El proceso liderado por la Agencia Nacional de Ciberseguridad recibió observaciones ciudadanas y sectoriales que apuntan tanto a reforzar la calificación de entidades críticas como a corregir criterios, cargas y alcances del régimen OIV definido por la Ley Marco de Ciberseguridad.
La Agencia Nacional de Ciberseguridad (ANCI) publicó este lunes los resultados de la primera consulta pública destinada a revisar la nómina preliminar de entidades propuestas para ser calificadas como Operadores de Importancia Vital (OIV), cumpliendo así otro hito en la implementación del régimen establecido por la Ley Marco de Ciberseguridad N.º 21.663.
Entre el 16 de septiembre y el 16 de octubre pasado, ciudadanos, empresas, instituciones públicas y privadas aportaron observaciones que, según el informe proporcionado por el organismo, constituyen “insumos valiosos para fortalecer los criterios de evaluación, mejorar la coherencia regulatoria y asegurar que las obligaciones del régimen OIV se apliquen de manera justa y efectiva”.
El proceso, detallado en el resumen ejecutivo difundido por la ANCI, incluyó tres formularios orientados a caracterizar a los participantes, evaluar a los precalificados y presentar argumentos respecto de entidades no consideradas inicialmente. Con más de 1.700 instituciones identificadas preliminarmente como OIV -deben ser ratificadas prontamente- dentro de un universo estimado de 60 mil, el ejercicio buscó legitimar la selección inicial a través de un mecanismo formal de participación.
Las observaciones se agruparon en tres grandes categorías. La primera corresponde a quienes respaldaron la inclusión de entidades críticas, destacando el rol fundamental de sectores como los servicios financieros, las telecomunicaciones, la infraestructura digital y los proveedores tecnológicos que sostienen sistemas municipales o plataformas estatales. En particular, se enfatizó que interrumpir estos servicios afectaría directamente la continuidad del Estado, la estabilidad económica y la seguridad de la población. También se subrayó la necesidad de considerar actores transversales, como proveedores de firma electrónica avanzada, sistemas de identificación y plataformas hospitalarias.
El segundo grupo estuvo formado por quienes cuestionaron la inclusión de ciertas entidades calificadas como OIV. Entre los argumentos más recurrentes se planteó la baja dependencia tecnológica de algunos servicios -principalmente ciertas prestaciones de salud que podrían continuar mediante mecanismos analógicos- y la reducida relevancia sistémica de empresas pequeñas o con poca participación en sectores estratégicos. También surgieron críticas al enfoque dado a revendedores tecnológicos, señalando que la responsabilidad operativa recae en el proveedor del software y no en el intermediario comercial.
Un tercer bloque reunió observaciones sobre criterios y alcances normativos, apuntando a la necesidad de mejorar la proporcionalidad de las exigencias, evitar duplicidades regulatorias y clarificar la forma en que distintos organismos supervisores coordinarán obligaciones convergentes. Según el documento, muchas entidades advirtieron que el cumplimiento efectivo requiere gradualidad, equivalencia normativa y lineamientos sectoriales más precisos.
En paralelo, el análisis de comentarios sobre entidades no incluidas inicialmente mostró una fuerte insistencia en evaluar como posibles OIV a actores que operan “detrás de escena”, como data centers, conectividad troncal, servicios gestionados de ciberseguridad, medios de pago, software financiero, plataformas educativas, sistemas de gestión municipal y soluciones clínicas digitales. En todos los casos, se destacó el impacto sistémico que podría tener la caída de estos proveedores.
La ANCI destacó que el proceso evidencia un alto grado de comprensión del régimen OIV por parte de los participantes, pero también revela la necesidad de afinar criterios antes de la fase final de calificación. “Las observaciones recogidas constituyen insumos valiosos para asegurar que las obligaciones asociadas al régimen OIV se apliquen de manera justa, efectiva y consistente con la criticidad real de cada entidad”, concluye la institución en su informe.