ES
Chile dio un paso histórico en materia de ciberseguridad con la promulgación de la Ley Marco de Ciberseguridad (Ley 21.663), publicada el 8 de abril de 2024 y vigente desde el 1 de enero de 2025. Esta normativa crea por primera vez un marco legal unificado que obliga a organizaciones públicas y privadas a proteger sus sistemas de información, establece una autoridad nacional especializada y fija estándares mínimos exigibles a nivel país.
¿Qué es exactamente la Ley Marco de Ciberseguridad?
La Ley 21.663 es la principal norma de ciberseguridad en Chile. Su objetivo central es elevar el nivel de resiliencia digital del país a través de tres ejes: institucionalidad, estándares mínimos y obligaciones concretas de reporte ante incidentes.
Para cumplir con ese objetivo, la ley crea la Agencia Nacional de Ciberseguridad (ANCI), que actúa como autoridad técnica y rectora en la materia. La ANCI tiene facultades para dictar normas, fiscalizar, calificar a los Operadores de Importancia Vital (OIV) y aplicar sanciones de hasta 40.000 UTM para OIV y 10.000 UTM para prestadores de servicios esenciales.
Los tres pilares de la ley
Institucionalidad: La creación de la ANCI unifica bajo un solo organismo la rectoría técnica del país en ciberseguridad. Antes de esta ley, las responsabilidades estaban fragmentadas entre distintos ministerios y organismos sin coordinación formal.
Estándares mínimos: La norma define un piso obligatorio de medidas de prevención, detección, respuesta y continuidad operativa. Estos estándares toman como referencia marcos internacionales reconocidos, como NIST CSF 2.0 e ISO 27001, y exigen controles concretos: autenticación multifactor, gestión de parches, hardening de sistemas, backups verificados y retención de registros.
Obligaciones de reporte: Cuando ocurre un incidente de ciberseguridad, ya no alcanza con gestionarlo internamente. La ley establece plazos estrictos para reportar al CSIRT Nacional: una alerta inicial dentro de las 3 horas, un reporte intermedio a las 72 horas y un informe final a los 15 días. Los OIV deben además presentar un plan de acción correctivo dentro de los 7 días. Cumplir estos plazos requiere preparación previa: procedimientos de clasificación, responsables identificados, plantillas de reporte listas y acceso al canal oficial del CSIRT.
¿A quién alcanza la Ley Marco?
La ley alcanza a tres categorías de organizaciones:
Los prestadores de servicios esenciales (PSE), tanto públicos como privados, definidos por la autoridad. Entre ellos se incluyen sectores como energía, agua, telecomunicaciones, salud, transporte, banca y servicios financieros, entre otros.
Los Operadores de Importancia Vital (OIV), que son entidades dentro de los servicios esenciales cuyo funcionamiento es crítico para la vida, la salud, la economía o la seguridad nacional. La ANCI define quiénes son OIV y les aplica obligaciones adicionales.
Los órganos de la Administración del Estado, bajo disposiciones generales que los someten a los mismos estándares de prevención y reporte.
Fechas clave que toda organización debe conocer
La ley entró en vigencia de manera general el 1 de enero de 2025. Sin embargo, tres obligaciones específicas se activaron a partir del 1 de marzo de 2025: la obligación de reportar incidentes al CSIRT, el proceso formal de calificación de OIV y el régimen sancionatorio con multas.
Además, la Ley de Protección de Datos Personales (Ley 21.719) entra en vigencia el 1 de diciembre de 2026. A partir de esa fecha se exigirá haber designado un responsable de datos, realizado evaluaciones de impacto y reforzado los protocolos de tratamiento de información personal. La convergencia de ambas normativas —ciberseguridad y protección de datos— genera un escenario en el que las organizaciones deben abordar ambos frentes de forma integrada.
La relación con otras normativas internacionales
La Ley Marco no existe en un vacío. Chile se alinea con una tendencia global que incluye la Directiva NIS-2 de la Unión Europea, el GDPR en materia de datos y los marcos de resiliencia operativa del sector financiero. Esta convergencia regulatoria es especialmente relevante para empresas multinacionales o con operaciones en varios países: quienes ya cumplen NIS-2 o GDPR tienen una ventaja comparativa importante a la hora de implementar la norma chilena.
Por dónde empezar
El primer paso es entender si tu organización es un prestador de servicio esencial o podría ser calificada como OIV. A partir de esa definición, corresponde realizar un análisis de brechas (GAP Analysis) contra los requisitos de la ley, designar un responsable de ciberseguridad y trazar un plan de implementación con hitos medibles.
La Ley Marco de Ciberseguridad representa una transformación profunda del ecosistema digital chileno. Las organizaciones que se anticipen a sus exigencias no solo evitarán sanciones: también ganarán posición competitiva en un entorno donde la confianza digital es cada vez más un diferencial de negocio.