La norma establece criterios y procedimientos clave para la designación de las instituciones públicas y privadas que deban ser calificadas como OIV y que, en caso de ser afectados por un incidente, puedan poner en riesgo la seguridad y el orden público, la prestación de un servicio esencial, o el normal funcionamiento del Estado.
Este jueves 13 de marzo fue publicado en el diario oficial el «Reglamento del Procedimiento de Calificación de los Operadores de Importancia Vital» de la ley marco de ciberseguridad, el cual establece los lineamientos bajo los cuales se determinarán aquellas entidades cuya operación es crítica para la seguridad y el bienestar de la población.
En el Título II del reglamento se detallan los requisitos que deben cumplir las instituciones para ser consideradas «Operadores de Importancia Vital» (OIV), entre estos, se incluyen la dependencia de redes y sistemas informáticos, así como la posibilidad de que su afectación tenga un impacto significativo en el orden público, la provisión de servicios esenciales y el cumplimiento de funciones estatales.
La Agencia Nacional de Ciberseguridad (ANCI) será la entidad encargada de evaluar y designar a los OIV, considerando factores como la cantidad de personas afectadas en caso de interrupción del servicio, la disponibilidad de proveedores alternativos y la interdependencia entre distintos sectores.
Por su parte, en el Título III del reglamento, se introduce un proceso de consulta pública para las instituciones privadas que sean preliminarmente clasificadas como OIV, mecanismo garantiza la participación de la sociedad civil y otros actores interesados, permitiendo la presentación de observaciones antes de la aprobación final de la lista de OIV. Adicionalmente, se establece la obligatoriedad de notificar a las entidades calificadas y ofrecer un periodo de apelación en caso de disconformidad con la decisión de la ANCI.
En el Título IV, el reglamento especifica la metodología para la calificación de instituciones públicas como OIV. Este procedimiento involucra la realización de informes técnicos y la participación del Ministerio de Hacienda, asegurando así una evaluación integral de los riesgos y responsabilidades de cada entidad estatal.
El primer proceso de calificación de operadores de importancia vital deberá iniciarse dentro de los 90 días posteriores a la entrada en vigencia del reglamento. Además, se dispone que las notificaciones electrónicas para estos procedimientos se implementarán de forma progresiva, conforme a las normativas de transformación digital del Estado.
Finalizado ese proceso, la ANCI comunicará la nómina final de las instituciones privadas calificadas como operadores de importancia vital, a través de una resolución del director de ésta, la que será publicada en el Diario Oficial o un medio de circulación nacional.