LEY MARCO DE CIBERSEGURIDAD: LAS OBLIGACIONES QUE SE AVECINAN PARA EL SECTOR TRANSPORTE Y LOGÍSTICA
LEY MARCO DE CIBERSEGURIDAD: LAS OBLIGACIONES QUE SE AVECINAN PARA EL SECTOR TRANSPORTE Y LOGÍSTICA ALOG LEY MARCO DE CIBERSEGURIDAD: LAS OBLIGACIONES QUE SE AVECINAN PARA EL SECTOR TRANSPORTE Y LOGÍSTICA Esta ley marcó un hito en la regulación de la seguridad digital en Chile, estableciendo un ordenamiento público-privado, público-privado, encargado de resguardar redes, sistemas informáticos y servicios críticos del país.
El transporte y la logística se encuentran explícitamente considerados en la nueva norma bajo los dos niveles de exigencia que ella contempla y se espera que en abril 2026 la Agencia Nacional de Ciberseguridad (ANCI) publique el listado preliminar de empresas logísticas calificadas en el nivel más alto. Desde 2025 la Asociación Logística de Chile (ALOG) ha estado dando seguimiento a esta importante normativa y entregando información a sus socios.
En preparación de su seminario informativo agendado para el 17 de abril (info en contacto@alog.cl ), que contará con participación de la Directora Nacional de la ANCI, analizamos a continuación continuación plazos y responsabilidades que deberán asumir las empresas del rubro. EL SECTOR LOGÍSTICO EN LA LEY La logística está considerada tanto de forma explícita como a través de criterios de criticidad. Primero, define como Servicios Esenciales a las actividades de transporte transporte terrestre, aéreo, ferroviario o marítimo, incluyendo la operación de su infraestructura respectiva. Asimismo, se incluyen sectores íntimamente ligados a la cadena de suministro, como el almacenamiento y distribución de combustibles, y los servicios postales y de mensajería. Además, la ANCI definió mediante resolución en 2025 que todos estos sectores serían incluidos en el segundo proceso de calificación de Operadores de Importancia Vital (01V), que se inició en noviembre del año pasado. En cualquiera de las dos categorías, las organizaciones están están obligadas a aplicar permanentemente medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Dependiendo del nivel, estas medidas podrán ser de naturaleza naturaleza tecnológica, organizacional, física o informativa: 1. SERVICIOS ESENCIALES (EL NIVEL MÁS BÁSICO): la primera obligación de estas empresas, vigente desde 2025, es inscribirse en el registro administrado por la ANCI.
Deben además reportar al CSIRT Nacional (Equipo de Respuesta ante Incidentes de Seguridad Informática) todo incidente que genere efectos significativos, cumpliendo cumpliendo con un cronograma estricto que exige una alerta temprana en máximo tres horas, una actualización de la información a las setenta y dos horas, y la entrega de un informe final detallado en un periodo de quince días corridos. En contrapartida, permite a las empresas recibir alertas y apoyo del CSIRT en el manejo de potenciales incidentes propios o de terceros. 2.
OPERADORES DE IMPORTANCIA VITAL (NIVEL MÁS EXIGENTE): deben implementar un sistema de gestión de seguridad de la información continuo, elaborar elaborar planes de continuidad operacional y ciberseguridad certificados, y realizar ejercicios, simulacros y análisis de redes de forma regular. Adicionalmente, deben designar un delegado de ciberseguridad que actúe como contraparte ante la ANCI y contar con programas de capacitación capacitación para sus trabajadores. LOGÍSTICA Y EL PROCESO DE CALIFICACIÓN DE OIVS La determinación de OIVs se realiza mediante listados específicos y nóminas individualizadas (nombre, RUT y domicilio) publicadas por la ANCI. Un primer listado definitivo, definitivo, cubriendo industrias tales como la banca, telecomunicaciones, telecomunicaciones, el sector eléctrico y algunas empresas relacionadas a la logística (por ejemplo tecnológicas y puertos estatales), fue publicado en diciembre de 2025. Este listado se generó como resultado del primer proceso de calificación de OlVs establecido en la Resolución N24 de la ANCI.
El segundo proceso se inició a fines de 2025 y se espera que durante el mes de abril de 2026 la Agencia emita una resolución con la nómina preliminar de empresas empresas logísticas calificadas como 01V. Una vez publicado dicho listado preliminar comienzan a regir plazos estrictos.
Primero, 30 días de consulta pública pública en que personas naturales y jurídicas pueden plantear observaciones respecto de las entidades incluidas en el listado inicial, en función de las definiciones y criterios contemplados en la ley. Segundo, 30 días para que la ANCI analice las observaciones recibidas y elabore un informe informe ejecutivo de la consulta. Finalmente, 30 días más para publicar la nómina definitiva de empresas calificadas como CIV.
Es importante notar que la ley no sólo apunta a asegurar continuidad operacional de los servicios y sectores productivos productivos que regula, sino que también busca resguardar otros principios como la seguridad de la información y la protección de datos.
Esto genera una conexión con otros marcos normativos como la Ley de Protección de Datos Personales (cuya vigencia vigencia se inicia en noviembre de 2026), aumentando la criticidad de que las empresas cumplan cabal y oportunamente oportunamente con la Ley Marco de Ciberseguridad dentro de sus políticas de compliance. Más info en: https://alog.cI/nueva-Iey-21-663ciberseguridad/.
