Nueva Norma Técnica de Ciberseguridad en el Sector Energético (2024): Protegiendo la Infraestructura Crítica

Introducción: La transformación digital y las crecientes amenazas cibernéticas han llevado a Chile a fortalecer la seguridad de sus infraestructuras críticas de energía. En 2024 entró en vigencia una nueva Norma Técnica de Ciberseguridad y Seguridad de la Información para el sector energético, complementando el marco legal recientemente establecido en esta materia. En este artículo de tono técnico-profesional, orientado a empresas eléctricas, gestores de energía, consultores y profesionales del sector energético chileno, exploramos las características de esta nueva normativa, sus exigencias clave y cómo las organizaciones del rubro deben prepararse para cumplirla.

Contexto: Ley Marco de Ciberseguridad y Normativa Sectorial

El impulso normativo en ciberseguridad durante 2024 tiene dos pilares. Por un lado, en abril de 2024 se promulgó la Ley N°21.663, Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, que establece un marco regulatorio general para gestionar la ciberseguridad en Chilesek.io. Esta ley reconoce la importancia de proteger servicios esenciales – incluyendo la generación, transmisión y distribución eléctrica – frente a ciberamenazas, creando la Agencia Nacional de Ciberseguridad (ANCI) y definiendo principios de prevención, respuesta y resilienciaprotecciondedatos.carey.clprotecciondedatos.carey.cl.

Paralelamente, el organismo regulador del sector energía (CNE) avanzó con una Norma Técnica sectorial de Seguridad de la Información y Ciberseguridad específica para el ámbito eléctricoprotecciondedatos.carey.cl. Esta norma técnica, cuyo proceso de elaboración se inició en años anteriores, fue sometida a consulta pública a fines de 2023es.linkedin.com y finalmente adoptada en 2024, alineada con las directrices de la nueva Ley Marco.

El resultado es un conjunto de obligaciones concretas de ciberseguridad para las empresas eléctricas, que complementa las disposiciones generales de la ley. A continuación, revisamos los ejes centrales de la Norma Técnica de Ciberseguridad en el sector energético y lo que implican para la industria.

Ejes de la Nueva Norma Técnica de Ciberseguridad Energética

La Norma Técnica está estructurada en siete capítulos que cubren todos los aspectos críticos de la seguridad de la información en el sector eléctricoes.linkedin.com. Sus puntos destacados incluyen:

• Sistema de Gestión de Seguridad de la Información (SGSI) obligatorio: Históricamente solo las empresas distribuidoras debían contar con un SGSI; ahora la exigencia se **extiende a todas las empresas del sector eléctrico (generadoras, transmisoras, distribuidoras, Coordinador Eléctrico Nacional)es.linkedin.com. Esto implica que cada organización debe implementar un conjunto de políticas, procedimientos y controles al estilo de la norma ISO 27001, para asegurar la confidencialidad, integridad y disponibilidad de su información.
• Ciberseguridad industrial (OT): Las empresas eléctricas deberán adoptar estándares específicos para proteger sus sistemas de control industrial y operación en tiempo real. En particular, la norma técnica exige la implementación de estándares inspirados en NERC-CIP (Critical Infrastructure Protection de Norteamérica)es.linkedin.com, adaptados al Sistema Eléctrico Nacional de Chile. Esto abarca controles sobre acceso a subestaciones, comunicaciones SCADA seguras, segmentación de redes de operación, etc., con el fin de blindar las infraestructuras físicas ante ataques cibernéticos.
• Gestión de riesgos unificada: Se establece un enfoque común de gestión de riesgos de ciberseguridad en el sector. Las empresas deben identificar y caracterizar sus activos de información críticos, evaluar vulnerabilidades y amenazas, y definir medidas de tratamiento del riesgo acordes al nivel de criticidad de cada activoes.linkedin.com. Esto promueve una cultura de análisis de riesgo homogénea en toda la industria, facilitando comparaciones y mejores prácticas.
• Comunicación obligatoria de incidentes: Uno de los capítulos de la norma define exigencias claras para la comunicación de incidentes de seguridad. Las empresas eléctricas deberán notificar eventos de ciberseguridad relevantes a un CSIRT sectorial (Centro de Respuesta a Incidentes de Seguridad) que operará bajo responsabilidad del Coordinador Eléctrico Nacionales.linkedin.com. Este CSIRT sectorial será el punto focal que coordine la respuesta sectorial y a su vez informará al CSIRT Nacional de Gobierno y a otras autoridades competenteses.linkedin.com. La notificación temprana y coordinación son obligatorias para contener eficazmente incidentes y evitar su escalamiento.
• Capacidades y gobierno de ciberseguridad: La norma refuerza la necesidad de capacitación continua del personal en temas de seguridad, la designación de responsables de ciberseguridad en cada organización (por ejemplo, un CISO o encargado de seguridad) y la colaboración con la autoridad sectorial. De hecho, acorde a la Ley Marco, cada empresa deberá designar un Delegado de Ciberseguridad como contraparte ante la ANCIsek.io, y mantener programas de formación para sus trabajadores en esta materiasek.io.

