ES
La Ley Marco ya está en vigor y su régimen sancionador opera desde marzo de 2025. Para los equipos responsables de ciberseguridad, compliance y dirección tecnológica, la pregunta ya no es si hay que cumplir, sino cómo hacerlo de forma eficiente y demostrable. Esta guía detalla los requisitos concretos y el orden lógico para abordarlos.
Paso 1: Determinar el alcance y tu categoría de obligado
Antes de cualquier acción técnica, es fundamental definir en qué categoría encaja tu organización según la Ley 21.663. ¿Eres prestador de servicio esencial? ¿La ANCI te ha calificado o podría calificarte como Operador de Importancia Vital? La respuesta condiciona el nivel de exigencia aplicable y los plazos de implantación.
Paso 2: Designar al responsable de ciberseguridad y estructurar la gobernanza
La ley exige nombrar a un delegado de ciberseguridad con responsabilidades formales. Este rol debe contar con el respaldo del consejo y capacidad para tomar decisiones o escalarlas con agilidad. Junto a ello, se recomienda constituir un comité de ciberseguridad y formalizar una matriz RACI que asigne responsabilidades claras entre IT, legal, operaciones y alta dirección.
Paso 3: Ejecutar el GAP Analysis
El análisis de brechas es el diagnóstico de partida. Consiste en mapear el estado actual de los controles de seguridad de la organización frente a los requisitos de la Ley 21.663. El resultado debe traducirse en una priorización clara de qué implantar primero según criticidad, tiempo de remediación y exposición al riesgo.
Paso 4: Implantar el marco de gestión de riesgos
La ley exige operar un programa formal de gestión de riesgos. El estándar de referencia más utilizado en la industria es el NIST Cybersecurity Framework 2.0, que estructura las capacidades de seguridad en seis funciones: Gobernar, Identificar, Proteger, Detectar, Responder y Recuperar.
Paso 5: Desplegar los controles técnicos base
La ley fija un mínimo de controles técnicos que toda organización obligada debe tener operativos. Entre ellos se encuentran la autenticación multifactor en accesos críticos, el hardening de sistemas y servicios expuestos, la gestión sistemática de parches y vulnerabilidades, la política de copias de seguridad con verificación periódica de restauración y la retención de logs con capacidad de análisis forense.
Paso 6: Operar capacidad de detección y respuesta 24×7
La ley exige que las organizaciones puedan detectar y responder a incidentes en cualquier momento. Esto implica contar con un SOC o un servicio equivalente de MDR que opere de forma continua, con playbooks de respuesta documentados y probados mediante ejercicios de mesa.
Paso 7: Integrar el flujo de notificación de incidentes
Uno de los cambios más operativos que introduce la ley es la obligación de notificar incidentes en plazos estrictos al CSIRT Nacional. Cumplir estos plazos requiere preparación previa: procedimientos claros de clasificación, responsables identificados, plantillas listas y acceso al canal oficial de notificación.
Paso 8: Reforzar la continuidad del negocio
La ley exige disponer de planes de continuidad (BCP) y recuperación ante desastres (DRP) con tiempos objetivo definidos: RTO y RPO. La organización debe someter estos planes a pruebas periódicas y documentar los resultados.
Paso 9: Gestionar la cadena de suministro
La seguridad de una organización también depende de sus proveedores. La ley exige realizar due diligence de seguridad sobre terceros críticos e incorporar cláusulas contractuales de ciberseguridad que incluyan obligaciones de reporte ante incidentes que puedan afectar a la organización.
Paso 10: Preparar evidencias y cuadros de mando para la fiscalización
Todo lo anterior debe poder demostrarse. La ANCI tiene facultades de fiscalización y puede requerir evidencias de cumplimiento. Eso implica mantener un repositorio documental actualizado, cuadros de mando con KPIs de seguridad y registros de las actividades periódicas de revisión, prueba y mejora de controles.
Implantar es la mitad del trabajo. Demostrar que se ha implantado correctamente y de forma sostenida es la otra mitad.