Hasta 2024, Chile no tenía una ley general de ciberseguridad: solo normas sectoriales dispersas y la exigencia genérica de "cuidado razonable" que aplican a cualquier negocio. La Ley 21.663, conocida como Marco de Ciberseguridad e Infraestructura Crítica, cambia eso: crea una institucionalidad nacional dedicada, define categorías de empresas con obligaciones reforzadas y establece, por primera vez, un régimen formal de reporte de incidentes.

No es una ley que solo afecte a "empresas tecnológicas". Aplica directamente a organizaciones de salud, energía, finanzas, telecomunicaciones y otros sectores considerados estratégicos, y su lógica de gestión de riesgos se está convirtiendo en el estándar de referencia que exigen clientes, aseguradoras y socios comerciales, aunque tu empresa no esté formalmente obligada.

¿Tu empresa podría estar obligada? Si operas en salud, energía, agua, telecomunicaciones, servicios financieros o tecnología considerada estratégica para el país, es probable que la Ley 21.663 te alcance directamente como operador de infraestructura crítica o de importancia vital. Si no estás seguro, es la primera pregunta que hay que resolver.
2024 Año de promulgación · ley ya vigente
ANCI Nueva Agencia Nacional de Ciberseguridad
CSIRT Equipo nacional de respuesta a incidentes
OIV Operadores de Importancia Vital, categoría reforzada

¿Qué es la Ley 21.663 y por qué importa?

La Ley 21.663 establece la institucionalidad nacional de ciberseguridad de Chile. Sus piezas centrales:

1. La ANCI (Agencia Nacional de Ciberseguridad e Infraestructura Crítica). El organismo rector: fiscaliza el cumplimiento, dicta normativa técnica complementaria y coordina la respuesta nacional ante incidentes de gran escala.

2. El CSIRT Nacional. El equipo de respuesta a incidentes de seguridad informática al que las organizaciones obligadas deben reportar. Actúa como punto de contacto técnico durante un incidente, no solo como receptor de un formulario.

3. Categorías de empresas obligadas. La ley distingue entre instituciones y servicios esenciales (obligaciones base) y Operadores de Importancia Vital (OIV): un nivel reforzado para organizaciones cuya interrupción tendría impacto sistémico en el país.

4. Obligaciones de gestión de riesgos, no solo de reacción. A diferencia de un enfoque puramente reactivo, la ley exige gestión continua de riesgos, controles mínimos de seguridad y gobierno de la ciberseguridad a nivel organizacional: no solo responder cuando algo falla.

Infraestructura crítica: ¿quiénes están obligados?

La ley aplica de forma directa a organizaciones que operan en sectores considerados estratégicos para el funcionamiento del país:

Salud · Alto riesgo regulatorio

Hospitales, clínicas y prestadores de salud que dependen de sistemas conectados para operar (fichas clínicas electrónicas, equipamiento médico conectado, IoMT) están entre los sectores con mayor probabilidad de calificar como infraestructura crítica, dado el impacto directo de una interrupción sobre la atención de pacientes.

Otros sectores con exposición directa:

  • Energía: generación, transmisión y distribución eléctrica, y suministro de combustibles.
  • Servicios financieros: bancos, medios de pago y otras entidades cuya interrupción afecta el sistema financiero.
  • Telecomunicaciones: proveedores de conectividad e infraestructura de red.
  • Agua potable y saneamiento.
  • Tecnología estratégica: proveedores de servicios de nube y TI de los que dependen operadores de los sectores anteriores.

Muchas PYMEs no calificarán como infraestructura crítica de forma directa, pero si son proveedoras de una organización que sí lo es (por ejemplo, un desarrollador de software para un hospital, o un proveedor de TI para un banco), pueden heredar exigencias contractuales de seguridad derivadas de esta ley, aunque no estén obligadas de forma directa.

Las obligaciones clave

Para las organizaciones alcanzadas por la ley, las exigencias centrales son:

1
Gestión continua de riesgos de ciberseguridad Identificar activos críticos, evaluar amenazas y vulnerabilidades, y mantener ese análisis actualizado: no como un ejercicio de una sola vez.
2
Controles mínimos de seguridad Implementar medidas técnicas y organizativas proporcionales al riesgo: control de accesos, segmentación de redes, gestión de vulnerabilidades y monitoreo.
3
Gobierno de la ciberseguridad Designar responsabilidades claras a nivel organizacional para la gestión de la seguridad de la información: no puede depender de una sola persona sin respaldo formal.
4
Reporte de incidentes al CSIRT Nacional Notificar incidentes relevantes dentro de los plazos que establece la ley y su normativa complementaria (ver sección siguiente).
5
Planes de continuidad operacional Preparación para que la organización pueda seguir operando, o recuperarse rápidamente, ante un incidente que afecte sus sistemas críticos.

