ES
Chile dio un paso histórico en materia de ciberseguridad con la promulgación de la Ley Marco de Ciberseguridad (Ley 21.663), publicada el 8 de abril de 2024 y vigente desde el 1 de enero de 2025. Esta normativa crea por primera vez un marco legal unificado que obliga a empresas públicas y privadas a proteger sus sistemas de información, establece una autoridad nacional especializada y fija estándares mínimos exigibles a nivel país.
¿Qué es exactamente la Ley Marco de Ciberseguridad?
La Ley 21.663 es la principal norma de ciberseguridad en Chile. Su objetivo central es elevar el nivel de resiliencia digital del país mediante tres ejes: institucionalidad, estándares mínimos y obligaciones concretas de reporte ante incidentes.
Para cumplir con ese propósito, la ley crea la Agencia Nacional de Ciberseguridad (ANCI), que actúa como autoridad técnica y rectora en la materia. La ANCI tiene facultades para dictar normas, fiscalizar, calificar a los Operadores de Importancia Vital (OIV) y aplicar sanciones de hasta 40.000 UTM para OIV y 10.000 UTM para prestadores de servicios esenciales.
Los tres pilares de la ley
Institucionalidad: La creación de la ANCI unifica bajo un solo organismo la rectoría técnica del país en ciberseguridad. Antes de esta ley, las responsabilidades estaban fragmentadas entre distintos ministerios y organismos sin coordinación formal.
Estándares mínimos: La norma define un piso obligatorio de medidas de prevención, detección, respuesta y continuidad operacional. Estos estándares toman como referencia marcos internacionales reconocidos, como el NIST CSF 2.0 e ISO 27001, y exigen controles concretos: autenticación multifactor, gestión de parches, hardening de sistemas, backups verificados y retención de registros (logs).
Obligaciones de reporte: Cuando ocurre un incidente de ciberseguridad, ya no basta con gestionarlo internamente. La ley establece plazos estrictos para reportar al CSIRT Nacional: una alerta inicial dentro de las 3 horas, un reporte intermedio a las 72 horas y un informe final a los 15 días. Los OIV deben además presentar un plan de acción correctivo dentro de los 7 días. Cumplir estos plazos requiere preparación previa: procedimientos de clasificación, responsables de turno identificados, plantillas de reporte listas y acceso al canal oficial del CSIRT.
¿A quién aplica la Ley Marco?
La ley alcanza a tres categorías de organizaciones:
Los prestadores de servicios esenciales (PSE), tanto públicos como privados, definidos por la autoridad. Quedan incluidos sectores como energía, agua, telecomunicaciones, salud, transporte, banca y servicios financieros, entre otros.
Los Operadores de Importancia Vital (OIV), que son entidades dentro de los servicios esenciales cuyo funcionamiento es crítico para la vida, la salud, la economía o la seguridad nacional. La ANCI califica quiénes son OIV y les aplica obligaciones adicionales.
Los órganos de la Administración del Estado, bajo disposiciones generales que los someten a los mismos estándares de prevención y reporte.
Fechas clave que toda organización debe conocer
La ley entró en vigor de manera general el 1 de enero de 2025. Sin embargo, tres obligaciones específicas se activaron a partir del 1 de marzo de 2025: la obligación de reportar incidentes al CSIRT, el proceso de calificación formal de OIV y el régimen sancionatorio con multas.
Adicionalmente, la Ley de Protección de Datos Personales (Ley 21.719) entra en vigor el 1 de diciembre de 2026. A partir de esa fecha se exigirá haber designado un responsable de datos, realizado evaluaciones de impacto y reforzado los protocolos de tratamiento de información personal. La convergencia de ambas normativas —ciberseguridad y protección de datos— genera un escenario donde las organizaciones deben abordar ambos frentes de manera integrada.
La relación con otras normativas internacionales
La Ley Marco no existe en un vacío. Chile se alinea con una tendencia global que incluye la Directiva NIS-2 de la Unión Europea, el GDPR en materia de datos y los marcos de resiliencia operacional del sector financiero. Esta convergencia regulatoria es especialmente relevante para empresas multinacionales o con operaciones en varios países: quienes ya cumplen NIS-2 o GDPR tienen una ventaja comparativa importante a la hora de implementar la norma chilena.
Por dónde empezar
El primer paso es entender si tu organización es un prestador de servicio esencial o podría ser calificada como OIV. A partir de esa determinación, corresponde realizar un análisis de brechas (GAP Analysis) contra los requisitos de la ley, designar un responsable de ciberseguridad y trazar un plan de implementación con hitos medibles.
La Ley Marco de Ciberseguridad representa una transformación profunda del ecosistema digital chileno. Las organizaciones que se adelanten a sus exigencias no solo evitarán sanciones: ganarán posiciones competitivas en un entorno donde la confianza digital es cada vez más un diferencial de negocio. En los artículos siguientes de este newsletter detallamos una guía paso a paso para abordar el cumplimiento y las fases que estructuran un programa de implementación efectivo.
¿Cómo puede Insside acompañarte en este proceso?
Insside cuenta con más de 18 años de experiencia en GRC y ciberseguridad, opera bajo marcos exigentes y una práctica consolidada en Chile. Para organizaciones que necesitan entender su posición frente a la Ley 21.663, Insside ofrece un GAP Analysis inicial que permite identificar brechas, priorizar acciones y construir un roadmap de cumplimiento realista. Si tu organización necesita determinar si es prestador de servicio esencial o si podría ser calificada como OIV, ese es el punto de partida.