INSTRUCCIÓN GENERAL N° 3
IMPARTE INSTRUCCIONES SOBRE LA DESIGNACIÓN DEL DELEGADO DE CIBERSEGURIDAD, CONFORME AL LITERAL I) DEL ARTÍCULO 8° DE LA LEY N° 21.663
A: INSTITUCIONES CALIFICADAS COMO OPERADORES DE IMPORTANCIA VITAL SEGÚN LO ESTABLECIDO EN EL ARTÍCULO 6° DE LA LEY N° 21.663.
FECHA: 22 DE DICIEMBRE DE 2025
Visto:
Lo dispuesto en la ley N° 21.663, Marco de Ciberseguridad.
Considerando:
1. Que, conforme a lo dispuesto en el artículo 8° de la ley N° 21.663, marco de ciberseguridad (en adelante, "la ley"), todas las instituciones públicas y privadas calificadas como operadores de importancia vital deben cumplir un conjunto de obligaciones técnicas y organizativas de ciberseguridad para garantizar la continuidad operacional de los servicios cuya afectación pueda comprometer la seguridad, el orden público o el bienestar de la población.
2. Que, el literal i) del artículo 8° de la ley establece que los Operadores de Importancia Vital deberán designar un delegado de ciberseguridad, quien actuará como contraparte de la Agencia Nacional de Ciberseguridad (en adelante, indistintamente "Agencia" o "ANCI") e informará a la autoridad o jefatura superior del órgano o servicio de la Administración del Estado o a los directores, gerentes, administradores o ejecutivos principales, según lo definan las instituciones privadas.
3. Que, el adecuado cumplimiento de esta obligación requiere especificar los mecanismos de designación, los criterios aplicables según el tipo de entidad obligada y las funciones mínimas que el delegado deberá ejercer frente a su institución y ante la Agencia.
4. Que, conforme a lo dispuesto en el literal b) del artículo 11° de la ley, para dar cumplimiento a su objeto, la Agencia tiene la atribución de dictar instrucciones generales y particulares, de carácter obligatorio, para las instituciones, tanto públicas como privadas obligadas por dicha ley, y las demás disposiciones necesarias para la aplicación y el cumplimiento de esta y sus reglamentos.
5. Que, en mérito de lo anterior, se dicta la siguiente instrucción de carácter general:
Artículo primero. Sujetos obligados a designar delegado de ciberseguridad.
Todas las instituciones que sean calificadas como Operadores de Importancia Vital mediante resolución de la Agencia en virtud del procedimiento de calificación contemplado en el artículo 6° de la ley, con independencia de su naturaleza jurídica, deberán designar un delegado de ciberseguridad (en adelante, "delegado").
Artículo segundo. Requisitos y perfil del delegado de ciberseguridad.
El delegado deberá:
a) Contar con formación, certificación o experiencia especializada, en el nivel técnico o profesional, en materia de ciberseguridad, gestión de riesgos tecnológicos, continuidad operacional o disciplinas afines.
b) Contar con canal de comunicación y reporte directo a la máxima autoridad institucional señalada en el literal i) del artículo 8° de la ley.
c) Contar con independencia funcional suficiente para comunicar riesgos, incidentes y brechas de cumplimiento a la autoridad interna, sin interferencias de áreas operativas de la institución que pudiesen comprometer la objetividad de dichas comunicaciones.
d) Contar con la habilitación para representar a la institución ante la Agencia.
La institución podrá designar delegados subrogantes, los que deberán cumplir los mismos requisitos señalados previamente.
Artículo tercero. Independencia funcional respecto de las áreas de tecnologías de información.
El cargo de delegado de ciberseguridad no podrá ser desempeñado por la misma persona que ejerza funciones de encargado, jefe, director o responsable del área de tecnologías de la información (TI) y solo podrá depender jerárquicamente de esta última cuando existan mecanismos que aseguren la independencia en el ejercicio de sus funciones y que cuente con canal de comunicación y reporte directo a la autoridad o jefatura señalada en el literal i) del artículo 8° de la ley.
El Operador de Importancia Vital deberá asegurar que el delegado:
a) Pueda informar directamente a la autoridad superior cuando lo estime necesario, especialmente respecto de riesgos, amenazas, vulnerabilidades, incidentes de ciberseguridad o eventuales incumplimientos.
b) Pueda ejercer sus funciones con autonomía suficiente y sin subordinación técnica a las áreas operativas que implementan las medidas de ciberseguridad.
c) Cuente con las facultades, recursos y condiciones para el adecuado cumplimiento de las obligaciones contempladas en la ley, en los reglamentos y en la presente instrucción general.
Artículo cuarto. Forma de designación según tipo de institución.
1. Organismos de la Administración del Estado.
La designación deberá ser realizada por la jefatura superior del servicio.
2. Empresas del Estado, empresas públicas creadas por ley o sociedades en que el Estado tenga participación accionaria superior al 50% o mayoría en el directorio.
La designación deberá realizarse mediante acuerdo del directorio o decisión del gerente general, según los estatutos de la entidad.
3. Grupos empresariales y personas relacionadas.
Los grupos empresariales y las personas relacionadas con una sociedad podrán designar una o más personas como delegados para una o más de las entidades del grupo empresarial o personas relacionadas.
