Ir al contenido 
Índice
Desde marzo 2025 la Ley 21.663, conocida como Ley Marco de Ciberseguridad, obliga a todas las organizaciones chilenas a blindar sus infraestructuras críticas ante una ola creciente de ataques. Con más de 3.100 incidentes semanales y 15.000 millones de intentos en el primer semestre, el marco legal se vuelve esencial.
Inspirada en la directiva europea NIS2, la normativa crea la Agencia Nacional de Ciberseguridad (ANCI) como ente fiscalizador y designa a 915 Operadores de Importancia Vital (OIV). Estas entidades deben implementar controles robustos y reportar incidentes para garantizar la resiliencia cibernética nacional.
En este artículo, desglosamos la Ley 21.663 en Chile: qué exige y cómo cumplir con las obligaciones de ciberseguridad, detallando a quién afecta, las principales obligaciones, las sanciones previstas y los pasos prácticos para lograr el cumplimiento sin contratiempos y para su organización de forma eficaz.
Nuestro equipo de especialistas en ciberseguridad, con certificaciones ISO 27001 y experiencia en auditorías de SGSI, le brinda la guía definitiva para evitar multas y proteger su negocio. Descubra cómo planificar auditorías, establecer un SGSI sólido y mantener la conformidad a largo plazo.
Qué es la Ley 21.663: marco legal y objetivos
La Ley 21.663 en Chile es un marco legal que busca garantizar la confidencialidad, integridad y disponibilidad de la información en infraestructuras críticas, alineándose con la directiva europea NIS2.
La ley establece la Agencia Nacional de Ciberseguridad como ente regulador y supervisor, y define los principios de prevención, detección y respuesta ante incidentes.
Para entender mejor la Ley 21.663 y cómo afecta a las organizaciones chilenas, se puede consultar un análisis detallado que proporciona información valiosa sobre el marco legal y sus objetivos.
La ley también crea un registro de Operadores de Importancia Vital y obliga a los proveedores de servicios esenciales a adoptar medidas de gestión de riesgos, lo que busca reducir la vulnerabilidad a incidentes de ciberseguridad.
Es importante destacar que la Ley 21.663 es una norma marco que busca proteger la información en infraestructuras críticas, y su cumplimiento es fundamental para garantizar la seguridad y confianza en la sociedad digital.
Origen y alineación con NIS2
La Ley 21.663 en Chile surge como respuesta al aumento de ciberataques y la necesidad de armonizar la normativa con estándares internacionales.
El impulso legislativo se alinea con la normativa europea NIS2, adoptando mejores prácticas como la gestión de riesgos basada en ISO 27001.
La ley incorpora disposiciones sobre cooperación internacional y protección de datos personales, destacando la importancia de la notificación temprana de incidentes.
Creación de la ANCI y su rol fiscalizador
La Agencia Nacional de Ciberseguridad (ANCI) es la autoridad de supervisión en materia de ciberseguridad en Chile.
La ANCI emite normas técnicas, verifica el cumplimiento de las obligaciones de ciberseguridad y sanciona las infracciones, también coordina el CSIRT Nacional y publica guías de buenas prácticas.
La ANCI recibe los reportes de incidentes y verifica que se cumplan los plazos establecidos para la alerta inicial y el informe completo.
A quién aplica la Ley 21.663
La Ley 21.663 en Chile es una normativa que busca garantizar la ciberseguridad de los sectores críticos del país, exigiendo a los Operadores de Importancia Vital (OIV) y a los proveedores de servicios esenciales (OSE) que cumplan con ciertas obligaciones de seguridad.
La normativa afecta a dos grandes grupos: los OIV, que son 915 entidades designadas que gestionan infraestructuras críticas en sectores como telecomunicaciones, energía, salud, transporte, banca y servicios digitales.
Además, cualquier proveedor que soporte a un OIV o que preste servicios esenciales a la comunidad también queda obligado a cumplir con la ley, lo que amplía el alcance de la normativa y busca proteger a la sociedad en general.
Es importante destacar que la ley no solo se enfoca en los OIV, sino que también considera a los proveedores de servicios esenciales, lo que demuestra la importancia de la ciberseguridad en todos los ámbitos.
Operadores de Importancia Vital (OIV)
Los Operadores de Importancia Vital (OIV) son organizaciones clave que podrían comprometer la seguridad nacional, la salud pública o la estabilidad económica si se interrumpen.
Estos operadores, como principales ISP, generadores eléctricos, hospitales y bancos, deben aplicar controles de seguridad más exigentes y reportar incidentes con mayor rapidez, según la Ley 21.663 y su impacto en los OIV.
La lista de OIV, publicada en septiembre de 2025, incluye a estos sectores críticos que deben cumplir con obligaciones de ciberseguridad específicas, por lo que es importante entender quiénes son los OIV y las exigencias que deben cumplir.
Otros sectores y proveedores críticos
La Ley 21.663 en Chile también abarca a proveedores de servicios esenciales que respaldan infraestructuras críticas.
Estas empresas, como las de cloud computing y consultoras de TI, deben adoptar medidas de gestión de riesgos y reporte similares a las de los OIV.
Deben implementar sistemas de gestión de seguridad de la información para proteger datos sensibles y cumplir con las obligaciones de ciberseguridad.
Obligaciones principales que impone la Ley 21.663
La Ley 21.663 en Chile establece varias obligaciones de ciberseguridad que deben cumplir las empresas y organizaciones reguladas.
La normativa se enfoca en cuatro pilares de cumplimiento clave para garantizar la seguridad de la información y la protección de los datos.
Estos pilares incluyen la gestión de riesgos mediante un Sistema de Gestión de Seguridad de la Información alineado a la norma ISO 27001.
