Tres nuevas instrucciones generales de la Agencia Nacional de Ciberseguridad precisan cómo deben organizarse y actuar los operadores de importancia vital y los prestadores de servicios esenciales frente a incidentes de ciberseguridad, reforzando deberes de gobernanza, reporte y respuesta técnica inmediata.
La Agencia Nacional de Ciberseguridad (ANCI) dictó las Instrucciones Generales N° 2, N° 3 y N° 4, publicadas en el Diario Oficial el 26 de diciembre de 2025, que desarrollan obligaciones operativas clave de la Ley N° 21.663. Las medidas se dirigen, según el caso, a instituciones que presten servicios esenciales y a operadores de importancia vital, precisando estándares mínimos en inscripción y reporte de incidentes, designación del delegado de ciberseguridad y contención técnica inmediata ante eventos de seguridad informática.
El paquete normativo se apoya en los artículos 6°, 8°, 9° y 11° de la Ley N° 21.663 y en el Reglamento de Reporte de Incidentes aprobado por el decreto supremo N° 295 de 2024. Su objetivo común es reducir los tiempos de reacción frente a incidentes, asegurar una interlocución clara con la autoridad y disminuir la propagación y el impacto operacional de los eventos de ciberseguridad, especialmente en servicios cuya afectación compromete la continuidad, la seguridad o el bienestar de la población.
En primer término, la Instrucción General N° 2 regula aspectos complementarios de la inscripción en la plataforma de reporte de incidentes de la ANCI. Autoriza, de manera excepcional, mecanismos alternativos de autenticación para encargados o encargadas de ciberseguridad que no puedan acceder a Clave Única, exigiendo acreditar fehacientemente el vínculo con la institución prestadora de servicios esenciales. Con ello, la Agencia busca evitar que barreras de acceso retrasen el cumplimiento del deber de reporte oportuno al CSIRT Nacional, previsto en el artículo 9° de la ley.
En segundo lugar, la Instrucción General N° 3 desarrolla la obligación de designar un delegado de ciberseguridad para los operadores de importancia vital, conforme al literal i) del artículo 8° de la Ley N° 21.663. Define el perfil mínimo del delegado, su independencia funcional respecto de las áreas de tecnologías de la información y los mecanismos de designación según el tipo de entidad, incluyendo organismos del Estado, empresas públicas, grupos empresariales y otras instituciones privadas. La norma exige que la designación conste en un documento formal, que sea acreditado ante la ANCI y que se mantenga actualizado, estableciendo plazos breves para informar ceses o cambios.
Finalmente, la Instrucción General N° 4 aborda la respuesta técnica inmediata frente a incidentes de ciberseguridad. Impone a los operadores de importancia vital la adopción de medidas urgentes de restricción de accesos, aislamiento de sistemas comprometidos, cambio de credenciales administrativas, deshabilitación de accesos remotos expuestos y eventual suspensión temporal de servicios en riesgo. Además, exige el uso de herramientas de detección y contención, cortafuegos configurados bajo principios de bloqueo por defecto y segmentación de redes para evitar la propagación lateral del incidente. Estas decisiones deben registrarse, coordinarse internamente y comunicarse a la Agencia dentro de plazos acotados, en algunos casos dentro de las primeras tres horas desde que se toma conocimiento del evento.