Ciberseguridad en el Sector Energético | Anguita Osorio Abogados

Marco normativo, desafíos OT/IT y cumplimiento en infraestructura crítica eléctrica en Chile

Ciberseguridad del Sector Energético: Gobernanza para Infraestructura Crítica

El sector eléctrico enfrenta la matriz de supervisión más compleja de Chile, con SEC, CNE, CEN y la nueva ANCI. Analizamos los desafíos estratégicos para proteger la infraestructura crítica (OT/IT) y asegurar el cumplimiento normativo en un entorno de múltiples fiscalizadores y riesgos sistémicos.

Explorar el Marco Legal General

El Marco Multi-Regulador del Sector Eléctrico

Las empresas del sector energético operan en un ecosistema regulatorio de alta complejidad. La Ley 21.663 se superpone a las facultades de los reguladores sectoriales, creando una matriz de supervisión con cuatro actores clave:

ReguladorÁmbito de FiscalizaciónFoco Principal
ANCICiberseguridad nacional y notificación de incidentes.Cumplimiento Ley 21.663.
SECSeguridad de instalaciones y continuidad del suministro.Calidad y seguridad del servicio.
CNEPolítica energética y normativa técnica sectorial.Diseño de normas técnicas.
CENCoordinación operativa del sistema y comunicaciones seguras.Estabilidad y seguridad operativa.

Un incidente en una central puede ser simultáneamente una falla de seguridad (SEC), una alteración operativa (CEN) y un incidente de ciberseguridad (ANCI), gatillando reportes y fiscalizaciones por múltiples vías.

Infraestructura Crítica por Definición Legal

El sector eléctrico es clasificado como **Servicio Esencial**. Se presume que las grandes generadoras, transmisoras troncales y principales distribuidoras serán calificadas como **Operadores de Importancia Vital (OIV)** bajo el proceso iniciado por Resolución ANCI N° 024/2025, sometiéndolas a las más altas exigencias de la Ley 21.663.

**Estado actual:** El primer proceso de calificación OIV se encuentra en curso con plazos de 90 días para su resolución.

El Desafío Estratégico de la Convergencia OT/IT

La digitalización ha disuelto la barrera entre las **Tecnologías de la Información (IT)** y las **Tecnologías de la Operación (OT)**, que controlan los procesos físicos (SCADA, ICS). Esta convergencia es un punto central de riesgo y escrutinio regulatorio.

Vectores de Riesgo en Infraestructura Crítica:

  • **Propagación de amenazas IT a OT:** Un ataque en la red corporativa puede impactar sistemas de control, con potencial de causar daños físicos e interrupciones masivas.
  • **Ataques a la cadena de suministro OT:** Compromiso de proveedores de equipos industriales (PLC, RTU).
  • **Explotación de protocolos industriales:** Vulnerabilidades en protocolos como Modbus, DNP3 o IEC 61850.

La regulación exige una visión integrada de la seguridad. La falta de segmentación adecuada entre IT y OT es considerada una deficiencia grave que puede configurar responsabilidad corporativa.

Alineación con Estándares Internacionales: NERC-CIP

Los estándares **NERC-CIP** son el referente mundial para la ciberseguridad eléctrica. El CEN ya exige su cumplimiento. La Ley 21.663 y las futuras normas técnicas se alinearán con sus principios.

Las empresas deben integrar estos controles técnicos en un marco de **gobernanza corporativa**. El cumplimiento de NERC-CIP se convierte en la evidencia técnica para demostrar la debida diligencia ante la ANCI y la SEC.

Obligaciones Críticas y el Desafío del Doble Reporte

La principal complejidad operativa para el sector es la gestión de la notificación de incidentes a múltiples autoridades con diferentes focos y plazos:

  • **0-3 horas (ANCI):** Notificación al CSIRT Nacional por incidente de ciberseguridad.
  • **Inmediato / Variable (CEN):** Reporte al CSIRT Eléctrico por indisponibilidad operativa.
  • **Variable (SEC):** Informe si afecta la continuidad o seguridad del suministro.

La gestión descoordinada de estos reportes aumenta el riesgo de inconsistencias y exposición legal.

Líneas de Acción Estratégica para el Sector Energético

Para gestionar este escenario, las empresas del sector deben enfocarse en las siguientes áreas de análisis:

Diseño de un Marco Regulatorio Integrado

La creación de un framework de cumplimiento que unifique las obligaciones ante la SEC, CNE, CEN y ANCI para responder a todos los reguladores de manera coherente y eficiente.

Análisis de la Gobernanza de Riesgos en Entornos OT/IT

La revisión de las responsabilidades del Directorio en la supervisión de los riesgos de la convergencia OT/IT, alineando la gestión técnica con la estrategia de cumplimiento legal.

Estrategias para la Gestión de Crisis Multi-Agencia

El desarrollo de protocolos de gestión de incidentes que coordinen los flujos de comunicación hacia todos los reguladores involucrados.

Descarga el Informe de Ciberseguridad en Sector Energía

Completa el formulario y suscríbete a nuestro newsletter para acceder al informe detallado

Al suscribirte, aceptas recibir correos electrónicos informativos. Puedes darte de baja en cualquier momento.

Transforme sus Desafíos Legales en Ventajas Competitivas

Descubra cómo nuestro enfoque innovador puede impulsar su negocio

Agendar ConsultaConocer al Equipo
© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Nuestra Empresa

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.