Ciberseguridad

Ley 21.663 Marco de Ciberseguridad en Chile: guía práctica

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Escudo digital representando el Marco de Ciberseguridad de Chile y la Agencia Nacional de Ciberseguridad

La Ley 21.663, conocida como el Marco de Ciberseguridad de Chile, representa el cambio más significativo en la regulación de ciberseguridad del país. Publicada en el Diario Oficial en abril de 2024, esta ley crea un ecosistema institucional completo para gestionar la ciberseguridad a nivel nacional, incluyendo la Agencia Nacional de Ciberseguridad (ANCI), el CSIRT Nacional y un régimen sancionatorio que por primera vez impone multas significativas por incumplimiento de estándares de seguridad.

Para las empresas chilenas, esta ley ya no es un tema futuro: las obligaciones están entrando en vigencia y las consecuencias del incumplimiento son reales. En esta guía práctica desglosamos los aspectos clave que todo responsable de seguridad, TI o gerencia general necesita conocer.

¿Qué crea la Ley 21.663?

La ley establece una arquitectura institucional de ciberseguridad compuesta por:

OrganismoFunción
Agencia Nacional de Ciberseguridad (ANCI)Autoridad regulatoria y fiscalizadora. Define estándares, supervisa cumplimiento e impone sanciones.
CSIRT NacionalEquipo de respuesta a incidentes de ciberseguridad. Coordina la respuesta a nivel país y recibe reportes obligatorios.
CSIRT de la Defensa NacionalEquipo de respuesta especializado para el sector defensa.
Comité Interministerial de CiberseguridadCoordinación de política de ciberseguridad entre ministerios.

Clasificación de operadores

La ley clasifica a las organizaciones en dos categorías con distintos niveles de exigencia:

Operadores de Servicios Esenciales (OSE)

Son organizaciones que prestan servicios necesarios para el mantenimiento de las actividades sociales y económicas fundamentales. Los sectores definidos incluyen:

  • Energía (generación, transmisión, distribución).
  • Agua y saneamiento.
  • Transporte.
  • Telecomunicaciones.
  • Sector financiero y bancario.
  • Salud.
  • Servicios digitales y de tecnología.
  • Administración pública.

Operadores de Importancia Vital (OIV)

Son un subconjunto de los OSE que la ANCI designa como críticos por su impacto sistémico. Estos enfrentan las obligaciones más estrictas, incluyendo:

  • Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) certificable.
  • Realización periódica de evaluaciones de riesgos.
  • Planes de continuidad operacional y ciberseguridad.
  • Auditorías de seguridad anuales.
  • Reporte de incidentes con plazos estrictos.
¿Mi empresa es OSE? La ANCI publicará y actualizará periódicamente la lista de sectores y criterios para determinar qué organizaciones califican como OSE u OIV. Sin embargo, incluso si tu empresa no está en la lista, la ley establece un estándar de deber de cuidado que puede afectarte si tus servicios impactan a operadores esenciales (por ejemplo, como proveedor de tecnología).

Obligaciones principales

1. Deber de reporte de incidentes

Una de las obligaciones más importantes de la ley es el reporte obligatorio de incidentes de ciberseguridad al CSIRT Nacional:

Tipo de reportePlazoContenido
Alerta temprana3 horas desde la detecciónNotificación inicial con descripción básica del incidente
Informe de incidente72 horas desde la detecciónEvaluación detallada: alcance, impacto, medidas adoptadas
Informe final15 días desde la resoluciónAnálisis completo, causa raíz, lecciones aprendidas

Estos plazos son estrictos y no admiten excusas. Las organizaciones deben tener procedimientos de detección y respuesta operativos antes de que ocurra un incidente. Esperar a que el ransomware golpee para empezar a planificar la respuesta ya no es una opción.

2. Gestión de riesgos de ciberseguridad

Los OSE y OIV deben mantener un proceso formal de gestión de riesgos que incluya:

  • Identificación y clasificación de activos críticos.
  • Evaluación periódica de amenazas y vulnerabilidades.
  • Implementación de medidas de seguridad proporcionales al riesgo.
  • Monitoreo continuo y revisión del estado de riesgos.

La buena noticia es que un análisis de riesgos según ISO 27001 cumple ampliamente con este requisito. De hecho, la propia ley menciona a ISO 27001 como referencia para las medidas de seguridad.

3. Medidas de seguridad

La ley exige implementar medidas de seguridad técnicas y organizativas que incluyen, como mínimo:

  • Políticas de análisis de riesgos y seguridad de la información.
  • Gestión de incidentes.
  • Continuidad de las actividades y gestión de crisis.
  • Seguridad de la cadena de suministro.
  • Seguridad en la adquisición, desarrollo y mantenimiento de sistemas.
  • Evaluación de la eficacia de las medidas de gestión de riesgos.
  • Prácticas básicas de ciberhigiene y formación en ciberseguridad.
  • Políticas de uso de criptografía y cifrado.
  • Control de acceso y gestión de activos.
  • Uso de soluciones de autenticación multifactor.
ISO 27001 como atajo: Si observas esta lista con atención, verás que se corresponde casi exactamente con los controles del Anexo A de ISO 27001. Implementar un SGSI certificado en ISO 27001 te permite cumplir con las exigencias de la Ley 21.663 de manera organizada y demostrable ante la ANCI.