Además, se exige la realización de pruebas de penetración periódicas y la designación de un delegado de ciberseguridad para supervisar y coordinar las medidas de seguridad.
Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001
La Ley 21.663 en Chile exige a las organizaciones sujetas implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que cubra la identificación de activos, evaluación de vulnerabilidades, definición de controles y monitoreo continuo.
La certificación ISO 27001 no es obligatoria, pero el cumplimiento de sus requisitos es el referente para demostrar que el SGSI está alineado con la ley, para más información puedes consultar una guía práctica sobre la implementación de un SGSI alineado a ISO 27001.
Esto ayudará a las organizaciones a cumplir con las obligaciones de ciberseguridad de la Ley 21.663 de manera efectiva.
Reporte de incidentes, delegados y pruebas de penetración
La Ley 21.663 en Chile exige que los incidentes de ciberseguridad se notifiquen a la ANCI en un plazo máximo de 3 horas para la alerta inicial y 72 horas para el informe detallado.
Cada entidad debe designar un delegado de ciberseguridad y realizar pruebas de penetración al menos una vez al año, para más información sobre las obligaciones de reporte de incidentes y designación de delegados.
Estas medidas buscan fortalecer la ciberseguridad en el país, es importante conocer los detalles de las obligaciones de pruebas de penetración exigidas por la ANCI.
Sanciones por incumplimiento de la Ley 21.663
La Ley 21.663 en Chile establece un régimen sancionatorio para aquellos que incumplan con las obligaciones de ciberseguridad, contemplando infracciones leves, graves y gravísimas, con multas que van desde 5.000 hasta 20.000 UTM.
Las multas pueden duplicarse para los Operadores de Importancia Vital, alcanzando hasta 40.000 UTM, aproximadamente 2,8 millones de USD, además de medidas correctivas, suspensión de actividades y publicación de la infracción, como se detalla en la guía completa sobre la Ley 21.663.
La Autoridad Nacional de Ciberseguridad (ANCI) es la encargada de imponer estas sanciones y medidas correctivas, por lo que es fundamental conocer y cumplir con las obligaciones de ciberseguridad para evitar estas consecuencias.
Tipos de infracciones y rangos de multa
La Ley 21.663 establece diferentes niveles de infracciones con multas correspondientes, desde leves hasta gravísimas.
Las infracciones leves incluyen la falta de documentación o retrasos menores, con multas de hasta 5.000 UTM.
Las infracciones graves y gravísimas tienen multas más altas, de hasta 10.000 y 20.000 UTM, respectivamente, por incumplimientos más severos.
Multas específicas para Operadores de Importancia Vital
Los Operadores de Importancia Vital enfrentan sanciones más estrictas, con multas que pueden alcanzar hasta 40.000 UTM, lo que refleja la seriedad con la que se toman las infracciones en este sector.
La Autoridad Nacional de Ciberseguridad puede ordenar la suspensión temporal de servicios críticos hasta que se corrija la vulnerabilidad detectada, lo que subraya la importancia de cumplir con las obligaciones de ciberseguridad.
Cómo prepararse: auditorías y servicios recomendados
Para comenzar a prepararse y cumplir con las obligaciones de ciberseguridad exigidas por la Ley 21.663, es fundamental realizar una auditoría integral del estado actual de ciberseguridad, identificar posibles brechas y diseñar un plan de remediación documentado.
La auditoría debe ser lo más exhaustiva posible, evaluando todos los aspectos de la seguridad de la información y la infraestructura tecnológica, con el fin de detectar vulnerabilidades y riesgos potenciales que podrían comprometer la seguridad de los sistemas y la información.
Una vez identificadas las brechas, se debe diseñar un plan de remediación que describa las acciones necesarias para abordarlas y mitigar los riesgos, este plan debe ser documentado y actualizado periódicamente para asegurar el cumplimiento continuo de las obligaciones de ciberseguridad.
La contratación de servicios especializados en ciberseguridad puede ser de gran ayuda para cumplir con los requisitos de la ley y demostrar el cumplimiento ante la autoridad reguladora, estos servicios pueden incluir desde auditorías de seguridad hasta pruebas de penetración y consultoría en seguridad de la información.
Auditoría de estado y plan de remediación
Una auditoría de SGSI evalúa las políticas, procesos y controles existentes, comparándolos con ISO 27001 para determinar su eficacia.
El informe de auditoría incluye un plan de acción con prioridades, responsables y cronograma de implementación, esencial para la presentación ante la ANCI.
Esta documentación permite a las organizaciones identificar y abordar las brechas de seguridad, asegurando el cumplimiento de las obligaciones de ciberseguridad establecidas por la Ley 21.663.
Servicios de auditoría SGSI, pentesting interno y superficie externa
Para cumplir con las obligaciones de ciberseguridad establecidas en la Ley 21.663, es fundamental contar con servicios de auditoría especializados, como la evaluación completa del sistema de gestión de seguridad de la información.
La realización de pruebas de penetración sobre la infraestructura interna y la superficie externa permite detectar vulnerabilidades ocultas y analizar la exposición pública y los riesgos en la red, generando así evidencia documental para cumplir con los requisitos legales.
Conclusión y próximos pasos
La Ley 21.663 en Chile representa un hito en la gestión de la ciberseguridad, marcando un antes y un después en la forma en que las organizaciones deben abordar esta cuestión.
La implementación de medidas de ciberseguridad no solo permite a las empresas evitar multas millonarias, sino que también fortalece su resiliencia operativa.
Es fundamental que las empresas inicien lo antes posible la evaluación de su situación actual, designen un delegado de ciberseguridad y planifiquen auditorías periódicas para garantizar el cumplimiento de la ley y así asegurar la continuidad del negocio y la confianza de los clientes.