Reporte de incidentes al CSIRT Nacional

Uno de los cambios más operativos de la ley es la obligación de reportar incidentes de ciberseguridad significativos al CSIRT Nacional dentro de plazos acotados, en vez de gestionarlos de forma puramente interna. Esto exige tener, antes de que ocurra un incidente:

  • Un procedimiento documentado para clasificar la severidad de un incidente y decidir si es reportable.
  • Un responsable designado que pueda ejecutar el reporte dentro del plazo, sin depender de que una sola persona esté disponible.
  • Capacidad de detección: no se puede reportar a tiempo un incidente que no se detectó a tiempo. La gestión de riesgos y el reporte están directamente conectados.
El reporte tardío también es una infracción. No reportar, o reportar fuera de plazo, se trata como un incumplimiento independiente del incidente mismo, que a su vez puede generar además responsabilidad si el incidente se debió a controles de seguridad insuficientes.

El encargado de ciberseguridad: ¿quién asume esta responsabilidad?

La ley exige que la gestión de ciberseguridad tenga un responsable claro dentro de la organización: una figura equivalente a un CISO (Chief Information Security Officer), interno o externo, según el tamaño y la complejidad de la empresa.

  • Para Operadores de Importancia Vital, contar con esta figura de forma formal es prácticamente indispensable, dado el nivel de exigencia y fiscalización.
  • Para organizaciones más pequeñas o proveedoras indirectas, un CISO externo (o "CISO virtual") permite cumplir con el gobierno de seguridad exigido sin el costo de un cargo ejecutivo a tiempo completo.
No es solo un cargo: es una función. Lo que la ley busca no es un título en el organigrama, sino que exista una responsabilidad real y ejercida: alguien con autoridad para priorizar recursos de seguridad, responder ante incidentes y reportar al directorio o a la gerencia general sobre el estado del riesgo.

¿Qué pasa si no se cumple?

La Ley 21.663 establece un régimen de sanciones administrativas aplicado por la ANCI, con infracciones clasificadas por gravedad, de forma similar a como opera el modelo sancionatorio de la Ley 21.719 de protección de datos. Los montos concretos dependen de la clasificación de la infracción, el tipo de operador y si hubo reincidencia, y se definen en la normativa complementaria de la ANCI.

Más allá de la multa administrativa, las consecuencias prácticas de un incumplimiento suelen incluir:

  • Exposición operacional real: un incidente no gestionado a tiempo puede detener la operación de la empresa, no solo generar una sanción.
  • Pérdida de confianza contractual: clientes y socios comerciales que exigen acreditación de cumplimiento pueden suspender o terminar contratos.
  • Responsabilidad adicional si el incidente involucra además datos personales, activando en paralelo obligaciones bajo la Ley 21.719.

Para una evaluación concreta de cómo se clasificaría tu organización y qué exposición real tendría, lo recomendable es un diagnóstico específico: los montos varían demasiado según el caso como para generalizarlos de forma responsable en un artículo.

Plan de cumplimiento en 6 pasos

Así abordamos en IDATA Chile la preparación de una organización frente a la Ley 21.663:

1
Diagnóstico de aplicabilidad Determinamos si tu organización califica como infraestructura crítica, OIV, o proveedora indirecta de una, y con qué nivel de exigencia. Duración: 1–2 semanas.
2
Gap analysis contra los controles exigidos Comparamos el estado actual de tu seguridad contra los controles mínimos esperados por la ley y su normativa complementaria.
3
Gobierno de seguridad Definimos o formalizamos la figura responsable (CISO interno o externo) y las líneas de reporte hacia la dirección.
4
Procedimiento de gestión y reporte de incidentes Diseñamos el protocolo interno de clasificación de incidentes y el flujo de reporte al CSIRT Nacional dentro de los plazos exigidos.
5
Implementación de controles Cerramos las brechas priorizadas: control de accesos, segmentación, gestión de vulnerabilidades y monitoreo continuo.
6
Preparación para fiscalización Documentamos evidencia de cumplimiento y dejamos a tu equipo preparado para responder ante una fiscalización de la ANCI sin sorpresas.

Conclusión: gestión de riesgos, no solo cumplimiento en papel

La Ley 21.663 no busca que las empresas llenen un formulario y archiven una política: busca que la gestión de ciberseguridad sea una función real, con responsables, controles activos y capacidad de reportar a tiempo cuando algo falla. Ese es también el enfoque que da mejores resultados frente a cualquier ataque, esté o no la empresa formalmente obligada por la ley.

Si tu organización trata además datos personales de forma relevante, este trabajo se complementa directamente con la Ley 21.719: ambas normas comparten buena parte de la base de gestión de riesgos y controles.

Diagnóstico de aplicabilidad de la Ley 21.663 para tu empresa

Evaluamos si tu organización califica como infraestructura crítica y qué nivel de exigencia te corresponde. Sin compromiso.