En el marco de la implementación de la Ley N°21.663 (Ley Marco de Ciberseguridad), la Agencia Nacional de Ciberseguridad (ANCI) publicó las Instrucciones Generales N°2, 3 y 4 de 2025, que complementan el régimen de reporte de incidentes y establecen nuevas obligaciones específicas para los Operadores de Importancia Vital (OIV).

Las nuevas instrucciones abordan tres ámbitos clave: (i) el proceso de inscripción y autenticación en la plataforma de reporte de incidentes de la ANCI, (ii) la designación formal del Delegado de Ciberseguridad, y (iii) los estándares mínimos de contención y mitigación de incidentes de ciberseguridad. Para los OIV, estas obligaciones entran en vigencia en un plazo de 60 días corridos desde la publicación en el Diario Oficial de las resoluciones que los califican como tales.

Aspectos clave:

Instrucción General N°2 – Inscripción en la plataforma de la ANCI

Complementa la Instrucción General N°1 y autoriza, de manera excepcional, la inscripción de encargados/as de ciberseguridad que no cuenten con acceso a Clave Única. Asimismo, permite la designación de encargados/as de notificación extranjeros, manteniéndose en lo demás las reglas vigentes.

Instrucción General N°3 – Delegado de Ciberseguridad

Regula por primera vez el procedimiento de designación del Delegado de Ciberseguridad, obligación aplicable exclusivamente a los OIV. Establece requisitos mínimos de perfil (formación, experiencia o certificación en ciberseguridad), independencia funcional respecto de las áreas de TI y un canal de reporte directo a la alta administración. Exige un documento formal de designación y su acreditación ante la ANCI, así como la actualización de la información y la notificación de cualquier cambio relevante dentro de un plazo máximo de 5 días hábiles. Esta designación es complementaria y no sustituye al encargado/a de reporte de incidentes.

Instrucción General N°4 – Medidas de contención y mitigación de incidentes

Desarrolla el deber legal de adoptar medidas oportunas para reducir el impacto y la propagación de incidentes de ciberseguridad. Detalla medidas mínimas de contención inmediata, incluyendo restricción de accesos, aislamiento de sistemas comprometidos y suspensión temporal o parcial de servicios. Impone la obligación de adoptar ciertas acciones dentro de las 3 horas siguientes al conocimiento del incidente —como el cambio de contraseñas administrativas y la deshabilitación de accesos remotos expuestos—, así como la aplicación preventiva de medidas similares cada 6 meses.