¿Eres CISO, líder de TI, compliance o continuidad operativa y te toca “aterrizar” la ley marco de ciberseguridad en tu empresa? Imagina que hoy mismo debes enviar la alerta inicial en 3 horas, preparar la actualización a las 72 y cerrar con un informe final en 15 días: ¿quién lo hace, con qué evidencias y bajo qué procedimiento? Esta guía está pensada para profesionales que deben actualizar su programa a la Ley 21.663, explicando qué obligaciones aplican, cómo inscribirse y reportar, qué procesos documentar, qué métricas seguir y cómo coordinar a proveedores y áreas internas para cumplir sin improvisaciones. Si buscas un mapa claro—del “qué” al “cómo”—sigue leyendo.
¿Qué es la Ley 21.663 (ley marco de ciberseguridad) y cuál es su objetivo?
La Ley 21.663, publicada en el Diario Oficial el 8 de abril de 2024, establece la institucionalidad, principios y normas generales para prevenir, contener, responder y reportar incidentes de ciberseguridad en Chile, tanto en el sector público como en entidades privadas alcanzadas por la norma. Crea la Agencia Nacional de Ciberseguridad (ANCI) y fija obligaciones, coordinaciones con CSIRT y un régimen sancionatorio.
Lo esencial: la ley introduce estándares mínimos obligatorios, centraliza la coordinación estatal a través de la ANCI y determina deberes de reporte y controles para organizaciones que prestan servicios esenciales o son operadores de importancia vital (OIV).
¿A quiénes aplica la ley marco de ciberseguridad en Chile?
La ley se aplica a:
- Instituciones que prestan “servicios esenciales” (definidos por la propia ley y/o calificados por resolución de la ANCI).
- Operadores de importancia vital (OIV), según el procedimiento de calificación establecido.
Ejemplos de servicios esenciales: electricidad; combustibles; agua potable y saneamiento; telecomunicaciones; infraestructura y servicios digitales (incluyendo TI gestionados por terceros); transporte (terrestre, aéreo, ferroviario, marítimo); banca, servicios financieros y medios de pago; prestaciones de seguridad social; salud (hospitales, clínicas); postales y mensajería; farmacéuticos (producción/investigación). La ANCI puede incorporar otros mediante resolución fundada.
¿Qué instituciones y roles crea o refuerza la ley?
- ANCI (Agencia Nacional de Ciberseguridad): coordina, fiscaliza, dicta instrucciones y puede requerir información para gestionar incidentes; fija lineamientos y, vía instrucciones generales, operativiza procesos (p. ej., inscripción en la plataforma de reporte).
- CSIRT Nacional y CSIRT sectoriales (incluida Defensa): previenen, detectan, gestionan y responden incidentes, conforme a políticas predefinidas y coordinación con la ANCI. Diario Oficial
En resumen: la gobernanza pasa de “mejores prácticas” voluntarias a exigencias reguladas con autoridad técnica y potestad sancionatoria.
¿Cuáles son los deberes de reporte de incidentes y los plazos clave?
Estructura de reporte para instituciones obligadas (visión general):
- Alerta temprana: hasta 3 horas desde que se toma conocimiento del incidente.
- Segundo reporte: hasta 72 horas (actualización de gravedad, impacto e indicadores).
- Informe final: hasta 15 días corridos desde la alerta temprana.
Algunas obligaciones pueden ser más estrictas para OIV (p. ej., exigencias de actualización de 24 horas y planes de acción específicos).
Nota: la ANCI ha emitido la Instrucción General N° 1 (04.06.2025) sobre inscripción obligatoria de prestadores de servicios esenciales en la plataforma de reporte, con vigencia al quinto día hábil desde su publicación. El incumplimiento es infracción leve.
¿Qué otras obligaciones centrales impone la ley marco de ciberseguridad?
- Medidas permanentes para prevenir, detectar, responder y recuperar (tecnológicas, organizacionales, físicas e informativas).
- Cooperación con la autoridad y coordinación entre sectores durante incidentes.
- Principios rectores (control de daños, seguridad desde el diseño y por defecto, respuesta responsable —sin acciones ofensivas—, racionalidad de medidas).
- Capacitación y cultura de ciberseguridad, auditorías y posibles certificaciones para OIV, según defina la ANCI por reglamento.
