La Agencia Nacional de Ciberseguridad publicó la segunda nómina preliminar de Operadores de Importancia Vital, sumando cientos de entidades al régimen reforzado de la Ley 21.663. Qué sectores abarca, qué plazos hay y qué obligaciones implica.

El 24 de abril de 2026 la Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial la resolución que aprueba la segunda nómina preliminar de Operadores de Importancia Vital (OIV), correspondiente a la segunda etapa del primer proceso de calificación iniciado en 2025. Con ella, el universo de organizaciones que podrían quedar sujetas al régimen reforzado de ciberseguridad de la Ley N° 21.663 crece de forma significativa: la lista preliminar considera cientos de instituciones públicas y privadas que prestan servicios esenciales.

Para muchas empresas, esto deja de ser un tema lejano. Quedar en la nómina no es un trámite menor: marca el inicio de un conjunto de obligaciones exigentes en materia de seguridad digital.

Qué es un Operador de Importancia Vital

La Ley N° 21.663, que establece el marco de ciberseguridad y crea la ANCI, distingue a los servicios esenciales y, dentro de ellos, a los Operadores de Importancia Vital: aquellas entidades cuya afectación tendría un impacto significativo en la seguridad o el funcionamiento del país. Esa calificación es la que activa el estándar más alto de obligaciones.

Qué sectores incorpora esta segunda nómina

La segunda etapa abarca servicios esenciales prestados por entidades de sectores estratégicos, entre ellos:

  • Transporte, almacenamiento o distribución de combustibles.
  • Suministro de agua potable y saneamiento.
  • Transporte terrestre, aéreo, ferroviario o marítimo y su infraestructura.
  • Concesionarios de servicios públicos.
  • Administración de prestaciones de seguridad social.
  • Servicios postales y de mensajería.
  • Producción e investigación de productos farmacéuticos.

A ello se suman entidades de sectores ya considerados en la primera etapa que no habían sido incluidas antes, como generación y distribución eléctrica, telecomunicaciones, infraestructura digital, servicios de TI, prestadores de salud y organismos del Estado.

Plazos: 30 días para observar y consulta pública

Las entidades incluidas en la nómina preliminar disponen de un plazo de 30 días corridos desde la publicación para presentar observaciones y acompañar antecedentes, conforme al reglamento de la ley (Decreto Supremo N° 285 de 2024). La resolución dispone además el inicio de una consulta pública de la nómina, para lo cual la ANCI habilita una plataforma electrónica. Este es el momento clave para que una organización que considera que no debería ser calificada, o que requiere precisiones, haga valer sus argumentos antes de la nómina definitiva.

Qué implica quedar calificado como OIV

Las entidades que finalmente sean calificadas quedarán sujetas a obligaciones reforzadas de ciberseguridad, entre ellas:

  • Implementar un sistema de gestión de gobernanza del riesgo de ciberseguridad.
  • Contar con capacidades de detección y respuesta ante incidentes.
  • Adoptar medidas de continuidad operacional y las certificaciones que correspondan.
  • Reportar los incidentes de ciberseguridad al CSIRT Nacional en plazos acotados.

El incumplimiento de estas obligaciones puede derivar en sanciones, además del riesgo operacional y reputacional que supone un incidente no gestionado.

Qué conviene hacer ahora

Si su organización pertenece a alguno de estos sectores, conviene actuar sin esperar la nómina definitiva: revisar si aparece en la lista preliminar, evaluar la pertinencia de presentar observaciones dentro de los 30 días, y comenzar a diagnosticar la brecha entre sus prácticas actuales y lo que exige la Ley N° 21.663. Anticiparse permite distribuir mejor los costos y llegar preparado a la entrada en vigencia de las obligaciones.

La información oficial sobre el proceso está disponible en el sitio de la Agencia Nacional de Ciberseguridad.

En nuestra área de Ciberseguridad y Delitos Informáticos acompañamos a empresas en la preparación frente a este nuevo estándar, desde el diagnóstico hasta la gestión de incidentes.

Este artículo tiene carácter general e informativo y no constituye asesoría jurídica para un caso concreto. La normativa citada debe verificarse en su versión vigente antes de adoptar decisiones.