Para efectos de la presente instrucción, se entenderá por grupo empresarial y por persona relacionada lo definido en la ley N° 18.045, sobre Mercado de Valores. 4. Cooperativas y asociaciones gremiales. Las cooperativas y las asociaciones gremiales podrán designar una o más personas como delegado para las distintas entidades que la conforman. Para efectos de lo anterior, la designación deberá realizarse conforme a lo establecido en sus estatutos y deberá constar de manera fehaciente la designación individual del delegado de ciberseguridad por cada una de las entidades que conforman la respectiva cooperativa o asociación gremial y que participen de la decisión, en la forma prescrita en el artículo quinto siguiente.
5. Otras instituciones privadas no contempladas previamente.
La designación deberá ser efectuada por el representante legal, directorio, junta de accionistas o gerente general, conforme a las disposiciones sobre administración previstas en sus estatutos.
Artículo quinto. Requisitos del documento de designación.
La designación del delegado de ciberseguridad y del delegado subrogante, deberá constar en un documento formal suscrito por la autoridad competente para efectuar dicha designación, de conformidad con lo dispuesto en el artículo cuarto de la presente instrucción.
Dicho documento deberá contener, a lo menos, la siguiente información:
a) Identificación completa del delegado y del delegado subrogante, indicando nombre completo, número de cédula de identidad o RUT, domicilio, correo electrónico institucional y número de teléfono de contacto;
b) Individualización del vínculo jurídico que habilita al delegado y a su subrogante para ejercer dicha función, indicando expresamente su designación como delegado de ciberseguridad. Este vínculo podrá acreditarse mediante contrato de trabajo, contrato de prestación de servicios, acto administrativo, acuerdo de directorio u otro documento equivalente en que conste la relación contractual o estatutaria correspondiente;
c) En el caso de los organismos de la Administración del Estado, deberá señalarse además la calidad funcionaria del delegado y del subrogante, así como su dependencia jerárquica dentro del organigrama institucional;
d) En el caso de instituciones privadas, deberá indicarse la posición o función que el delegado y el subrogante desempeñan dentro de la estructura organizacional de la entidad.
El documento de designación deberá dejar constancia expresa de que el delegado cuenta con la habilitación para representar a la institución ante la Agencia Nacional de Ciberseguridad, en los términos establecidos en la ley y en la presente instrucción general.
Artículo sexto. Acreditación de la designación.
El operador de importancia vital deberá remitir a la Agencia, a través de la plataforma disponible en la URL https://portal.anci.gob.cl, o por el medio alternativo que la Agencia determine, dentro del plazo establecido en el artículo noveno de la presente instrucción, el documento formal de designación del delegado y subrogantes. Dicho documento deberá contar con la dirección de correo electrónico institucional del delegado y del subrogante, el que será el medio oficial de comunicación con la Agencia.
Si la información remitida fuese insuficiente o no permitiera acreditar la designación, la Agencia notificará al operador de importancia vital para que la subsane en un plazo de cinco días hábiles, bajo apercibimiento de tener por no cumplida la obligación.
Artículo séptimo. Actualización del delegado de ciberseguridad.
En caso de cese de funciones, renuncia, cambio de dependencia o cualquier circunstancia que afecte las atribuciones del delegado designado o su subrogante, el operador de importancia vital deberá informar a la Agencia dentro de un plazo máximo de cinco días hábiles acerca de la designación y acreditación de un nuevo delegado conforme a esta instrucción, actualizando los registros en la plataforma correspondiente.
Mientras la institución no informe o no registre el nuevo nombramiento ante la Agencia, se tendrán por plenamente válidas todas las notificaciones, comunicaciones, requerimientos o instrucciones efectuadas por la Agencia a los datos de contacto del delegado previamente registrado, entendiéndose de esta manera, cumplida la obligación de notificar por parte de la ANCI.
Artículo octavo. Relación con la Instrucción General N° 1.
La obligación de designar un delegado de ciberseguridad establecida en la presente instrucción general es complementaria y no sustitutiva de la obligación de designar un encargado/a de reportar incidentes prevista en la Instrucción General N° 1.
Los operadores de importancia vital deberán contar con ambas designaciones, las cuales podrán recaer en una misma persona, siempre que cumpla con el perfil requerido para el delegado de ciberseguridad.
En cuanto a los aspectos relativos al procedimiento de inscripción, acreditación de la designación y actualización de datos de contacto, y en todo lo que sea aplicable, se estará a lo dispuesto en la Instrucción General N° 1 de 2025, de la Agencia Nacional de Ciberseguridad, sin perjuicio de las obligaciones adicionales contempladas en la presente instrucción.
DISPOSICIONES FINALES
Artículo noveno. Vigencia.
Las instituciones obligadas dispondrán de un plazo de sesenta días corridos, contado desde la publicación en el Diario Oficial de la nómina final de calificación de operadores de importancia vital mediante la cual hayan sido calificadas como tales, para dar cumplimiento a las obligaciones establecidas en esta instrucción.
Anótese y publíquese.- Daniel Álvarez Valenzuela, Director Nacional, Agencia Nacional de Ciberseguridad.