¿Qué exige la Ley Marco de Ciberseguridad a los proveedores de servicios?

La nueva Ley Marco de Ciberseguridad exige cumplimiento a los operadores esenciales en las áreas de energía, telecomunicaciones, salud, banca, servicios públicos, entre otros, pero también aterriza con fuerza en todo el ecosistema que los soporta: proveedores tecnológicos, empresas de software, servicios cloud, hosting, plataformas SaaS, consultoras TI, MSP, outsourcing y cualquiera que toque su infraestructura o datos.

Esto significa que si prestas servicios a compañías críticas, la ley también te pide cumplir.

¿Por qué los proveedores entran en el radar regulatorio?

Porque la norma entiende algo básico: Si un proveedor forma parte de la infraestructura, los datos o las operaciones de un Operador de Importancia Vital (OIV) o una entidad crítica, automáticamente pasa a ser un eslabón dentro de una cadena digital esencial.

Y como en toda cadena, un eslabón débil basta para comprometer al resto. En simple: La seguridad del proveedor impacta directamente en la continuidad, disponibilidad y resiliencia del servicio final.

De hecho, cada vez más licitaciones, públicas y privadas, están exigiendo certificaciones, controles y evidencias de ciberseguridad para adjudicar contratos. Esto ya es el nuevo estándar para trabajar con OIV.

Entonces, ¿Qué deben cumplir los proveedores TI?

Si trabajas con clientes que son esenciales o críticos, te va a tocar cumplir con requisitos como:

• Políticas y controles de seguridad internos para proteger la confidencialidad, integridad y disponibilidad de sistemas y datos.
• Implementar un SGSI (Sistema de Gestión de Seguridad de la Información), idealmente alineado con ISO/IEC 27001.
• Designar un responsable de ciberseguridad (interno o externo, CISO virtual también sirve).
• Mantener evidencia: políticas, capacitaciones, controles, registros y procedimientos.
• Reportar incidentes al organismo competente cuando tu servicio sea parte de una cadena esencial.
• Actualizar tus contratos para incluir cláusulas de seguridad, confidencialidad y continuidad del servicio.

¿Qué significa esto para el negocio?

Ser ciberseguro ya no es un diferencial que te destaca de la competencia. Es hoy un requisito para competir, especialmente si trabajas con sectores regulados. Si eres proveedor en áreas como bases de datos, cloud, infraestructura, seguridad, desarrollo o servicios gestionados, este marco regulatorio te involucra y significará:

• Ordenar tu casa interna: procesos, documentación, políticas, auditorías.
• Formalizar tu práctica de ciberseguridad.
• Profesionalizar la respuesta a incidentes.
• Revisar contratos y condiciones con clientes.

Alinearte con estándares como ISO 27001 te convierte en un proveedor más confiable y competitivo. En un mercado donde todos prometen seguridad, poder demostrarla con anticipación te diferencia.

Recomendaciones para proveedores que ya trabajan con OIV

Toma esta regulación como un empujón estratégico:

1. Revisa contratos y licitaciones actuales: ¿Están exigiendo evidencia de cumplimiento? Probablemente sí.
2. Implementa o actualiza tu SGSI: procesos, políticas, controles, monitoreo, gestión documental.
3. Designa un responsable de ciberseguridad: interno o externo. Lo importante es que exista y tenga rol formal.
4. Prepárate para auditorías e incidentes: reportes, trazabilidad y evidencia ordenada.
5. Evalúa certificaciones como ISO 27001: van a ser cada vez más requeridas.

‍