Prestadores de Servicios Esenciales (PSE) en la Plataforma de Reporte de Incidentes de la misma entidad, la que como era de esperarse, ha generado diversas dudas respecto de las obligaciones que impone sobre el sector privado, considerando que impone 5 días hábiles (esto es, hasta el 11 de junio de 2025) para cumplir, y una multa leve para quienes no lo hagan (que puede llegar hasta los 5.000 UTM, aprox. USD 370.000).
A raíz de lo anterior, una serie de cuestionamientos se plantean, como: (i) ¿quiénes deben inscribirse? ¿quiénes califican finalmente como servicios esenciales?; y además, (ii) si no estoy seguro si soy PSE: ¿debiera inscribirme de todas formas? y si me inscribo sin serlo, ¿estoy auto-declarándome como servicio esencial?
Revisemos primero quiénes se consideran como Prestadores de Servicios Esenciales para efectos de esta Instrucción. El artículo 4° de la Ley 21.663 (“LMC”) deja en claro que prestadores de sectores como el energético, telecomunicaciones, financiero, y órganos del Estado, entre otros, son siempre PSE. La duda es respecto de aquellas empresas que no están dentro de esos sectores tradicionalmente regulados, en que no tenemos una definición clara sobre su alcance, como lo son los servicios digitales y servicios de tecnología de la información gestionados por terceros, infraestructura digital, etc.
Entonces, para responder esta primera pregunta, mientras no exista resolución expresa de la ANCI, proponemos el siguiente test:
- ¿Está mi empresa en el listado del art. 4° de la LMC? (ver listado de 35 prestadores en la página de la ANCI (Link: Comienza obligación de reportar los incidentes de ciberseguridad a la ANCI – Agencia Nacional de Ciberseguridad )
- ¿Tengo claridad de que el rubro de mi empresa corresponde a uno de los del listado? En caso negativo, se debe seguir este test.
- ¿Algunos de los códigos de actividad económica que la empresa tiene informados al Servicio de Impuestos Internos coincide con los del listado?
- Si el rubro de la empresa está en el listado de la LMC y/o también coincide el código del SII y quedan aún dudas, corresponde a la empresa evaluar si es o no PSE, basada en el riesgo que genera. Así, en caso de que tenga un incidente de ciberseguridad: ¿Afecta a terceros? ¿Puede causar daño a la vida, integridad física, abastecimiento, a sectores relevantes, al medioambiente, al normal funcionamiento de la sociedad, defensa nacional, seguridad y orden público, etc.? (Ver. Art. 4 inc. 3). Si la respuesta es afirmativa, probablemente sea PSE.
Dos ejemplos: i) Una empresa de transporte escolar privado, que sólo opera con furgones y sin sistemas digitales, con baja probabilidad de tener problemas de disponibilidad o continuidad por incidentes de ciberseguridad, ¿Será PSE?; y ii) Una empresa presta servicios de desarrollo de software o de ingeniería IA, y tiene informado ante el SII “otras actividades de tecnología de la información”, en que, si bien tiene muchos de sus sistemas apalancados en herramientas digitales, en caso de un ciber-incidente, que no afecta a terceros porque no maneja datos de terceros, y el servicio de desarrollo e ingeniería se hace en ambientes privados del proveedor: ¿Será esa una PSE?
Si persisten las dudas ¿me inscribo? Y, si lo hago, ¿la empresa se convierte automáticamente PSE? Si bien esto deberá dirimirlo finalmente la autoridad, en nuestra interpretación, la obligación de inscripción que establece esta norma no convertirá automáticamente a las entidades en PSE. No obstante lo anterior, la preocupación de los privados debiera radicar mayormente en el proceso de designación de los Operadores de Importancia Vital (OIV), considerando que quienes detenten tal calidad tendrán sobre ellos una mayor carga regulatoria que los PSE (esto es, además de las obligaciones generales de ciberseguridad y de reportar, las propias del artículo 8 de la LMC).
En definitiva, la ANCI tiene un reto clave: conseguir que las empresas confíen en ella lo suficiente como para que reporten los incidentes de ciberseguridad que sufran. Es fundamental que entiendan que esto no solo las beneficia a ellas (demostrando que gestionan bien este tipo de eventos), sino que también es vital para que la ANCI tenga más información sobre los incidentes que ocurren, y para que pueda supervisar con mayor precisión el espacio digital. Y junto a lo anterior, todos tenemos el desafío de enfrentar un cambio cultural, donde empresas y otros actores del mundo digital promuevan la transparencia respecto a sus incidentes y comiencen a reportarlos de inmediato.
*Oliver Ortiz, Gerente de Deloitte Legal; y Ruby Soteras, Socia de Deloitte Legal.
