Ley Marco de Ciberseguridad: ¿qué exige la Ley 21.663 en Chile?

En este artículo encontrarás, de forma simple y directa, lo clave de la Ley Marco de Ciberseguridad en Chile: a quién aplica, qué exige, los plazos que debes conocer y los pasos mínimos para empezar a cumplir desde hoy.

Si buscas una guía confiable, aquí resumimos la Ley de Ciberseguridad (Ley 21.663): alcance, obligaciones, rol de la ANCI y acciones prácticas para preparar a tu organización en Chile.

¿Qué es la Ley Marco de Ciberseguridad?

Chile ha implementado un nuevo marco legal que transforma la ciberseguridad en una obligación de Estado. A través de la creación de la Agencia Nacional de Ciberseguridad (ANCI), el país ahora cuenta con una autoridad con facultades para fiscalizar y aplicar multas históricas a empresas públicas y privadas.

La Ley 21.663 fija reglas para prevenir, gestionar y reportar incidentes en Chile, con deberes para organismos públicos y entidades privadas catalogadas como servicios esenciales u operadores de importancia vital (OIV).

Lo clave es pasar de “mejores prácticas” a exigencias reguladas con plazos y fiscalización.

Los 3 pilares del cambio

Reporte Obligatorio (Regla 3/72/15): Ante un ataque informático grave, las empresas deben notificar al CSIRT Nacional en un plazo máximo de 3 horas. El silencio o la demora ahora son infracciones legales.
Sanciones Millonarias: La ley establece multas que escalan según la gravedad. Para los Operadores de Importancia Vital (OIV), la sanción máxima es de 40.000 UTM (aprox. $2.670 millones de pesos).
Responsabilidad de la Alta Dirección: La normativa exige que los Directorios se involucren directamente en la gestión de riesgos, elevando el tema desde el área técnica a la gobernanza corporativa.

Cuadro resumen de multas

Gravedad de Infracción Entidad General Operador Vital (OIV):

Leve Hasta 5.000 UTM Hasta 10.000 UTM
Grave Hasta 10.000 UTM Hasta 20.000 UTM
Gravísima Hasta 20.000 UTM Hasta 40.000 UTM.

Fuente Oficial de Verificación: Toda esta información está estipulada en el cuerpo legal vigente: Documento: Ley N° 21.663 – Ley Marco de Ciberseguridad.

Referencia Específica: Título V, Artículos 38, 39 y 40 (sobre infracciones y el agravante para Operadores de Importancia Vital).

Publicación: Diario Oficial de la República de Chile (8 de abril de 2024).

¿A quiénes aplica en la práctica?

Organismos del Estado (reglas transversales).
Prestadores de servicios esenciales (p. ej., energía, agua, telecom, transporte, salud, servicios financieros, servicios digitales críticos).
Operadores de importancia vital (OIV): entidades —públicas o privadas— cuya interrupción impactaría de forma significativa la seguridad, el orden público o la continuidad de servicios clave. La ANCI los califica y revisa la lista periódicamente.

En definitiva, si operas infraestructura o procesos cuyo fallo afecta al país o a servicios críticos, asume que te toca verificar tu calificación formal.

¿Qué plazos y qué estructura de reporte exige la ley?

Esquema legal de reportes de incidentes con “efectos significativos”:

Alerta temprana: máximo 3 horas desde que se conoce el incidente.

Actualización inicial: hasta 72 horas con evaluación de gravedad e impacto.

Informe final: hasta 15 días corridos (descripción, causa probable, mitigaciones y, si aplica, efectos transfronterizos).

Plan de acción (OIV): deben informar su plan y adoptarlo a más tardar en 7 días desde la detección.

Necesitas procedimientos 24/7, responsables claros y evidencias trazables.

¿Qué cambia con la creación de la ANCI?

La ANCI coordina la respuesta nacional, dicta instrucciones generales, define estándares y tiempos de comunicación, califica servicios esenciales y OIV, y administra el Registro Nacional de Incidentes. En términos simples: es la autoridad técnica que orquesta cómo el país previene y gestiona incidentes.

¿Debo inscribirme en una plataforma oficial?

Sí, si eres prestador de servicio esencial. La Instrucción General N°1 (junio 2025) ordena la inscripción obligatoria en la plataforma de reporte de incidentes de la ANCI; la obligación rige desde el quinto día hábil tras su publicación. No inscribirse es infracción leve (sancionable).

¿Cómo se relaciona esta ley con la Política Nacional de Ciberseguridad 2023–2028?

La Política Nacional de Ciberseguridad (PNC) 2023–2028 fue aprobada por el Diario Oficial y marca metas país (gobernanza, capacidades y cooperación). La Ley 21.663 le da institucionalidad (ANCI), obligaciones y sanciones. En términos de gestión, PNC = rumbo; Ley = reglas y control.

¿Qué pide la ley más allá del reporte?

Principios y obligaciones:

Medidas permanentes para prevenir, detectar, responder y recuperarse.
Cooperación y coordinación con la autoridad durante incidentes.
Seguridad desde el diseño y por defecto; proporcionalidad (“racionalidad”) en controles.
Para OIV: SGSI continuo, planes de continuidad/ciberseguridad certificados y ejercicios/simulacros periódicos.

¿Cuáles son las sanciones si no cumplo?

