Acuerdo CNO 1960: qué exige, qué vence en 2026 y cómo prepararse

por

Leonel Marín R.
en

El 3 de abril de 2025 el Consejo Nacional de Operación expidió el Acuerdo 1960, que reemplaza el Acuerdo 1502 de 2021 y establece la versión vigente de la Guía de Ciberseguridad para el sector eléctrico colombiano. Aplica a todos los agentes del Sistema Interconectado Nacional: generadores, transmisores, distribuidores y el operador del sistema.

Este post está escrito para el responsable de ciberseguridad, el gerente de operaciones o el director que tiene que entender qué le exige la norma, cuándo vence y qué evidencia debe tener lista.

El cambio de fondo: de cumplimiento normativo a gestión de riesgos

El Acuerdo 1502 establecía controles estandarizados para todos los agentes. El Acuerdo 1960 cambia el paradigma: cada agente debe adaptar sus controles a su propio perfil de riesgo. Esto no simplifica el cumplimiento, lo hace más exigente: ya no basta con marcar una lista de chequeo, hay que demostrar que los controles implementados responden a riesgos identificados y priorizados.

El CNO justifica este cambio en la creciente integración de sistemas OT con IT, la adopción de nube e IoT en entornos industriales y el incremento de ataques sofisticados a infraestructuras eléctricas —incluyendo los apagones en Ucrania de 2015, 2016, 2022 y 2024 producidos por ciberataques.

¿A quién aplica el Acuerdo 1960?

A todos los agentes del SIN registrados ante el ASIC:

  • Generadores (plantas mayores y menores, con requisitos diferenciados según criticidad de activos)
  • Transmisores nacionales y regionales
  • Distribuidores
  • Operador del Sistema Interconectado Nacional (XM)

Los agentes nuevos tienen un plazo de 12 meses desde su registro ante el ASIC para cumplir las obligaciones del Acuerdo.

Qué vence el 3 de abril de 2026 — las obligaciones con plazo de 12 meses

El Acuerdo fue expedido el 3 de abril de 2025. La mayoría de los requisitos documentales tienen plazo de 12 meses, lo que significa vencimiento el 3 de abril de 2026. A la fecha de publicación de este artículo, quedan menos de 6 meses.

Estas son las evidencias que deben estar listas:

Requisito Tipo de evidencia exigida Vencimiento
Responsable de ciberseguridad Actualización y notificación formal al CNO 6 meses (vencido oct. 2025)
Evaluación de riesgos del personal Documento de evaluación realizado al personal con acceso físico o lógico a ciberactivos críticos 3 abril 2026
Gestión de accesos Lista de personal con acceso físico no escoltado o acceso lógico a ciberactivos críticos + evidencia de revocaciones 3 abril 2026
Monitoreo de accesos Procedimiento documentado para monitoreo y registro de accesos lógicos a perímetros de seguridad físicos y lógicos 3 abril 2026
Línea base de equipos Documento de línea base para equipos de punto de acceso al perímetro de seguridad lógica 3 abril 2026
Control de dispositivos transitorios y medios extraíbles Procedimiento documentado + evidencias de control periódico 3 abril 2026
Gestión de parches Procedimiento de actualización e implementación de parches + evidencias de ciclos de parchado 3 abril 2026
Monitoreo de eventos Procedimiento de monitoreo documentado 3 abril 2026
Tratamiento de riesgos Evidencia del monitoreo y registro del plan de tratamiento de riesgos 3 abril 2026
Seguridad física Plan de seguridad física + evidencia de controles de protección de cableado y componentes de comunicación 3 abril 2026

Lo que vence a 24 meses (abril 2027): evidencia de revisión periódica del control implementado como sistema de control intermedio.

Lo que vence a 36 meses (abril 2028): certificación por parte de proveedores y contratistas sobre la evaluación de riesgos a su personal.

El Acuerdo 2088: reporte de incidentes cibernéticos

En el marco del Acuerdo 1960, el CNO expidió en noviembre de 2025 el Acuerdo 2088, que establece el procedimiento y formato obligatorio para el reporte de incidentes cibernéticos y la suscripción a la plataforma MISP de intercambio de inteligencia de amenazas.

Esto significa que no basta con detectar y contener un incidente: hay que reportarlo en el formato establecido por el CNO y tener operativo un CSIRT o capacidad equivalente de respuesta. Para la mayoría de los agentes medianos, esto implica un proceso y una herramienta que hoy no existen.

Dónde falla la mayoría de los agentes medianos

En la experiencia de Chrysalis trabajando con agentes del SIN, los gaps más frecuentes no están en la tecnología sino en la documentación y en la gobernanza:

  • No existe un inventario actualizado de ciberactivos críticos. Sin ese inventario, todo lo demás —perímetros, monitoreo, parches— no tiene base sobre qué aplicarse.
  • El responsable de ciberseguridad no tiene autoridad ni presupuesto formales. El Acuerdo exige notificar al CNO quién es ese responsable. En muchas empresas ese rol recae en el gerente de IT sin mandato específico.
  • Los procedimientos existen como intención, no como documento auditado. La evidencia que exige el CNO es documental: no basta con hacer las cosas, hay que tener el papel que lo demuestra.
  • El perímetro IT-OT no está definido. El Acuerdo 1960 no exige agentes en sistemas SCADA, pero sí exige controles en el perímetro entre la red corporativa y los sistemas de control. Ese límite no suele estar documentado.
  • No hay plan de respuesta a incidentes probado. El Acuerdo 2088 exige capacidad de reporte estructurado. Un plan que nunca se ha ejercitado no es evidencia de cumplimiento.

Qué significa “enfoque basado en riesgos” en la práctica

El cambio de paradigma del Acuerdo 1960 tiene una implicación concreta: el auditor no va a verificar si implementaste el control X. Va a preguntar cómo identificaste tus riesgos, qué controles decidiste implementar en función de esos riesgos y qué evidencia tienes de que esos controles funcionan.

Esto exige tener documentado:

  • Metodología de evaluación de riesgos (no tiene que ser ISO 27005, pero debe ser reproducible)
  • Inventario de ciberactivos críticos con criterios de clasificación (el Acuerdo incluye un Anexo 2 con criterios específicos)
  • Matriz de riesgos con controles asociados y estado de implementación
  • Evidencia de revisión periódica del plan de tratamiento

El seguimiento semestral del Comité de Ciberseguridad

El Acuerdo establece que el Comité de Ciberseguridad del CNO realizará un informe de seguimiento semestral con base en una encuesta enviada a los agentes. Esto no es una auditoría externa formal, pero sí es un mecanismo de visibilidad.

La primera encuesta de seguimiento bajo el Acuerdo 1960 corresponde al primer semestre de 2026. Para ese momento, los agentes deben poder reportar avances reales en los requisitos de 12 meses.

¿Cómo está su empresa frente al Acuerdo 1960?

Chrysalis realiza diagnósticos de brechas CNO 1960 para agentes del SIN. El diagnóstico produce un mapa de estado actual vs. requisitos del Acuerdo, identificando qué evidencias existen, cuáles faltan y qué acciones son prioritarias antes del 3 de abril de 2026.

Si su empresa tiene la obligación y no tiene claridad sobre dónde está parada, ese es el punto de partida correcto.

Para consultar el texto oficial del Acuerdo 1960 directamente en el CNO, puede acceder aquí: Acuerdo 1960 — Consejo Nacional de Operación.

Conozca nuestro servicio de cumplimiento CNO 1960 o escríbanos directamente a comercial@chrysalis.com.co.

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *