ES
Chile ha dado un paso histórico en materia de ciberseguridad con la promulgación de la Ley Marco de Ciberseguridad (Ley 21.663), publicada el 8 de abril de 2024 y en vigor desde el 1 de enero de 2025. Esta normativa crea por primera vez un marco legal unificado que obliga a entidades públicas y privadas a proteger sus sistemas de información, establece una autoridad nacional especializada y fija estándares mínimos exigibles en todo el país.
¿Qué es exactamente la Ley Marco de Ciberseguridad?
La Ley 21.663 es la principal norma de ciberseguridad en Chile. Su objetivo central es elevar el nivel de resiliencia digital del país a través de tres ejes: institucionalidad, estándares mínimos y obligaciones concretas de notificación ante incidentes.
Para cumplir con ese propósito, la ley crea la Agencia Nacional de Ciberseguridad (ANCI), que actúa como autoridad técnica y rectora en la materia. La ANCI tiene facultades para dictar normas, fiscalizar, calificar a los Operadores de Importancia Vital (OIV) y aplicar sanciones de hasta 40.000 UTM para OIV y 10.000 UTM para prestadores de servicios esenciales.
Los tres pilares de la ley
Institucionalidad: La creación de la ANCI unifica bajo un solo organismo la rectoría técnica del país en ciberseguridad. Antes de esta ley, las responsabilidades estaban fragmentadas entre distintos ministerios y organismos sin coordinación formal.
Estándares mínimos: La norma define un umbral obligatorio de medidas de prevención, detección, respuesta y continuidad operativa. Estos estándares toman como referencia marcos internacionales reconocidos, como NIST CSF 2.0 e ISO 27001, y exigen controles concretos: autenticación multifactor, gestión de parches, hardening de sistemas, copias de seguridad verificadas y retención de registros.
Obligaciones de notificación: Cuando se produce un incidente de ciberseguridad, ya no basta con gestionarlo internamente. La ley establece plazos estrictos para notificar al CSIRT Nacional: una alerta inicial en un plazo de 3 horas, un informe intermedio a las 72 horas y un informe final a los 15 días. Los OIV deben además presentar un plan de acción correctivo en un plazo de 7 días. Cumplir estos plazos exige preparación previa: procedimientos de clasificación, responsables identificados, plantillas de reporte preparadas y acceso al canal oficial del CSIRT.
¿A quién afecta la Ley Marco?
La ley alcanza a tres categorías de organizaciones:
Los prestadores de servicios esenciales (PSE), tanto públicos como privados, definidos por la autoridad. Entre ellos se incluyen sectores como energía, agua, telecomunicaciones, salud, transporte, banca y servicios financieros, entre otros.
Los Operadores de Importancia Vital (OIV), que son entidades dentro de los servicios esenciales cuyo funcionamiento resulta crítico para la vida, la salud, la economía o la seguridad nacional. La ANCI determina quiénes son OIV y les aplica obligaciones adicionales.
Los órganos de la Administración del Estado, sometidos a los mismos estándares de prevención y notificación.
Fechas clave que toda organización debe conocer
La ley entró en vigor con carácter general el 1 de enero de 2025. Sin embargo, tres obligaciones específicas se activaron a partir del 1 de marzo de 2025: la obligación de notificar incidentes al CSIRT, el proceso formal de calificación de OIV y el régimen sancionador con multas.
Adicionalmente, la Ley de Protección de Datos Personales (Ley 21.719) entrará en vigor el 1 de diciembre de 2026. A partir de esa fecha será obligatorio haber designado un responsable de datos, realizado evaluaciones de impacto y reforzado los protocolos de tratamiento de información personal. La convergencia de ambas normativas —ciberseguridad y protección de datos— genera un escenario en el que las organizaciones deben abordar ambos frentes de forma integrada.
La relación con otras normativas internacionales
La Ley Marco no existe de forma aislada. Chile se alinea con una tendencia global que incluye la Directiva NIS-2 de la Unión Europea, el GDPR en materia de datos y los marcos de resiliencia operativa del sector financiero. Esta convergencia regulatoria es especialmente relevante para empresas multinacionales o con actividad en varios países: quienes ya cumplen NIS-2 o GDPR cuentan con una ventaja comparativa importante a la hora de implementar la norma chilena.
Por dónde empezar
El primer paso es entender si tu organización es un prestador de servicio esencial o podría ser calificada como OIV. A partir de esa determinación, corresponde realizar un análisis de brechas (GAP Analysis) frente a los requisitos de la ley, designar a un responsable de ciberseguridad y trazar un plan de implantación con hitos medibles.
La Ley Marco de Ciberseguridad representa una transformación profunda del ecosistema digital chileno. Las organizaciones que se adelanten a sus exigencias no solo evitarán sanciones: también ganarán posiciones competitivas en un entorno en el que la confianza digital es cada vez más un factor diferencial del negocio.