Ley 21.663 marco de ciberseguridad dejó de ser una conversación futura para transformarse en una exigencia concreta de cumplimiento en Chile. La Ley 21.663 establece la institucionalidad, los principios, las obligaciones y los mecanismos de supervisión en materia de ciberseguridad, tanto para organismos del Estado como para determinadas entidades privadas, y crea a la Agencia Nacional de Ciberseguridad (ANCI) como autoridad técnica y fiscalizadora. Para las organizaciones alcanzadas, esto eleva la ciberseguridad desde un tema operativo a un asunto de continuidad, riesgo, cumplimiento y resiliencia.
El cambio importa ahora porque la norma no solo define obligaciones mínimas para prevenir, contener, resolver y responder a incidentes, sino que también habilita un régimen de fiscalización y sanciones. En términos ejecutivos, ya no se trata únicamente de “tener seguridad”, sino de poder demostrar gobierno, controles, capacidad de respuesta y trazabilidad frente a una autoridad con facultades expresas.
¿Qué establece la Ley 21.663 marco de Ciberseguridad?
La Ley Marco de Ciberseguridad tiene por objeto estructurar, regular y coordinar las acciones de ciberseguridad de los organismos del Estado y entre estos y los particulares; fijar requisitos mínimos para la prevención y respuesta a incidentes; y establecer deberes, atribuciones y mecanismos de responsabilidad ante infracciones. La Ley 21.663 también incorpora definiciones clave, entre ellas ciberseguridad, incidente de ciberseguridad, resiliencia, riesgo y vulnerabilidad, lo que da una base regulatoria más clara para su aplicación.
Uno de sus elementos más relevantes es la creación de la ANCI, servicio público especializado que puede dictar protocolos y estándares, interpretar administrativamente la normativa, coordinar al CSIRT Nacional y administrar un Registro Nacional de Incidentes de Ciberseguridad. La propia ANCI resume que la Ley 21.663 fija la institucionalidad, los principios y la normativa que regirá las acciones de ciberseguridad y la relación entre el Estado y los particulares.
¿A quién aplica la Ley 21.663?
La Ley 21.663 aplica a instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital. Entre los servicios esenciales, la ley menciona, entre otros, energía, combustibles, agua potable y saneamiento, telecomunicaciones, infraestructura digital, servicios digitales y de TI gestionados por terceros, transporte, banca y medios de pago, seguridad social, salud y producción o investigación farmacéutica. Además, la ANCI puede calificar otros servicios como esenciales mediante resolución fundada cuando su afectación pueda causar daños graves a la población, a sectores económicos relevantes, al funcionamiento de la sociedad o a la seguridad pública.
Para la alta dirección, este punto es crítico: el alcance regulatorio no se limita a organismos públicos. También alcanza a entidades privadas en sectores estratégicos y, potencialmente, a otras organizaciones cuya afectación tenga impacto relevante. Por eso, incluso en empresas que aún no tienen certeza sobre su clasificación final, el momento para evaluar exposición regulatoria es ahora.
¿Qué obligaciones prácticas introduce la ley de ciberseguridad?
La norma establece deberes generales y, en el caso de operadores de importancia vital, obligaciones reforzadas. Entre los elementos más relevantes se encuentran:
- aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad;
- implementar sistemas de gestión de la seguridad de la información, en el caso de operadores de importancia vital;
- elaborar e implementar planes de continuidad operacional y ciberseguridad;
- realizar revisiones continuas y adoptar medidas oportunas para reducir impacto y propagación de incidentes;
- cooperar con la autoridad competente frente a incidentes y procesos de supervisión.
Desde una perspectiva B2B, esto impacta directamente en la forma en que las organizaciones abordan gobierno TI, gestión de riesgos, continuidad operacional, documentación de controles, respuesta a incidentes y priorización presupuestaria. No es solo una exigencia de seguridad; es también una exigencia de capacidad organizacional.
¿Qué riesgo enfrentan las empresas si no cumplen?
La ley contempla infracciones leves, graves y gravísimas, con sanciones que, según la síntesis oficial de la Biblioteca del Congreso Nacional, pueden variar entre 5.000 y 40.000 UTM, según la gravedad. La fiscalización y sanción pueden recaer en la autoridad sectorial correspondiente o, fuera de esos casos, en la ANCI.
Más allá del monto, el riesgo para la empresa es más amplio: sanción económica, exposición reputacional, deterioro de continuidad operacional, mayor escrutinio regulatorio y costos de remediación posteriores. En sectores críticos, además, un incidente mal gestionado puede afectar prestación de servicios, productividad y confianza de clientes o usuarios.
¿Por qué esta ley debe estar hoy en la agenda del CIO, CISO y la gerencia?
La nueva regulación transforma la ciberseguridad en una obligación de gestión, no solo en una función técnica. La entrada en operación de la ANCI y el desarrollo regulatorio asociado confirman que Chile está avanzando hacia un esquema con mayores exigencias formales para sectores críticos. De hecho, la ANCI ya ha publicado recursos normativos y actividades específicas sobre Servicios Esenciales y OIV: cumplimientos y desafíos de la Ley Marco de Ciberseguridad, señal de que el foco está hoy en la implementación práctica.
Para los tomadores de decisión, la pregunta ya no es si la ley importa, sino si la organización tiene claridad sobre su nivel de madurez, sus brechas y su capacidad real para cumplir.
En ese contexto, conviene cerrar con una pregunta directa: ¿te estás apoyando en alguien para el cumplimiento de la ley marco de ciberseguridad? ¿te estás protegiendo de las multas? En Innova-Net contamos con un equipo de consultoría que puede apoyar este proceso. Ayudamos a evaluar el nivel de madurez de ciberseguridad de la organización y a implementar medidas alineadas con los nuevos requisitos regulatorios, con foco en cumplimiento, reducción de exposición y preparación frente a fiscalización.
Contáctanos
contacto@innova-net.cl
+569 4228 0749
Referencias
Agencia Nacional de Ciberseguridad. (s. f.). Ley Marco de Ciberseguridad. Gobierno de Chile.
Agencia Nacional de Ciberseguridad. (s. f.). Leyes. Gobierno de Chile.
Agencia Nacional de Ciberseguridad. (2024). DFL de la Ley 21.663 fue publicado en el Diario Oficial. Gobierno de Chile.
Biblioteca del Congreso Nacional de Chile. (2024). Ley N° 21.663, Ley Marco de Ciberseguridad. LeyChile.