La norma establece infracciones leves, graves y gravísimas con multas y otras medidas (mayores cuando el infractor es OIV). Los rangos y criterios de graduación se detallan en la ley y normas conexas; revisa con tu asesoría legal según tu clasificación y el impacto del incumplimiento.
En definitiva, hay exposición económica y reputacional si omites reporte y controles.

¿Qué debo tener listo para cumplir con la regla 3/72/15?

Gobernanza: designa encargado/a 24/7 y suplentes; define quién reporta y autoriza.
Procedimiento de incidentes: flujo con tiempos internos (más exigentes que la ley), plantillas y bitácora.
Detección y evidencias: SIEM/SOC, registro de eventos, resguardo de logs y artefactos.
Comunicación: canales con CSIRT/ANCI y plan de notificación a terceros afectados.
Contratos: cláusulas de reporte y cooperación con proveedores TIC (hosting, SOC, nube).
Pruebas y simulacros: tabletop semestral, lecciones aprendidas y ajuste de controles.
Retención de datos: conservación de evidencias según políticas y ley.

La clave, responder a tiempo.

La Ley Marco de Ciberseguridad no se resuelve con un paper. Se trata de responder a tiempo, con evidencias y coordinación real.

El mejor momento para ordenar tu programa es ahora: responsabilidades, procedimiento 3/72/15, controles mínimos y simulacros. Lo demás: multas, reputación, y continuidad dependen de eso.

Preguntas Frecuentes

¿La Ley Marco de Ciberseguridad aplica si yo “solo” presto servicios digitales a empresas grandes?

Si tu cliente es servicio esencial o OIV, las cláusulas te arrastran a estándares equivalentes (reporte y controles). La ANCI puede requerir información en gestión de incidentes.

¿El reporte va a la ANCI o al CSIRT?

La Ley Marco de Ciberseguridad establece reportar al CSIRT Nacional con el esquema 3/72/15; la ANCI fija estándares, administra el registro y coordina. En OIV, hay planes de acción y plazos adicionales.

¿Qué me pide la Política Nacional de Ciberseguridad?

Es el marco estratégico país (2023–2028). Complementa a la ley con metas y líneas de acción; alinear tu programa reduce riesgo regulatorio.

¿Necesito certificaciones específicas?

La Ley Marco de Ciberseguridad habla de certificaciones para planes (OIV) y de un SGSI continuo; la ANCI publicará/actualizará estándares e instrucciones aplicables según sector.

Glosario

Ley 21.663 / Ley Marco de Ciberseguridad: norma chilena que define institucionalidad (ANCI), deberes y sanciones en ciberseguridad.
ANCI: autoridad técnica; dicta instrucciones, coordina estándares y el registro de incidentes.
Servicio esencial: actividad cuya interrupción impacta severamente; está sujeta a deberes de ciberseguridad.
OIV (operador de importancia vital): entidad crítica, pública o privada, calificada por ANCI con exigencias reforzadas.
3/72/15: plazos legales para alerta, actualización e informe final de incidentes.

Aviso: Este artículo es informativo y no constituye asesoría legal. Para casos específicos, revisa el texto oficial y las instrucciones vigentes en anci.gob.cl. (Estas referencias se basan en los documentos oficiales publicados en el Diario Oficial).

Fuentes consultadas

Chile, Ministerio del Interior y Seguridad Pública. (2024, 8 de abril). Ley N° 21.663: Ley marco de ciberseguridad. Diario Oficial de la República de Chile (Núm. 43.820). https://www.diariooficial.interior.gob.cl/publicaciones/2024/04/08/43820/01/2475674.pdf

Chile, Ministerio del Interior, Agencia Nacional de Ciberseguridad. (2025, 4 de junio). Instrucción General N° 1: Imparte instrucciones sobre inscripción de las instituciones calificadas como prestadores de servicios esenciales en la plataforma de reporte de incidentes de la Agencia Nacional de Ciberseguridad, conforme a la ley 21.663. Diario Oficial de la República de Chile (Núm. 44.165). https://www.diariooficial.interior.gob.cl/publicaciones/2025/06/04/44165/01/2653447.pdf

Chile, Ministerio del Interior y Seguridad Pública, Subsecretaría del Interior. (2023, 4 de diciembre). Decreto N° 164: Aprueba Política Nacional de Ciberseguridad 2023–2028. Diario Oficial de la República de Chile (Núm. 43.717). https://www.diariooficial.interior.gob.cl/publicaciones/2023/12/04/43717/01/2415658.pdf

Operadores de importancia vital OIV Innova-net

Innova-net es reconocido en la nómina de Operadores de Importancia Vital (ANCI)

El grupo tecnológico Innova-net fue incorporado en la nómina definitiva de Operadores de Importancia Vital (OIV) aprobada por la Agencia Nacional de Ciberseguridad (ANCI) y

Innova-Net celebra 10 años construyendo confianza en ciberseguridad e integración tecnológica

Una década no se mide solo en años, sino en decisiones que perduran. El aniversario Innova-Net nos encuentra en un punto de madurez con identidad

Innova-Net adquiere participación en las compañías Tecnoinver e IA360 conformando un grupo tecnológico con gobierno unificado

Innova-Net oficializa su compra de acciones en las compañías de Tecnoinver e IA360, dando origen a la participación en su directorio como grupo tecnológico con

Innova-Net presente en la RSA Conference 2025

Innova-Net se encuentra participando en la RSA Conference 2025, uno de los encuentros más importantes a nivel mundial en materia de ciberseguridad, celebrado en San

Manage Enterprice Network

Cloud & IT

Cybercurity

Manage Service Provider