Además de lo anterior, se prevén multas y sanciones significativas por incumplimiento. La Ley Marco establece penalizaciones proporcionales en caso de no implementar las medidas de seguridad requeridas o no reportar incidentes, incluyendo multas que pueden escalar según la gravedad del riesgo no mitigado. Esto aumenta la presión sobre las empresas para alinearse rápidamente con las nuevas obligaciones.

Implicancias para las Empresas del Sector Energético

Para las empresas eléctricas chilenas, la entrada en vigencia de esta normativa representa un cambio de paradigma en la gestión de riesgos operativos. Algunas implicancias prácticas son:

• Inversiones en seguridad tecnológica: Las compañías deberán evaluar sus brechas frente a los estándares exigidos (ej.: cumplimiento NERC-CIP, ISO 27001) y realizar inversiones en tecnologías de ciberseguridad. Esto incluye sistemas de monitoreo de redes (IDS/IPS), autenticación robusta, control de accesos físicos y lógicos, respaldo y recuperación ante desastres, entre otros. Presupuestar adecuadamente estos proyectos será crítico para el cumplimiento.
• Reforzamiento de equipos y gobierno de TI/OT: Es probable que se requiera ampliar los equipos de seguridad informática o contratar especialistas externos. La ciberseguridad ya no es solo asunto del área de TI corporativa, sino también del área de operaciones eléctricas (OT). Será necesario coordinar ambas esferas, quizás creando comités internos que involucren a operaciones, TI y cumplimiento regulatorio para asegurar un enfoque integral.
• Actualización de procedimientos y contratos: La nueva norma obliga a revisar y actualizar políticas internas de seguridad de la información, protocolos de respuesta a incidentes y planes de continuidad de negocio. Asimismo, las empresas deberán revisar contratos con proveedores y terceros que tengan acceso a sus sistemas, exigiendo cláusulas de seguridad alineadas con la normativa (por ejemplo, para contratistas de mantención de subestaciones que acceden a sistemas de control).
• Reportes y auditorías frecuentes: Se espera que la SEC y la CNE, apoyados por el CSIRT sectorial, auditen periódicamente el cumplimiento de estas medidas. Las empresas deberán preparar evidencias de sus controles de seguridad, pruebas de penetración, ejercicios de respuesta a incidentes, etc. Adicionalmente, la Ley 21.663 exige reportar incidentes significativos a la ANCI en plazos brevessek.io, por lo que conviene establecer equipos de guardia 24/7 y protocolos de escalamiento claros para cumplir con la obligación de notificación.

En resumen, la ciberseguridad pasa a ser un componente indisociable de la continuidad operacional en el sector energía. Un ataque cibernético exitoso podría derivar en apagones o interrupciones del suministro, con gran impacto país. Por ello, estas regulaciones pretenden fomentar una cultura preventiva, donde las empresas anticipen las amenazas y actúen coordinadamente ante cualquier incidente.

Conclusión: Hacia una Infraestructura Energética Resiliente

Chile ha dado un paso decisivo en 2024 para proteger su infraestructura energética frente a ciberataques, combinando un robusto marco legal con una norma técnica detallada para el sector eléctrico. Ahora corresponde a las empresas internalizar estas exigencias y tomar acción rápida para fortalecer sus defensas.

Para generadoras, transmisoras, distribuidoras y otros actores eléctricos, el cumplimiento de la norma de ciberseguridad no solo evita sanciones, sino que resguarda su negocio en un contexto de crecientes riesgos digitales. La colaboración sectorial a través del CSIRT eléctrico y el intercambio de mejores prácticas serán fundamentales para elevar el estándar de seguridad en toda la cadena de suministro eléctrico.

¿Necesitas ayuda para cumplir con la nueva normativa de ciberseguridad? Blackbox Energy ofrece servicios especializados en gestión integral de ciberseguridad para el sector energético. Asistimos a tu organización en la implementación de sistemas de seguridad de la información, evaluaciones de riesgo, capacitación de personal y preparación de protocolos de respuesta a incidentes, asegurando el alineamiento con la norma técnica y la ley vigente. Contáctanos a través de nuestro sitio web (www.blackboxenergy.net) para obtener asesoría personalizada. Juntos podemos robustecer la resiliencia de tu empresa frente a las amenazas cibernéticas y garantizar la continuidad y confiabilidad de tus operaciones energéticas.