Nuevas obligaciones para Prestadores de Servicios Esenciales

Con fecha 4 de junio de 2025, se publicó en el Diario Oficial la Instrucción General N°1 de la Agencia Nacional de Ciberseguridad (“ANCI”) del Ministerio del Interior, la cual imparte instrucciones sobre la inscripción de las instituciones calificadas como prestadores de servicios esenciales en la Plataforma de Reporte de Incidentes (la “Instrucción”), conforme a la Ley N° 21.663 (la “Ley Marco de Ciberseguridad”). 

Según el artículo 4 de la Ley Marco de Ciberseguridad, se califican como servicios esenciales aquellos provistos por los organismos de la Administración del Estado y por el Coordinador Eléctrico Nacional; los prestados bajo concesión de servicio público, y los proveídos por instituciones privadas que realicen las siguientes actividades: generación, transmisión o distribución eléctrica; transporte, almacenamiento o distribución de combustibles; suministro de agua potable o saneamiento; telecomunicaciones; infraestructura digital; servicios digitales y servicios de tecnología de la información gestionados por terceros; transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva; banca, servicios financieros y medios de pago; administración de prestaciones de seguridad social; servicios postales y de mensajería; prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción y/o investigación de productos farmacéuticos (los “Prestadores de Servicios Esenciales”).

La Instrucción establece que, para dar cumplimiento a la obligación de reportar, que los Prestadores de Servicios Esenciales deberán inscribirse en la plataforma que se encuentra disponible en https://portal.anci/ de la ANCI, siguiendo los pasos indicados en el enlace https://anci.gob.cl/registro-plataforma. Dicha inscripción deberá ser realizada por medio de la persona encargada de reportar ciberataques en la institución, quien deberá contar con una formación o experiencia técnica o profesional en ciberseguridad. Se deberá acreditar que el encargado cuenta con poderes suficientes para representar al Prestador de Servicios Esenciales, mediante instrumento público o privado con firma electrónica avanzada. Dicha persona será para todos los efectos la contraparte técnica de la ANCI y deberá indicar un correo electrónico institucional que se considerará el canal de comunicación oficial para mantener una comunicación fluida con el CSIRT Nacional a través de la plataforma los otros medios de contacto que la ANCI disponga.

La Instrucción comenzará a regir a partir del 11 de junio de 2025 y su incumplimiento será considerado como una infracción leve, la cual será sancionada con multa de hasta 5.000 UTM. 

Las nuevas directrices refuerzan la importancia de la ciberseguridad en sectores esenciales, exigiendo una gestión proactiva y formalizada de los incidentes. Los Prestadores de Servicios Esenciales deben revisar sus procesos internos para asegurar el cumplimiento de los requisitos de inscripción, designación y reporte, minimizando riesgos regulatorios y operativos en un entorno digital cada vez más desafiante.