¿Qué pasa si no cumplo? ¿Cómo clasifica sanciones la Ley 21.663?
Las infracciones se clasifican en leves, graves y gravísimas; la ley contempla multas significativas y otras medidas, con topes mayores cuando el infractor es un OIV. Distintas fuentes especializadas resumen rangos máximos en UTM y subrayan la exposición para servicios esenciales. Para una referencia práctica, ver análisis sectoriales y resúmenes técnicos.
Consejo: valida los rangos vigentes y tu clasificación (servicio esencial u OIV) con tu asesoría legal y las instrucciones/guías publicadas por la ANCI.
¿Cómo saber si mi empresa debe inscribirse y reportar ante la ANCI?
- Identifica si prestas un servicio esencial (por ley o por resolución ANCI).
- Determina si eres OIV (según procedimiento legal).
- Si eres obligado, inscríbete en la plataforma de reporte (Instrucción General N°1) y define responsables 24/7.
Lo clave es… no esperar una notificación: revisa tu cadena de valor (incluyendo proveedores TIC) y formaliza el circuito de reporte.
Te podría interesar: Ley 21.663: Tecnoinver obtiene certificaciones clave en ciberseguridad
¿Qué “mínimos razonables” debería implementar hoy para cumplir?
Definición rápida:
- Gobernanza: roles y responsables (CISO/encargado), comité de incidentes y políticas aprobadas.
- Gestión de riesgos: inventario de activos críticos, mapas de dependencia y análisis de impacto.
- Controles técnicos: endurecimiento, segmentación, gestión de vulnerabilidades, respaldo verificado, monitoreo y alertas.
- SOC/CSIRT interno o tercerizado: procedimientos de detección, reporte (3/72/15) y respuesta.
- Proveedor y terceros: cláusulas de ciberseguridad y reporte de incidentes.
- Cultura y capacitación: simulacros, playbooks, tabletops y lecciones aprendidas.
¿Por qué? Porque la ley exige medidas permanentes y cooperación diligente, y el reloj del reporte corre desde que conoces el incidente.
¿Qué términos define la ley y por qué te importan?
La norma incorpora definiciones operativas como ciberseguridad, incidente de ciberseguridad, CSIRT, resiliencia, vulnerabilidad y red/sistema informático. Dominar estas nociones facilita alinear procesos internos con lo que la autoridad interpreta como cumplimiento.
Ejemplo útil: “incidente de ciberseguridad” abarca eventos que afecten confidencialidad, integridad, disponibilidad o resiliencia, o la autenticación de procesos; no se limita a “ataques” evidentes.
¿Qué sectores y nichos deben poner especial atención (y en qué)?
Tabla-resumen por nicho (guía rápida):
| Sector/Nicho | ¿Por qué aplica? | Puntos críticos | Acción inmediata |
| Energía y combustibles | Servicio esencial por impacto país | Continuidad operativa, telemetría OT/IT | Registro ANCI, runbooks 24/7 y pruebas de contingencia |
| Agua y saneamiento | Crítico para salud pública | Telecontrol, operación remota segura | Segmentación de redes y reporte 3/72/15 |
| Telecom e infraestructura digital | Soporta servicios vitales y datos | DDoS, peering, dependencia multi-proveedor | Panel de incidentes y acuerdo de reporte con terceros |
| Servicios digitales / TI gestionados | Alcanzados expresamente | SLA de seguridad, cadena de subcontratistas | Cláusulas contractuales y métricas de ciberseguridad |
| Banca y financieros | Impacto sistémico y datos sensibles | Detección de fraude, continuidad transaccional | Integración SOC–riesgo operativo y playbooks |
| Salud | Riesgo a la vida e información sensible | HCE, IoMT, continuidad clínica | Priorización de activos críticos y simulacros |
| Transporte (terrestre/aéreo/ferro/marítimo) | Infraestructura y logística país | OT, centros de control, georreferenciación | Gestión de parches y tabletop con autoridades |
| Postales y mensajería | Continuidad y trazabilidad | Integridad de datos y privacidad | Políticas de cifrado y resguardo de evidencias |
| Farmacéuticos (prod./I+D) | Cadena de suministros críticos | Propiedad industrial y calidad | Control de cambios y monitoreo de integridad |
Fuente legal de la lista de “servicios esenciales” y alcances: Ley 21.663. Ley Chile
¿Cómo opera la inscripción obligatoria y qué riesgo hay si no cumplo?
