La Agencia Nacional de Ciberseguridad (ANCI) formalizó nuevas obligaciones mediante una serie de instrucciones generales publicadas en el Diario Oficial, dirigidas a las instituciones calificadas como Operadores de Importancia Vital. Estas normativas legales, dictadas bajo el marco de la Ley Nº 21.663, exigen la implementación inmediata de protocolos para contener incidentes informáticos, garantizando que los servicios críticos para la población cuenten con una respuesta técnica y administrativa ante amenazas digitales.
Es así como la Agencia Nacional de Ciberseguridad, detalló que “los Operadores de Importancia Vital deberán adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad, incluida la restricción de uso o el acceso a sistemas informáticos, si fuera necesario”.
Entre las medidas operativas, la Instrucción General Nº 4 obliga a que, ante un ataque, las entidades apliquen un aislamiento inmediato de sus sistemas afectados. Esto implica restringir accesos a redes y servicios comprometidos, cerrar cuentas bajo riesgo y suspender conexiones remotas de forma preventiva para evitar que un hackeo se propague por la infraestructura tecnológica de la institución.
Además, la agencia indica que “todas las instituciones que sean calificadas como Operadores de Importancia Vital mediante resolución de la Agencia (…) deberán designar un delegado de ciberseguridad”.
Por su parte, la Instrucción General Nº 3 exige el nombramiento de este delegado de Ciberseguridad, quien será el nexo oficial con la ANCI. Este profesional tendrá la responsabilidad de informar a la alta gerencia o directores sobre los riesgos detectados, asegurando que exista una autoridad responsable ante crisis digitales que puedan comprometer el orden público o el bienestar ciudadano.
Otro de los puntos que destaca la ANCI, “autorízase, de manera excepcional, la inscripción de encargados/as de ciberseguridad que no puedan acceder a clave única, a través de otros medios de autenticación que la Agencia pondrá directamente a disposición de los usuarios/as”.
Finalmente, la Instrucción General Nº 2 simplifica el proceso de notificación al permitir que los encargados de seguridad se inscriban en la plataforma de reportes incluso sin Clave Única. La medida busca eliminar barreras burocráticas para que el CSIRT Nacional reciba alertas tempranas sobre ciberataques significativos, siempre que se valide fehacientemente el vínculo del profesional con la empresa o servicio esencial.
