top of page
Buscar

Nueva Taxonomía de Incidentes de Ciberseguridad en Chile: Obligaciones y Consecuencias para Empresas Esenciales y Operadores de Importancia Vital

El 1 de marzo de 2025, se publicó en el Diario Oficial la Resolución Exenta N° 7 del Ministerio del Interior y Seguridad Pública, que aprueba la taxonomía de incidentes de ciberseguridad en conformidad con la Ley Marco de Ciberseguridad (Ley N° 21.663). Este reglamento impone nuevas obligaciones para las empresas esenciales y operadores de importancia vital, estableciendo un marco obligatorio para el reporte de incidentes y las posibles sanciones por incumplimiento.

ree

¿Cuáles son las empresas esenciales y los operadores de importancia vital?


1. Empresas esenciales Son aquellas cuya interrupción afectaría gravemente el funcionamiento del país, la seguridad nacional o la vida cotidiana de la población. Incluyen sectores como:


• Energía: Generación, transmisión y distribución eléctrica, combustibles y gas.

• Telecomunicaciones: Proveedores de internet y telefonía.

• Banca y Finanzas: Instituciones financieras, bancos y proveedores de servicios de pago.

• Transporte y Logística: Aeropuertos, puertos y sistemas de transporte.

• Salud: Hospitales, clínicas y laboratorios.

• Abastecimiento de agua: Empresas sanitarias y de suministro de agua potable.

2. Operadores de importancia vital Empresas que, sin ser esenciales, prestan servicios críticos a sectores esenciales o que manejan infraestructuras tecnológicas clave, como:


• Proveedores de cloud computing y hosting.

• Empresas de ciberseguridad y resguardo de datos.

• Centros de procesamiento de datos esenciales.

• Entidades con acceso a información crítica del Estado o del sector privado.
Obligaciones establecidas por la Resolución Exenta N° 7

A partir de esta normativa, las empresas esenciales y operadores de importancia vital deben cumplir con las siguientes exigencias:

1. Reporte obligatorio de incidentes de ciberseguridad Cualquier incidente que tenga efectos significativos en la seguridad informática debe ser reportado de inmediato. Los reportes deben enviarse a través del portal de la Agencia Nacional de https://portal.anci.gob.cl

2. Contenido del reporte Ciberseguridad:


• Descripción detallada del incidente.

• Clasificación según taxonomía de ciberseguridad.

• Impacto en la operación de la empresa y posibles consecuencias.

Taxonomía de incidentes de ciberseguridad


La resolución establece cuatro áreas de impacto y once tipos de incidentes observables:
1. Impacto en el uso de recursos informáticos

• Acceso no autorizado a sistemas.

• Uso de credenciales comprometidas.

• Phishing y fraude desde la infraestructura de la empresa.

• Ejecución no autorizada de código.
2. Impacto en la confidencialidad de la información

• Filtración de datos personales o confidenciales.

• Exposición de configuraciones críticas.

• Pérdida de código fuente.
3. Impacto en la disponibilidad de servicios esenciales

• Ataques de denegación de servicio (DDoS).

• Saturación de red o caída de sistemas críticos.

4. Impacto en la integridad de la información

• Modificación no autorizada de datos.
• Alteración de configuraciones de seguridad.

Consecuencias del incumplimiento


La Ley Marco de Ciberseguridad (Ley N° 21.663) establece sanciones severas para aquellas empresas que no cumplan con la obligación de reportar incidentes:

1. Multas y sanciones económicas determinadas por la Agencia Nacional de Ciberseguridad (hasta 40.000 UTM).

2. Responsabilidad legal de los directivos y responsables de seguridad si se detecta dolo o negligencia.

3. Daño reputacional y pérdida de confianza de clientes y socios estratégicos.

4. Posibles demandas o sanciones administrativas si el incumplimiento resulta en filtraciones masivas o compromete información de terceros.

Recomendaciones


Ante este nuevo marco normativo, las empresas esenciales y operadores de importancia vital deben:

• Actualizar sus protocolos de seguridad para cumplir con los requisitos de reporte.

• Capacitar a su personal en la identificación y reporte de incidentes.

• Implementar sistemas de monitoreo proactivo para detectar incidentes en tiempo real.

• Designar responsables de ciberseguridad que garanticen el cumplimiento normativo.

Conclusión


La Resolución Exenta N° 7 es un paso clave en la implementación de la Ley Marco de Ciberseguridad en Chile, estableciendo un marco obligatorio para el reporte de incidentes y un nuevo estándar en la gestión de riesgos digitales.

Las empresas afectadas deben actuar con urgencia para adaptarse a estos requerimientos y evitar sanciones.

¿Está tu empresa preparada para cumplir con esta regulación? Si necesitas asesoría para garantizar el cumplimiento de esta normativa, contáctanos.

 
 
 

Comments

CONTÁCTANOS

​​Av. Camino Valle Alto 1373, Santiago

Tel: +56 9 4859 6974

sizquierdo@izquierdohurtado.cl

¡Gracias por tu mensaje!

  • LinkedIn
  • Instagram

​​​​© 2025 Todos los derechos reservados 

bottom of page