Volver al blog
Ley 21.663ciberseguridadANCIISO 27001

Ley 21.663: qué exige la Ley Marco de Ciberseguridad y cómo preparar tu empresa

Por Daniel Petrasic10 min de lectura

La Ley Marco de Ciberseguridad ya está vigente

La Ley 21.663 — conocida como Ley Marco de Ciberseguridad — fue publicada el 8 de abril de 2024. Su objetivo es establecer un marco institucional y normativo para proteger la infraestructura crítica de Chile frente a amenazas cibernéticas. No es una ley futura: entró en vigencia el 1 de enero de 2025, y las obligaciones de reporte de incidentes rigen desde el 1 de marzo de 2025.

Si tu empresa opera en sectores regulados — banca, telecomunicaciones, energía, salud, transporte — o si dependes de infraestructura digital crítica, esta ley te afecta directamente. Y a diferencia de regulaciones anteriores, esta tiene una autoridad con facultades reales de fiscalización y sanción.

¿Qué es la ANCI?

La Ley 21.663 crea la Agencia Nacional de Ciberseguridad (ANCI), un organismo autónomo, técnico y descentralizado. La ANCI es la autoridad encargada de regular, supervisar y sancionar en materia de ciberseguridad en Chile.

Sus funciones principales incluyen:

  • Dictar normas técnicas y estándares de ciberseguridad.
  • Fiscalizar el cumplimiento de las obligaciones de la ley.
  • Coordinar la respuesta ante incidentes de ciberseguridad a nivel nacional.
  • Designar a los Operadores de Importancia Vital (OIV).
  • Aplicar sanciones directamente, sin necesidad de recurrir a tribunales.

Antes de esta ley, Chile no tenía una autoridad centralizada de ciberseguridad. La ANCI llena ese vacío y tiene facultades amplias para exigir información, realizar auditorías y aplicar multas.

¿Quiénes deben cumplir?

La ley distingue dos categorías de sujetos obligados:

1. Prestadores de Servicios Esenciales (PSE).Son organizaciones que operan en sectores críticos definidos por la ley: banca y servicios financieros, telecomunicaciones, energía eléctrica, agua y saneamiento, salud, transporte, servicios digitales y administración del Estado. Si operas en alguno de estos sectores, eres PSE por definición legal.

2. Operadores de Importancia Vital (OIV).Son organizaciones designadas específicamente por la ANCI, cuya interrupción o degradación tendría un impacto significativo en la seguridad nacional, la economía o los servicios públicos. La ANCI determinará la lista definitiva de OIV antes del 30 de octubre de 2025.

Los OIV tienen obligaciones más exigentes que los PSE: deben implementar sistemas de gestión de seguridad de la información certificados, realizar pruebas periódicas de continuidad operacional, y someterse a auditorías de la ANCI.

Aunque tu empresa no sea PSE ni OIV, si eres proveedor de servicios tecnológicos para alguna de estas organizaciones, los requisitos de ciberseguridad te llegarán por vía contractual. La cadena de cumplimiento se extiende hacia abajo.

Obligaciones principales

La ley establece un conjunto de obligaciones que varían según la categoría del sujeto obligado. Estas son las más relevantes:

Sistema de Gestión de Seguridad de la Información (SGSI). Los OIV deben implementar un SGSI certificado, compatible con estándares internacionales como ISO 27001. El SGSI debe cubrir identificación de activos críticos, análisis de riesgos, controles de seguridad, gestión de incidentes y mejora continua.

Reporte obligatorio de incidentes.Esta es una de las obligaciones más exigentes de la ley. Los plazos son estrictos:

  • Alerta temprana: dentro de las 3 horas siguientes a la detección de un incidente significativo.
  • Informe inicial: dentro de las 72 horas, con descripción del incidente, evaluación preliminar de impacto y medidas adoptadas.
  • Informe final: dentro de los 15 días, con análisis completo de causas, impacto real y medidas correctivas implementadas.

Pruebas de continuidad operacional.Los OIV deben realizar pruebas periódicas para verificar que sus planes de continuidad de negocio funcionan ante escenarios de ataque cibernético. No basta con tener un documento: hay que probarlo.

Deber de reportar vulnerabilidades.Si detectas una vulnerabilidad en tus sistemas que pueda afectar a terceros o a la infraestructura crítica, debes reportarla a la ANCI. Esto incluye vulnerabilidades en software de terceros que estés utilizando.

Multas y sanciones

Las sanciones de la Ley 21.663 son significativas y la ANCI puede aplicarlas directamente, sin necesidad de pasar por tribunales:

  • Infracciones leves: multas de 100 a 1.000 UTM (aproximadamente $6,5 millones a $65 millones CLP).
  • Infracciones graves: multas de 1.001 a 10.000 UTM (aproximadamente $65 millones a $650 millones CLP).
  • Infracciones gravísimas: multas de 10.001 a 40.000 UTM (aproximadamente $650 millones a $2.600 millones CLP).