4. Obligaciones específicas para OIV

Además de lo anterior, los OIV deben:

  • Implementar un SGSI certificado o auditable.
  • Realizar ejercicios de ciberseguridad al menos una vez al año.
  • Someterse a auditorías de seguridad periódicas.
  • Designar un responsable de ciberseguridad con reporte directo a la alta dirección.
  • Desarrollar y mantener planes de continuidad operacional y recuperación ante desastres.

Régimen sancionatorio

La Ley 21.663 establece un régimen sancionatorio que da dientes a la regulación:

Tipo de infracciónMulta para OSEMulta para OIV
LeveHasta 5.000 UTMHasta 10.000 UTM
GraveHasta 10.000 UTMHasta 20.000 UTM
GravísimaHasta 20.000 UTMHasta 40.000 UTM

Las infracciones incluyen:

  • No reportar incidentes dentro de los plazos establecidos.
  • No implementar las medidas de seguridad requeridas.
  • No colaborar con la ANCI durante investigaciones.
  • Entregar información falsa o incompleta.
  • No mantener registros de auditoría adecuados.
Responsabilidad personal: La ley también contempla responsabilidad para los directores y representantes legales de la organización cuando el incumplimiento se deba a su negligencia directa. Esto eleva la ciberseguridad de un tema técnico a un tema de gobierno corporativo.

Conexión con otras regulaciones chilenas

La Ley 21.663 no opera en aislamiento. Se conecta con:

  • Ley 21.719 (Protección de Datos): Un incidente de ciberseguridad que comprometa datos personales genera obligaciones de reporte bajo ambas leyes. El plazo más estricto (3 horas de la Ley 21.663) prevalece para la alerta temprana. Conoce los detalles de la Ley 21.719.
  • Ley 20.393 (Compliance penal): Los delitos informáticos son delitos base bajo la Ley 20.393. Un programa de compliance que no incluya ciberseguridad es incompleto.
  • Normativa CMF: Para el sector financiero, las exigencias de la Ley 21.663 se suman a las normativas existentes de la CMF sobre gestión de riesgo tecnológico.

Plan de adecuación: 8 pasos prácticos

  1. Determina tu clasificación: ¿Eres OSE, OIV o ninguno? Revisa los criterios sectoriales y consulta con la ANCI si tienes dudas.
  2. Gap analysis: Evalúa tu estado actual contra las obligaciones de la ley. Identifica brechas críticas.
  3. Procedimiento de respuesta a incidentes: Implementa un proceso que permita detectar, evaluar y reportar incidentes dentro de los plazos legales (3 horas para alerta temprana).
  4. Evaluación de riesgos: Si no tienes una evaluación formal, realízala ahora. Utiliza una metodología reconocida (ISO 27005, NIST SP 800-30).
  5. Controles de seguridad: Implementa las medidas mínimas exigidas por la ley, priorizando las que mitigan tus riesgos más altos.
  6. SGSI: Para OIV es obligatorio; para OSE es altamente recomendado. Implementar un SGSI basado en ISO 27001 cubre la mayoría de las obligaciones.
  7. Capacitación: Forma a tu equipo sobre la ley, los procedimientos de reporte y las prácticas de ciberhigiene.
  8. Monitoreo continuo: Establece un proceso de monitoreo que permita detectar incidentes de forma oportuna.

ISO 27001 como marco de cumplimiento

La Ley 21.663 menciona explícitamente los estándares internacionales como referencia para las medidas de seguridad. ISO 27001 es el estándar más citado y aceptado para demostrar cumplimiento porque:

  • Cubre todas las áreas de seguridad mencionadas en la ley.
  • Es certificable por terceros independientes, lo que facilita la demostración de cumplimiento.
  • Incluye gestión de riesgos, gestión de incidentes, continuidad y auditoría interna.
  • Es reconocida internacionalmente por la ANCI y otros reguladores.

Cronograma de implementación recomendado

MesActividadPrioridad
1Clasificación + Gap analysis + Procedimiento de incidentesCrítica
2-3Evaluación de riesgos + Controles prioritarios (MFA, backup, parches)Alta
4-6Implementación de SGSI + Políticas + CapacitaciónAlta
7-8Auditoría interna + Cierre de brechasMedia
9+Certificación ISO 27001 (si aplica) + Mejora continuaMedia

Cumple con la Ley 21.663 de forma eficiente

GRC360 mapea los requisitos de la Ley 21.663 contra los controles de ISO 27001, te ayuda a gestionar incidentes con los plazos correctos y genera la evidencia que la ANCI necesita. Empieza con un diagnóstico gratuito.

Crear Cuenta Gratis

Conclusión

La Ley 21.663 marca un antes y un después en la ciberseguridad chilena. Ya no se trata solo de buenas prácticas: es una obligación legal con consecuencias financieras y personales reales. La buena noticia es que las herramientas y marcos para cumplir existen y son accesibles. La clave es comenzar ahora, no esperar a la primera multa o al primer incidente que debas reportar.

Gestión de Riesgos Ley 21.663 NIST Incidentes Chile
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis