智利监管机构就新网络安全法启动公开咨询

2025年9月16日，智利网络安全机构（ANCI）就《网络安全框架法》下可能被归类为“关键重要性运营商”的临时企业名单启动了公开咨询。该名单显示，近1700家活跃于各行业的企业可能符合OVI资格。咨询将开放30天，为利益相关者和公众提供对初步OVI名单反馈的机会，这些企业最终可能需要遵守LMC最严格的网络安全要求。

此次公开咨询明确由LMC授权，旨在维护其新建立的指导原则之一——合理性原则，要求ANCI考虑市场现实和网络安全风险暴露水平。这需要与智利网络安全生态系统中的各利益相关者积极合作，包括在确定哪些企业和公共部门机构应被指定为OVI时。

30天期限结束后并收到其他智利监管机构的反馈后，当局将正式发布需要遵守“OVI”指定下网络安全义务的企业名单。不同意被ANCI指定为OVI的企业，在法律上享有向智利主管法院质疑此决定的权利。

LMC于2024年4月通过，2025年3月全面生效。它为在智利提供特别重要服务的企业引入了严格的网络安全义务。LMC对符合以下条件的实体施加特定网络安全要求：

• 在智利被视为“基本”服务的提供商，包括在关键行业运营的公司：电力、电信、数字基础设施、数字服务和IT、金融和支付系统、医疗保健和制药制造行业；以及
• OVI，包括同时满足以下要求的PSE：
  • 其基本服务的提供依赖于计算机网络和服务；且
  • 其服务的中断、拦截、中断或破坏对公共安全与秩序、基本服务的持续正常提供，或更广泛地对国家职能的有效履行产生重大影响。

PSE和OVI都需要实施和维护技术和组织措施——基于并与ANCI建立的协议和标准保持一致——以预防、报告和处理网络安全事件。当事件被认为具有“重大影响”时，通知要求尤为严格，要求法律范围内的公司向智利计算机安全事件响应团队提交：

• 在知悉事件发生后的三小时内提交事件初步通知；
• 在最多72小时内更新初步报告，提供事件的初步评估、严重性和影响以及受损指标；对于基本服务受影响的OVI，则在24小时内提交更新；以及
• 在初始通知后的十五天内提交最终报告，至少包括事件的详细描述、威胁类型或根本原因、已实施的缓解措施以及任何跨境影响的评估。

LMC还引入了新的指导原则，受其规定约束的公司必须始终遵守，包括设计和默认的安全与隐私原则，要求智利公司确保在设计计算机系统、应用程序和IT解决方案的最早阶段就考虑安全和个人数据保护。

被智利当局指定为OVI的公司还需要：

• 实施强大的信息安全管理体系，以识别可能影响网络、计算机系统和数据安全以及服务运营连续性的风险；
• 维护为SGSI目的采取的所有行动的详细记录；
• 制定并实施运营连续性和网络安全计划，这些计划必须由ANCI认证并定期审查，至少每两年一次；
• 采取及时有效的措施，以减轻网络安全事件的影响和传播；
• 根据ANCI建立的标准获得必要的认证；
• 当ANCI要求时，告知可能受影响的各方任何可能严重损害其信息或IT系统的事件或网络攻击——尤其是在涉及个人数据的情况下；
• 确保为员工实施培训、教育和持续网络安全学习计划；以及
• 指定一名网络安全代表，作为与ANCI的联络人。

未能遵守LMC的各种法律义务可能导致由当地主管行业当局处以经济处罚，具体取决于违规的严重程度——分为轻微、严重或非常严重。

在ANCI初步认定为OVI的实体等待最终确认期间，建议在智利运营的公司评估是否属于LMC的范围，并确定可能需要履行的网络安全义务。