Insside

Cuenta con más de 18 años de experiencia en GRC y ciberseguridad, con presencia consolidada en España, donde se encuentra el HQ de nuestra unidad de GRC.

Nuestra trayectoria en ese mercado, trabajando bajo marcos exigentes como NIS‑2, el Reglamento General de Protección de Datos (GDPR) y la Ley de Responsabilidad Penal de Ejecutivos, nos permite aportar una ventaja competitiva en la implementación de la Ley Marco en Chile

Red Team

Qué es la Ley Marco de Ciberseguridad

  • » Establece la institucionalidad de ciberseguridad del país, con la ANCI como autoridad técnica.
  • » Define estándares mínimos de prevención, detección, respuesta y continuidad.
  • » Entrada en vigor general desde 1/1/2025; obligaciones de reporte, calificación de OIV y régimen sancionatorio vigentes desde 1/3/2025.

¿A quién aplica?

Alcanza a prestadores de servicios esenciales públicos y privados definidos por la autoridad, a los operadores de importancia vital calificados por la ANCI y a los órganos de la Administración del Estado bajo disposiciones generales.

Requisitos generales para cumplir con la ley

  • » Preparación integral: designar un responsable de ciberseguridad; implementar un programa de gestión de riesgos (como NIST CSF 2.0); aplicar controles base (MFA, hardening, parches, backups y registro de logs); operar un SOC/MDR 24 × 7; probar planes BCP/DRP; gestionar proveedores críticos; y mantener evidencias y KPIs para fiscalización
  • » Gobernanza: designar delegado de ciberseguridad, comité y matriz RACI.
  • » Gestión de riesgos: marco de referencia (por ejemplo, NIST CSF 2.0), inventario y criticidad de activos.
  • » Controles base: MFA, hardening, parches, backups, registro y retención de logs.
  • » Detección y respuesta: SOC/MDR 24×7, playbooks probados y ejercicios de mesa.
  • » Continuidad: BCP/DRP con RTO/RPO definidos y pruebas periódicas.
  • » Cadena de suministro: due diligence y cláusulas de seguridad y reporte con proveedores críticos.
  • » Reporte al CSIRT: integrar el flujo 3h/72h/15d al ticketing/SIEM con responsables por turno.
  • » Evidencias y auditoría: tableros, KPIs y repositorio documental para fiscalización.
  • » Capacidad OIV y nuevas normas: los operadores de importancia vital (OIV) deben estar preparados para cumplir todas las leyes y normativas que se sumen en el futuro; además, deben poder reportar incidentes conforme a la Ley 21.663 (alerta en 3h, segundo reporte en 72h, informe final en 15d y, para OIV, un plan de acción en 7d).
  • » Hito de protección de datos: la nueva Ley de Protección de Datos Personales (Ley 21.719) prevé su primer gran hito de control en diciembre de 2026, con obligaciones como nombrar un responsable, evaluar impactos y reforzar protocolos; el incumplimiento conllevará fuertes sanciones.
  • » Sanciones: la Ley 21.663 clasifica las infracciones en leves, graves y gravísimas, con multas de hasta 5 000/10 000/20 000 UTM para proveedores de servicios esenciales y 10 000/20 000/40 000 UTM para OIV; 40 000 UTM supera los US$ 3 millones. La Ley 21.719, además, contempla multas que pueden alcanzar el 2% o 4% de la facturación anual en caso de reincidencia.
  • » Quiénes son los OIV: los OIV son entidades de servicios esenciales cuyo funcionamiento es vital para la vida, la salud, la economía o la seguridad.

Cómo te ayuda Insside

  • » GAP Analysis.
  • » SOC/MDR 24×7 con informes alineados a ANCI/CSIRT.
  • » IR Retainer: contención, forense y elaboración de reportes 3h/72h/15d.
  • » GRC y evidencias para auditorías; preparación ante fiscalizaciones.
  • » Gestión de terceros y cláusulas contractuales de ciberseguridad.
  • » Protección de Datos Personales: apoyo integral para el cumplimiento de la nueva Ley 21.719.
  • » 18 años de experiencia en GRC: trayectoria consultiva internacional puesta a disposición de tu organización.
  • » SOC IT-OT líder en la región: monitoreo integral y especializado para entornos críticos.
  • » Profesionales altamente cualificados: un equipo senior en ciberseguridad para acompañarte en cada desafío

Preguntas frecuentes

Sí. Rige en general desde el 1/1/2025 y, desde el 1/3/2025, aplican la obligación de reportar incidentes, la calificación de OIV y el régimen sancionatorio.

Alerta en 3 horas, segundo reporte en 72 horas e informe final en 15 días; los OIV deben además presentar un plan de acción en 7 días.

Designar un responsable de ciberseguridad, implementar gestión de riesgos, desplegar controles base (MFA, hardening, parches, backups y logging), operar monitoreo y respuesta 24/7, probar continuidad (BCP/DRP), gestionar proveedores críticos y preparar evidencias para fiscalización.

Suscríbete a nuestro Newsletter

Recibe contenidos formativos para estar al día.