¿Qué es un Operador de Importancia Vital?
Un Operador de Importancia Vital (OIV) es una institución — pública o privada — que presta servicios esenciales cuya interrupción tendría un impacto significativo en la seguridad, el orden público, la provisión de servicios básicos o el funcionamiento del Estado. El concepto fue introducido por la Ley Marco de Ciberseguridad (Ley 21.663), que entró en vigor en 2024.
La calificación como OIV no es automática — la ANCI realiza un proceso formal de evaluación que considera el número de afectados potenciales, la dependencia de sistemas informáticos, la existencia de proveedores alternativos, y la relevancia de la institución para el funcionamiento del Estado o la economía.
Ser calificado como OIV no es una sanción — es un reconocimiento de que su organización provee un servicio crítico para el país. Pero sí implica obligaciones adicionales de ciberseguridad que deben cumplirse en plazos definidos.
Segunda Etapa: 372 Nuevos OIV en Chile
El 24 de abril de 2026, la ANCI publicó en el Diario Oficial la Resolución Exenta N°85, que aprueba la nómina preliminar de la segunda etapa del primer proceso de calificación de OIV. Esta etapa incorpora a instituciones de 7 sectores: transporte y distribución de combustibles, suministro de agua potable, transporte terrestre/aéreo/ferroviario/marítimo, administración de prestaciones de seguridad social, servicios postales y mensajería, producción de productos farmacéuticos, y concesionarios de servicios públicos.
Los 372 nuevos OIV se suman a los ya calificados en la primera etapa (sector financiero, energía, telecomunicaciones y salud), configurando un universo significativo de organizaciones bajo el régimen más exigente de la Ley 21.663.
Obligaciones Concretas para los OIV
Medidas de seguridad mínimas
Los OIV deben implementar un conjunto de controles de ciberseguridad definidos en la normativa de la ANCI. Estos incluyen gestión de activos y vulnerabilidades, control de accesos e identidades, protección de datos críticos, monitoreo y detección de incidentes, y planes de respuesta y recuperación ante incidentes.
Reporte obligatorio de incidentes
Los OIV deben reportar incidentes de ciberseguridad de impacto significativo a la ANCI en plazos muy acotados: notificación temprana (dentro de 3 horas de detectado), reporte intermedio (dentro de 72 horas), y reporte final completo (dentro de 30 días). El incumplimiento de estos plazos puede generar sanciones.
Planes de continuidad operacional
Los OIV deben contar con planes de continuidad operacional (PCO) documentados, probados periódicamente, y adaptados específicamente a los riesgos de ciberseguridad. Esto incluye definir RTO y RPO para cada sistema crítico, y demostrar capacidad real de recuperación ante un incidente.
Cómo Prepararse si Su Organización es OIV
Si su institución aparece en la nómina preliminar, tiene 30 días corridos para presentar observaciones. Si decide no hacerlo (o sus observaciones no son aceptadas), entrará en el régimen de obligaciones OIV. El tiempo de preparación es limitado.
Las primeras acciones concretas: realizar un diagnóstico de brechas frente a los controles mínimos exigidos, documentar el inventario de sistemas críticos y sus dependencias, implementar o reforzar el monitoreo de incidentes, revisar y actualizar el plan de continuidad operacional, y establecer el canal de reporte a la ANCI.
Las empresas que ya tienen backup inmutable, EDR y SOC activo cumplen una parte importante de los controles mínimos OIV. El cumplimiento normativo y la buena seguridad van de la mano — no son objetivos distintos.
Conclusión
La calificación como OIV es un hito en la madurez regulatoria de la ciberseguridad en Chile. Para las organizaciones afectadas, representa tanto una obligación como una oportunidad de estructurar formalmente su programa de ciberseguridad. Las que ya venían invirtiendo en seguridad tendrán ventaja — el cumplimiento normativo no partirá desde cero.