La Instrucción General N°1 de la ANCI ordena a los prestadores de servicios esenciales inscribirse en la plataforma de reporte. Rige desde el quinto día hábil tras su publicación y el incumplimiento constituye infracción leve (sancionable). Asegura encargado/a registrado y canales 24/7.
¿Qué buenas prácticas ayudan a demostrar cumplimiento “razonable”?
- Mapeo de incidentes notificados (quién, cuándo, a qué CSIRT/ANCI, ticket, evidencias).
- Trazabilidad de decisiones (criterios de severidad, escalamiento, contención).
- Evidencia de capacitación (registros y resultados).
- Controles de terceros (auditorías, pen tests, SOC); contrato con cláusulas de reporte.
- Revisión post-incidente (RCA/lessons learned) y actualización de controles.
Estas prácticas facilitan auditorías y reducen exposición a multas graduadas por gravedad.
¿Dónde consulto el texto oficial y las instrucciones vigentes?
- Texto íntegro en el Diario Oficial (publicación del 08.04.2024). Diario Oficial
- Portal de la ANCI – Normativa (leyes e instrucciones generales). ANCI
- BCN – LeyChile (compilación y definiciones legales). Ley Chile – Biblioteca del Congreso Nacional
¿Cómo empezar hoy un plan mínimo de adecuación a la ley de ciberseguridad?
- Diagnóstico rápido de exposición: inventario de activos críticos, dependencias y gaps.
- Gobernanza y responsables con guardias 24/7 y decisión de severidad.
- Procedimiento de reporte 3/72/15 ensayado (con checklist y plantillas).
- Controles de base: gestión de parches, endurecimiento, copias probadas, monitoreo.
- Contratos y terceros: cláusulas de ciberseguridad y reporte.
- Capacitación y simulacros: tabletops y drills por nicho.
En resumen: la Ley marco de ciberseguridad 21.663 en Chile no es solo reporte; exige capacidad real de prevenir, contener y recuperarse, con pruebas de que tu organización sabe qué hacer (y cuándo hacerlo).
Preguntas frecuentes (Q&A) ley marco de ciberseguridad
¿La ley 21.663 aplica a mi empresa si no soy “servicio esencial”?
Podrías quedar fuera de las obligaciones más duras, pero si operas con/para un esencial u OIV, deberás alinearte contractualmente y por cadena de suministro. Revisa tu rol en la cadena y tus dependencias de Ley Chile.
¿Qué pasa si subcontrato el SOC o el hosting?
La responsabilidad de reportar y proteger no se delega totalmente; exige coordinación contractual y evidencias de cumplimiento con el proveedor.
¿Dónde están los plazos oficiales de reporte?
La ANCI publica guías y soporte con los plazos 3/72/15, y ha emitido instrucciones formales (p. ej., IG N°1 para inscripción). Verifica las actualizaciones.
¿Cómo se determinan las sanciones?
Por gravedad (leve, grave, gravísima) y, en OIV, los topes pueden ser más altos. Confirma rangos con tu asesoría y textos vigentes.
Glosario
- ley marco de ciberseguridad / ley de ciberseguridad / Ley 21.663: norma chilena que regula la ciberseguridad en Chile y crea la ANCI.
- Servicios esenciales: actividades críticas del Estado/privados listadas por la ley; pueden ampliarse por ANCI.
- OIV: operador cuya interrupción tendría impacto severo; sujeto a obligaciones reforzadas.
- CSIRT: equipo que gestiona incidentes; existe a nivel nacional y sectorial.
- 3/72/15: regla práctica de reportes de incidentes (alerta, actualización, informe final).
Si hoy te cuesta responder “sí” a ¿podemos reportar en 3 horas?, tu prioridad es convertir el cumplimiento de la ley marco de ciberseguridad en una capacidad operativa. Con procesos, roles y tecnología adecuados, el cumplimiento deja de ser una carga y se vuelve una ventaja competitiva.
Fuentes clave:
Diario Oficial (Ley 21.663)
