Columnas
Servicios Esenciales y Operadores de Importancia Vital acorde a la Ley Nº 21.663: algunas reflexiones desde la perspectiva del derecho administrativo
Por Alberto Vergara y Juan Pablo González*.
La Ley Nº 21.663, Ley Marco de Ciberseguridad, entre sus disposiciones que entraron en vigencia el 1º de marzo del 2025, aborda latamente el procedimiento de declaración de Operador de Importancia Vital (OIV) en el artículo 6º, a través de un procedimiento reglado, ante la Agencia Nacional de Ciberseguridad (ANCI), alejándose de la aproximación europea contenida en la Directiva sobre ciberseguridad (NIS2), que automáticamente incluye sectores regulados en que se encuentran entidades esenciales e importantes, sin que exista la necesidad de una declaración formal por parte de una autoridad nacional. Ello, no obstante, del proceso de trasposición que cada país debió cumplir a octubre del 2024, aunque la realidad nos refleja que únicamente lo han realizado, hasta la fecha, países como Bélgica, Italia, Lituania, Hungría y Croacia, estando el resto, aún en proceso de revisión de su normativa interna.
Ahora bien, lo anterior refleja la dificultad intrínseca que tiene el proceso de definir aquellos sectores que son críticos para un país, cabiendo mencionar que con la anterior normativa europea (NIS1) eran únicamente 7 (por ej. Sector financiero, transporte, energía, entre otros), siendo ampliado a casi 18 sectores (al incluirse sectores como tratamiento de agua, producción de alimentos, servicios postales y proveedores de servicios digitales, entre otros) los cuales requieren una protección adicional desde la perspectiva de los incidentes de ciberseguridad que pueden sufrir, por los posibles impactos en la sociedad. Sin duda, los acuerdos entre todos los actores interesados y la bajada sectorial implican un proceso complejo. El criterio de establecer un listado de sectores que son esenciales fue tomado en parte en el proceso de discusión legislativa de la Ley Nº 21.663; y se ve reflejado en el inciso segundo del artículo 4º, aunque no se incluyó un Anexo que establezca claramente cuáles son las actividades económicas incorporadas en cada uno de los sectores que han sido definido como críticos, por ejemplo: infraestructura digital, banca, servicios financieros y medios de pago, o el suministro de agua o saneamiento, entre otros.
Si se revisa la Historia Legislativa de la Ley Nº 21.663, se percata que uno de los aspectos discutidos fue la vaguedad del concepto de servicio esencial, así como la grave incertidumbre que implica para aquellos sujetos obligados, establecer un listado de sectores, sin criterios objetivos considerando que deben cumplir con deberes generales acorde al artículo 7º de la normativa. Además, en la Comisión de Defensa, se discutió sobre las razones por la cuáles algunas industrias, por ejemplo, la del cobre, no fueran incluidas en el listado del artículo 4º de la Ley, a pesar, de su rol estratégico para la economía nacional, siendo este un elemento clave para determinar aquellas prestaciones esenciales. Estos aspectos fueron en parte corregidos en la Comisión de Seguridad Ciudadana, a través de la incorporación de un procedimiento reglado y requisitos específicos para la calificación OIV, una categoría de sujeto obligado que, generalmente, saldrá de aquellos prestadores de servicios esenciales y, por ende, tendrán un régimen detallado de obligaciones (deberes específicos) de acuerdo con el artículo 8º de la Ley.
En consecuencia, el modelo chileno, es de carácter declarativo, otorgándole a la ANCI el rol centralizado de calificación de aquellas instituciones públicas y privadas que son OIV dentro de aquellos sectores esenciales, activándose los deberes específicos únicamente cuando la resolución de calificación se encuentre ejecutoriada. Al igual que la Directiva NIS2, la Ley Nº 21.663 tiene un régimen diferenciado para las pequeñas y medianas empresas (acorde a la Ley Nº 20.416), aunque en el caso de la disposición europea, no incluye a las microempresas, es decir, sólo están incluidas aquellas que tengan 10 empleados o más y un volumen de negocios anual o balance superior a 2 millones de euros, acorde a la recomendación 2003/361/CE de la Comisión Europea.
El procedimiento descrito en el artículo 6º de calificación de OIV y detallado en el Reglamento (Decreto Nº 285) se centra en principios de gradualidad y proporcionalidad, es decir, la declaración de operadores de importancia vital es un proceso gradual que se realizará durante el 2025, y proporcional, ya que no todas las instituciones que prestan servicios esenciales serán automáticamente OIV, en la medida que no cumplan con los requisitos que permitan indicar su nivel de criticidad en la infraestructura o servicio, a saber: (1) que la provisión del servicio depende de las redes y sistemas informáticos; (2) que la afectación, interceptación, interrupción o destrucción de sus servicios tenga un impacto significativo en la seguridad y el orden público, en la provisión continua y regular de servicios esenciales, en el efectivo cumplimiento de las funciones del Estado o, en general, de los servicios que éste debe proveer o garantizar.
Como se mencionó anteriormente, el procedimiento se encuentra regulado en el artículo 6º de la Ley, y se realizará cada tres años, liderado por la ANCI, quién debe revisar y actualizar la calificación. Para iniciar el procedimiento, la ANCI requerirá un Informe a los reguladores sectoriales sobre aquellas instituciones públicas o privadas que deban calificarse como OIV; y una vez recibidos los informes, la ANCI cuenta con 30 días corridos para evacuar un informe de una nómina preliminar de las instituciones calificadas. Esta nómina deberá ser sometida a consulta pública por 30 días, solo en el caso de las instituciones privadas; en el caso de aquellas públicas, deberá contar con un informe del Ministerio de Hacienda. Finalizado el proceso de consulta pública, la ANCI deberá, dentro de los 30 días corridos, elaborar un informe que contendrá la nómina final de instituciones que son OIV, y el director de la ANCI a través de resolución fundada, informará a las instituciones designadas como OIV. Contra esta resolución cabrán todos los recursos administrativos contenidos en el Capítulo IV de la Ley Nº 19.880, tales como el de reposición, invalidación y de revisión, con excepción del recurso jerárquico por tratarse la ACNI de un órgano descentralizado. Adicionalmente, las empresas podrán optar por presentar un reclamo de ilegalidad ante la Corte de Apelaciones de Santiago o ante la Corte de Apelaciones competente según el lugar donde se encuentre la institución reclamante, acorde al art. 46º de la Ley 21.663. Es probable también que veamos eventualmente algunos recursos de protección conforme al artículo 20º de nuestra Constitución, y muy probablemente, tarde o temprano, algún requerimiento de inaplicabilidad por inconstitucionalidad ante el Tribunal Constitucional.
Si bien el procedimiento contempla una renovación trianual, y con ello le otorga flexibilidad institucional, particularmente en atención a la evolución de la tecnología y el nivel de exposición al riesgo cibernético, será muy importante el rol de la ANCI para intentar dotar de seguridad jurídica a las instituciones privadas, tanto aquellas que se encuentran dentro de los sectores económicos indicados como esenciales, conforme al artículo 4°, a fin de que puedan prepararse oportunamente en cuanto a la carga regulatoria, así como también a las que sean eventualmente sean calificadas como OIV, en un contexto nacional en que existen otra ola regulatoria a través de la pronta entrada en vigencia de la Ley Nº 21.719 que modifica la Ley Nº 19.628 sobre protección de datos personales.
*Alberto Vergara, Director Área Derecho Regulatorio, HD Group. Juan Pablo González, Director Protección Datos Personales y Ciberseguridad, HD Group.
