ANCI inicia la calificación de Operadores de Importancia Vital

En el marco de la implementación de la Ley Marco de Ciberseguridad (Ley N° 21.663), el director de la Agencia Nacional de Ciberseguridad (ANCI), Daniel Álvarez, anunció el inicio del proceso de calificación de los Operadores de Importancia Vital (OIV), marcando un hito significativo en la protección de la infraestructura crítica del país.

La definición de OIV considera, tanto a organizaciones tanto públicas como privadas, cuya operación depende de redes y sistemas informáticos, y cuya interrupción podría tener un impacto significativo en la seguridad, el orden público y la prestación continua de servicios esenciales.

Este proceso de calificación, que comenzó el 30 de mayo de 2025, incluye la solicitud de informes técnicos a reguladores sectoriales, la elaboración de una nómina preliminar y una consulta pública de 30 días, antes de la publicación de la lista final.

El 30 de mayo inició el proceso de calificación de empresas de:

- Generación, transmisión o distribución eléctrica, incluyendo el Coordinador Independiente del Sistema Eléctrico Nacional.

- Telecomunicaciones.

- Infraestructura digital; servicios digitales; servicios de tecnología de la información gestionados por terceros.

- Banca, servicios financieros y medios de pago.

- Prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos.

- Empresas públicas creadas por ley.

- Organismos de la Administración del Estado.

El próximo 30 de noviembre, en tanto, iniciará la calificación de empresas de:

- Transporte, almacenamiento o distribución de combustible.

- Suministro de agua potable o saneamiento.

- Transporte terrestre, aéreo, ferroviario o marítimo, así como la operación de su infraestructura respectiva.

- Demás concesionarios de servicios públicos.

- Administración de prestaciones de seguridad social. - Servicios postales y de mensajería. - Producción y/o investigación de productos farmacéuticos.

Con la entrada en vigor de las nuevas normativas en marzo de 2025, las entidades clasificadas como OIV deben cumplir con obligaciones específicas, como la implementación de sistemas de gestión de seguridad de la información, evaluaciones de riesgo continuas y planes de respuesta a incidentes.