¿Qué se considera infracción gravísima? No reportar un incidente dentro de los plazos establecidos, no implementar el SGSI requerido, o impedir u obstaculizar deliberadamente la labor fiscalizadora de la ANCI. Las multas se determinan considerando la gravedad del incidente, el tamaño de la organización, su historial de cumplimiento y las medidas de mitigación adoptadas.

Relación con ISO 27001 y NIST

La ley no impone un framework específico, pero exige que el SGSI sea certificable bajo estándares reconocidos internacionalmente. En la práctica, esto deja dos caminos principales:

ISO 27001es el estándar más utilizado en Chile y el mundo para gestión de seguridad de la información. Es certificable por terceros acreditados, tiene una estructura clara (requisitos + controles del Anexo A) y es el camino más directo para demostrar cumplimiento ante la ANCI.

NIST Cybersecurity Framework (CSF)es el marco desarrollado por el Instituto Nacional de Estándares y Tecnología de Estados Unidos. Es ampliamente reconocido y complementa bien a ISO 27001, especialmente en la identificación de riesgos y la respuesta a incidentes. La ANCI lo reconoce como marco válido.

La recomendación práctica: si tu organización no tiene ningún framework implementado, comienza con ISO 27001. Si ya tienes NIST CSF, manténlo y complementa con los requisitos formales de certificación que exige la ley.

5 pasos para preparar tu empresa

Independientemente de si tu organización ya fue clasificada como PSE u OIV, estas acciones te preparan para cumplir:

Paso 1: Determina si eres PSE u OIV.Revisa los sectores definidos en la ley. Si operas en banca, telecomunicaciones, energía, salud, transporte, servicios digitales o administración del Estado, eres PSE. Si la ANCI te ha notificado o tu interrupción impactaría significativamente la economía o servicios públicos, podrías ser designado OIV. La lista definitiva se publicará antes del 30 de octubre de 2025.

Paso 2: Evalúa tu madurez de seguridad actual.Haz un diagnóstico honesto: ¿tienes políticas de seguridad documentadas? ¿Controlas accesos? ¿Tienes respaldos probados? ¿Has hecho alguna vez un pentest? ¿Tienes un plan de respuesta a incidentes? Si la respuesta a más de dos preguntas es “no” o “no sé”, necesitas empezar por lo básico.

Paso 3: Implementa o certifica un SGSI.Si eres OIV, la certificación es obligatoria. Si eres PSE, un SGSI documentado y funcional te protege ante fiscalizaciones. ISO 27001 es el camino más directo: define alcance, haz análisis de riesgos, implementa controles, documenta y certifica.

Paso 4: Establece protocolos de respuesta a incidentes.Los plazos de 3 horas para la alerta temprana, 72 horas para el informe inicial y 15 días para el informe final no son negociables. Necesitas un procedimiento claro: ¿quién detecta? ¿Quién clasifica? ¿Quién reporta a la ANCI? ¿Quién comunica internamente? Practícalo con simulacros.

Paso 5: Capacita a tu equipo y prueba la continuidad.La ciberseguridad no es solo tecnología — la mayoría de los incidentes involucran error humano. Capacita a todo el personal en higiene digital básica y a tu equipo técnico en los protocolos de respuesta. Luego, prueba: ejecuta simulacros de incidentes y de continuidad operacional al menos una vez al año.

Relación con la Ley 21.719 de datos personales

La Ley 21.663 (ciberseguridad) y la Ley 21.719 (protección de datos personales) son leyes complementarias, no alternativas. La primera protege la infraestructura— redes, sistemas, datos en general. La segunda protege a las personas— sus datos personales específicamente.

Si tu empresa maneja datos personales y además opera en un sector regulado, necesitas cumplir con ambas leyes. En la práctica, un SGSI bien implementado cubre buena parte de los requisitos de seguridad que exige la Ley 21.719, pero no todos: la ley de datos personales tiene requisitos específicos sobre consentimiento, derechos ARCO, transferencias internacionales y gobernanza de datos que van más allá de la ciberseguridad.

La ventaja de abordar ambas leyes juntas es que se comparten esfuerzos: el inventario de activos incluye datos personales, los controles de acceso protegen ambos ámbitos, y los protocolos de incidentes sirven para reportar tanto a la ANCI como a la futura Agencia de Protección de Datos. No dupliques trabajo.

Conclusión: la ciberseguridad dejó de ser opcional

Chile tiene ahora una ley de ciberseguridad con autoridad real, plazos concretos y multas que pueden llegar a $2.600 millones CLP. La ANCI ya está operando y la lista de OIV se publicará en octubre de 2025.

No esperes a ser fiscalizado para actuar. El costo de prepararse es una fracción del costo de una sanción — sin contar el daño reputacional de un incidente no gestionado.

Si necesitas evaluar tu nivel de madurez en ciberseguridad, implementar un SGSI, o establecer protocolos de respuesta a incidentes alineados con la Ley 21.663, es exactamente lo que hacemos. Diagnóstico técnico, implementación y acompañamiento — sin intermediarios.