Santiago 31 de diciembre 2025 – La implementación de la Ley Marco de Ciberseguridad continúa avanzando con mayor precisión regulatoria. En ese contexto, la Agencia Nacional de Ciberseguridad (ANCI) oficializó un nuevo paquete de instrucciones generales que refuerzan tanto los aspectos operativos como de gobernanza que deberán cumplir las instituciones públicas y privadas que prestan servicios esenciales o que han sido calificadas como Operadores de Importancia Vital. Se trata de las Instrucciones Generales N°2, N°3 y N°4, publicadas en el Diario Oficial, que consolidan el tránsito desde un enfoque declarativo hacia uno plenamente ejecutable en materia de ciberseguridad.
El punto de partida de este conjunto normativo es la Instrucción General N°2, orientada a resolver un aspecto crítico para la efectividad del sistema: el reporte oportuno de incidentes de ciberseguridad. La norma introduce disposiciones complementarias sobre la inscripción en la plataforma de reporte de incidentes de la ANCI para las instituciones que prestan servicios esenciales, habilitando de manera excepcional mecanismos alternativos de autenticación para los encargados de ciberseguridad que no puedan acceder a ClaveÚnica. Con ello, la Agencia busca evitar cuellos de botella administrativos que puedan retrasar la notificación de incidentes con efectos significativos, manteniendo como principio central la trazabilidad y la acreditación fehaciente del vínculo entre la persona registrada y la institución que representa. En la práctica, este ajuste refuerza la lógica de continuidad operativa del sistema de reporte, uno de los pilares del nuevo modelo nacional de gestión de incidentes.
El segundo eje regulatorio lo establece la Instrucción General N°3, que aborda directamente la gobernanza interna de la ciberseguridad al imponer la obligación de designar un delegado de ciberseguridad en todas las instituciones calificadas como Operadores de Importancia Vital. Esta figura, que actuará como contraparte formal ante la ANCI, deberá contar con formación o experiencia especializada, independencia funcional y un canal de reporte directo hacia la máxima autoridad institucional. La instrucción es explícita en separar este rol de las funciones tradicionales de las áreas de TI, buscando evitar conflictos de interés y asegurar que los riesgos, incidentes y brechas de cumplimiento puedan escalarse oportunamente al nivel directivo. Además, se detallan los mecanismos formales de designación según el tipo de institución, los requisitos mínimos del documento de nombramiento y la obligación de mantener actualizada esta información ante cualquier cambio, reforzando la responsabilidad organizacional frente a la autoridad reguladora.
Finalmente, la Instrucción General N°4 profundiza el plano más operativo del marco normativo, al establecer un conjunto de medidas obligatorias para reducir el impacto y la propagación de incidentes de ciberseguridad. El texto entrega a los Operadores de Importancia Vital la facultad —y el deber— de adoptar acciones inmediatas frente a un incidente, incluyendo la restricción de accesos, el aislamiento de sistemas comprometidos, la suspensión de servicios expuestos a Internet y la deshabilitación de accesos remotos que puedan facilitar la expansión de un ataque. A ello se suman exigencias técnicas concretas como el cambio inmediato de contraseñas administrativas, la eliminación de cuentas genéricas, la revisión de accesos expuestos, el uso de herramientas de detección y contención, la correcta configuración de cortafuegos y la segmentación de redes para evitar desplazamientos laterales. Todo este conjunto de medidas debe ejecutarse bajo criterios de registro, coordinación interna y comunicación permanente con la ANCI, integrando la respuesta técnica con la toma de decisiones estratégicas.
En conjunto, estas tres instrucciones configuran un mensaje claro del regulador: la ciberseguridad deja de ser un asunto reactivo o meramente tecnológico para consolidarse como una obligación estructural, con roles definidos, plazos exigentes y responsabilidades explícitas para quienes sostienen servicios críticos para el país. Para las organizaciones afectas a la Ley Marco, el desafío ya no está solo en cumplir formalmente, sino en traducir estas exigencias en capacidades reales, procesos probados y una gobernanza que permita responder con rapidez y coherencia frente a un escenario de amenazas cada vez más complejo.
Accede a los instructivos en el siguiente link: DIARIO OFICIAL