Ciberseguridad en el Sector Energético | Anguita Osorio Abogados
Marco normativo, desafíos OT/IT y cumplimiento en infraestructura crítica eléctrica en Chile
Ciberseguridad del Sector Energético: Gobernanza para Infraestructura Crítica
El sector eléctrico enfrenta la matriz de supervisión más compleja de Chile, con SEC, CNE, CEN y la nueva ANCI. Analizamos los desafíos estratégicos para proteger la infraestructura crítica (OT/IT) y asegurar el cumplimiento normativo en un entorno de múltiples fiscalizadores y riesgos sistémicos.
Explorar el Marco Legal GeneralEl Marco Multi-Regulador del Sector Eléctrico
Las empresas del sector energético operan en un ecosistema regulatorio de alta complejidad. La Ley 21.663 se superpone a las facultades de los reguladores sectoriales, creando una matriz de supervisión con cuatro actores clave:
| Regulador | Ámbito de Fiscalización | Foco Principal |
|---|---|---|
| ANCI | Ciberseguridad nacional y notificación de incidentes. | Cumplimiento Ley 21.663. |
| SEC | Seguridad de instalaciones y continuidad del suministro. | Calidad y seguridad del servicio. |
| CNE | Política energética y normativa técnica sectorial. | Diseño de normas técnicas. |
| CEN | Coordinación operativa del sistema y comunicaciones seguras. | Estabilidad y seguridad operativa. |
Un incidente en una central puede ser simultáneamente una falla de seguridad (SEC), una alteración operativa (CEN) y un incidente de ciberseguridad (ANCI), gatillando reportes y fiscalizaciones por múltiples vías.
Infraestructura Crítica por Definición Legal
El sector eléctrico es clasificado como **Servicio Esencial**. Se presume que las grandes generadoras, transmisoras troncales y principales distribuidoras serán calificadas como **Operadores de Importancia Vital (OIV)** bajo el proceso iniciado por Resolución ANCI N° 024/2025, sometiéndolas a las más altas exigencias de la Ley 21.663.
**Estado actual:** El primer proceso de calificación OIV se encuentra en curso con plazos de 90 días para su resolución.
El Desafío Estratégico de la Convergencia OT/IT
La digitalización ha disuelto la barrera entre las **Tecnologías de la Información (IT)** y las **Tecnologías de la Operación (OT)**, que controlan los procesos físicos (SCADA, ICS). Esta convergencia es un punto central de riesgo y escrutinio regulatorio.
Vectores de Riesgo en Infraestructura Crítica:
- **Propagación de amenazas IT a OT:** Un ataque en la red corporativa puede impactar sistemas de control, con potencial de causar daños físicos e interrupciones masivas.
- **Ataques a la cadena de suministro OT:** Compromiso de proveedores de equipos industriales (PLC, RTU).
- **Explotación de protocolos industriales:** Vulnerabilidades en protocolos como Modbus, DNP3 o IEC 61850.
La regulación exige una visión integrada de la seguridad. La falta de segmentación adecuada entre IT y OT es considerada una deficiencia grave que puede configurar responsabilidad corporativa.
Alineación con Estándares Internacionales: NERC-CIP
Los estándares **NERC-CIP** son el referente mundial para la ciberseguridad eléctrica. El CEN ya exige su cumplimiento. La Ley 21.663 y las futuras normas técnicas se alinearán con sus principios.
Las empresas deben integrar estos controles técnicos en un marco de **gobernanza corporativa**. El cumplimiento de NERC-CIP se convierte en la evidencia técnica para demostrar la debida diligencia ante la ANCI y la SEC.
Obligaciones Críticas y el Desafío del Doble Reporte
La principal complejidad operativa para el sector es la gestión de la notificación de incidentes a múltiples autoridades con diferentes focos y plazos:
- **0-3 horas (ANCI):** Notificación al CSIRT Nacional por incidente de ciberseguridad.
- **Inmediato / Variable (CEN):** Reporte al CSIRT Eléctrico por indisponibilidad operativa.
- **Variable (SEC):** Informe si afecta la continuidad o seguridad del suministro.
La gestión descoordinada de estos reportes aumenta el riesgo de inconsistencias y exposición legal.
Líneas de Acción Estratégica para el Sector Energético
Para gestionar este escenario, las empresas del sector deben enfocarse en las siguientes áreas de análisis:
Diseño de un Marco Regulatorio Integrado
La creación de un framework de cumplimiento que unifique las obligaciones ante la SEC, CNE, CEN y ANCI para responder a todos los reguladores de manera coherente y eficiente.
Análisis de la Gobernanza de Riesgos en Entornos OT/IT
La revisión de las responsabilidades del Directorio en la supervisión de los riesgos de la convergencia OT/IT, alineando la gestión técnica con la estrategia de cumplimiento legal.
Estrategias para la Gestión de Crisis Multi-Agencia
El desarrollo de protocolos de gestión de incidentes que coordinen los flujos de comunicación hacia todos los reguladores involucrados.
Análisis Regulatorio: Convergencia en el Sector Eléctrico
Para acceder a nuestro informe sobre la matriz de supervisión, los desafíos de la convergencia OT/IT y la alineación con NERC-CIP, por favor ingrese su correo electrónico profesional.
Transforme sus Desafíos Legales en Ventajas Competitivas
Descubra cómo nuestro enfoque innovador puede impulsar su negocio
