Ley de ciberseguridad en Chile: ¿Te estás apoyando en alguien para el cumplimiento de la ley de ciberseguridad en tu organización?
A través de la creación de la Agencia Nacional de Ciberseguridad (ANCI), Chile ha implementado un nuevo marco legal que transforma la ciberseguridad en una obligación de Estado, y cuenta con una autoridad con facultades para fiscalizar y aplicar multas relevantes a organizaciones públicas y privadas sujetas a la norma.
¿Qué cambió “ahora” y por qué debe estar en la agenda del CISO y la alta dirección?
La Ley N° 21.663 establece institucionalidad, requisitos mínimos para prevenir y responder incidentes, atribuciones y obligaciones para sujetos obligados, y mecanismos de supervisión y responsabilidad ante infracciones. En términos ejecutivos: ya no es un tema solo técnico; impacta gobierno corporativo, continuidad operacional, riesgo y costos por sanción.
La ley también crea formalmente la Agencia Nacional de Ciberseguridad (ANCI) y le asigna atribuciones clave, incluyendo dictar instrucciones obligatorias, coordinar CSIRT, administrar un registro nacional de incidentes y calificar servicios esenciales y operadores de importancia vital (OIV).
¿Qué exige la ley de ciberseguridad y qué riesgos asume su organización si no cumple?
La ley contempla un régimen de infracciones (leves, graves, gravísimas) aplicable a sujetos obligados y un régimen específico para operadores de importancia vital.
En materia de sanciones, la norma establece multas en unidades tributarias mensuales (UTM) según gravedad, con topes distintos para OIV:
- Infracciones leves: hasta 5.000 UTM (hasta 10.000 UTM si es OIV).
- Infracciones graves: hasta 10.000 UTM (hasta 20.000 UTM si es OIV).
- Infracciones gravísimas: hasta 20.000 UTM (hasta 40.000 UTM si es OIV).
¿Por qué importa para continuidad y riesgo?: la misma ley tipifica como infracciones, entre otras, el no implementar protocolos/estándares, no elaborar o implementar planes de continuidad, o no adoptar medidas oportunas para reducir impacto y propagación de incidentes (con foco reforzado para OIV).
Desde una mirada de gestión, esto eleva el cumplimiento a un componente del riesgo operacional y de la resiliencia del negocio.
¿Cómo saber si necesito apoyo externo para el cumplimiento de la ley de ciberseguridad?
Una señal frecuente en organizaciones medianas y grandes es que los controles existen, pero no están trazados a obligaciones, evidencias y responsabilidades internas. Para un CIO/CISO, la pregunta práctica es: ¿podemos demostrar cumplimiento ante requerimientos de autoridad, auditoría o terceros críticos?
Considere apoyo especializado si hoy ocurre alguno de estos escenarios:
- No existe un diagnóstico formal alineado a marcos reconocidos (p. ej., ISO 27001 / controles de referencia).
- La continuidad operacional y la ciberseguridad están gestionadas como iniciativas separadas (sin visión de riesgo integral).
- La organización no tiene una ruta clara para cerrar brechas con priorización por impacto.
- El cumplimiento se aborda “por proyecto”, sin gobierno y responsables definidos.
¿Cómo Innova-net contribuye al cumplimiento de la ley de ciberseguridad en tu organización?
Innova-net ofrece un servicio de evaluación de cumplimiento normativo para ayudar a las organizaciones a medir su preparación, identificar brechas y priorizar acciones frente a las exigencias de la ley marco de ciberseguridad. El objetivo es que su organización cuente con una visión clara de su postura actual, los riesgos de cumplimiento y una ruta realista para cerrar diferencias.
En lugar de concentrarse en teoría, la evaluación se orienta a convertir el cumplimiento en un plan ejecutable, con foco en gobierno, continuidad operacional, respuesta ante incidentes y control de riesgos, facilitando la toma de decisiones a nivel ejecutivo.
¿Qué resultados obtiene la organización y cómo se mide el avance?
El resultado principal es una línea base para entender dónde está la organización y qué debe priorizar para avanzar hacia el cumplimiento ley de ciberseguridad. Para facilitar gestión y seguimiento, la evaluación considera una medición de madurez de los procesos y capacidades, que permite comparar avance en el tiempo (antes/después) y ordenar un roadmap.
A nivel de KPIs típicos para dirección y comités de riesgo, el servicio permite aterrizar indicadores como:
- Nivel de madurez de capacidades clave (gobernanza, controles, continuidad, respuesta).
- Brechas priorizadas por impacto y urgencia, con foco en reducción de exposición regulatoria y operacional.
- Plan de acción por horizontes (acciones inmediatas, mediano y largo plazo), para ejecutar sin improvisación.
¿Qué entregables recibe el cliente?
La evaluación está diseñada para entregar insumos útiles y accionables para equipos TI y para la alta dirección. De forma general, los entregables incluyen:
- Resumen ejecutivo con hallazgos clave y prioridades.
- Diagnóstico de brechas y riesgos relevantes, para orientar decisiones y presupuesto.
- Hoja de ruta priorizada para implementar mejoras de manera gradual, con foco en resultados.
La ley de ciberseguridad instala un escenario donde el cumplimiento requiere evidencia, trazabilidad y capacidad de respuesta. Si su organización necesita reducir exposición a riesgos regulatorios y ordenar un plan claro de acción, la evaluación de cumplimiento normativo de Innova-net permite establecer una línea base, priorizar brechas y avanzar con un roadmap ejecutable.
Para conocer el alcance específico y los pasos recomendados según su caso, lo más eficiente es coordinar una conversación con el equipo de consultoría de Innova-net.
Contacto:
valeria.munoz@innova-net.cl
contacto@innova-net.cl
+569 4228 0749
Fuentes de información
Ministerio del Interior y Seguridad Pública. (2024, 8 de abril). Ley N° 21.663: Ley marco de ciberseguridad (Diario Oficial de la República de Chile, Núm. 43.820).
Agencia Nacional de Ciberseguridad (ANCI). (s. f.). Ley Marco de Ciberseguridad (Normativa).
Innova-net. (2026, 8 de enero). Ley Marco de Ciberseguridad: ¿qué exige la Ley 21.663 en Chile?
Biblioteca del Congreso Nacional de Chile. (s. f.). Ley N° 21.719 (Protección de datos personales).
Biblioteca del Congreso Nacional de Chile. (s. f.). Ley N° 21.459 (Delitos informáticos).
