智利监管机构就新网络安全法启动公众咨询

2025年9月16日，智利网络安全机构（ANCI）就其可能根据新颁布的《网络安全框架法》被归类为"重要运营商"的企业临时名单启动了公众咨询。该名单显示，近1700家活跃于各行业的企业可能符合OVI资格。

咨询将持续30天，为利益相关者和公众提供对OVI初步名单反馈的机会，这些企业最终可能受到LMC最严格的网络安全要求约束。此次公众咨询明确由LMC授权，旨在维护其新建立的指导原则之一——合理性原则，该原则要求ANCI考虑市场现实和网络安全风险暴露水平。

关键义务要求

被指定为OVI的企业需要：

• 实施稳健的信息安全管理系统，以识别可能影响网络、计算机系统和数据安全以及服务运营连续性的风险
• 维护为SGSI目的采取的所有行动的详细记录
• 制定和实施运营连续性和网络安全计划，必须由ANCI认证并至少每两年定期审查
• 及时采取有效措施减轻网络安全事件的影响和传播
• 根据ANCI制定的标准获得必要认证
• 在ANCI要求时，告知可能受影响的各方任何可能严重损害其信息或IT系统的事件或网络攻击
• 确保为员工实施培训、教育和持续网络安全学习计划
• 任命网络安全代表，作为与ANCI的联络人

事件通知要求

当事件被认为具有"重大影响"时，通知要求特别严格，要求范围内的企业向智利计算机安全事件响应团队提交：

• 在意识到事件发生后的3小时内进行初步通知
• 在最多72小时内（对于PSE）或24小时内（对于受影响基本服务的OVI）提供初步报告的更新
• 在初始通知后的15天内提交最终报告

法律背景与处罚

LMC于2024年4月通过，2025年3月全面适用。它引入了新的指导原则，包括"默认和设计中的安全和隐私原则"，要求智利企业确保在设计计算机系统、应用程序和IT解决方案的最早阶段就考虑安全和个人数据保护。

不遵守LMC各项法律义务可能会导致当地主管部门根据违规严重程度（分为轻微、严重或非常严重）处以经济处罚。