Hasta 2024, Chile no tenía una ley general de ciberseguridad: solo normas sectoriales dispersas y la exigencia genérica de "cuidado razonable" que aplican a cualquier negocio. La Ley 21.663, conocida como Marco de Ciberseguridad e Infraestructura Crítica, cambia eso: crea una institucionalidad nacional dedicada, define categorías de empresas con obligaciones reforzadas y establece, por primera vez, un régimen formal de reporte de incidentes.
No es una ley que solo afecte a "empresas tecnológicas". Aplica directamente a organizaciones de salud, energía, finanzas, telecomunicaciones y otros sectores considerados estratégicos, y su lógica de gestión de riesgos se está convirtiendo en el estándar de referencia que exigen clientes, aseguradoras y socios comerciales, aunque tu empresa no esté formalmente obligada.
¿Qué es la Ley 21.663 y por qué importa?
La Ley 21.663 establece la institucionalidad nacional de ciberseguridad de Chile. Sus piezas centrales:
1. La ANCI (Agencia Nacional de Ciberseguridad e Infraestructura Crítica). El organismo rector: fiscaliza el cumplimiento, dicta normativa técnica complementaria y coordina la respuesta nacional ante incidentes de gran escala.
2. El CSIRT Nacional. El equipo de respuesta a incidentes de seguridad informática al que las organizaciones obligadas deben reportar. Actúa como punto de contacto técnico durante un incidente, no solo como receptor de un formulario.
3. Categorías de empresas obligadas. La ley distingue entre instituciones y servicios esenciales (obligaciones base) y Operadores de Importancia Vital (OIV): un nivel reforzado para organizaciones cuya interrupción tendría impacto sistémico en el país.
4. Obligaciones de gestión de riesgos, no solo de reacción. A diferencia de un enfoque puramente reactivo, la ley exige gestión continua de riesgos, controles mínimos de seguridad y gobierno de la ciberseguridad a nivel organizacional: no solo responder cuando algo falla.
Infraestructura crítica: ¿quiénes están obligados?
La ley aplica de forma directa a organizaciones que operan en sectores considerados estratégicos para el funcionamiento del país:
Hospitales, clínicas y prestadores de salud que dependen de sistemas conectados para operar (fichas clínicas electrónicas, equipamiento médico conectado, IoMT) están entre los sectores con mayor probabilidad de calificar como infraestructura crítica, dado el impacto directo de una interrupción sobre la atención de pacientes.
Otros sectores con exposición directa:
- Energía: generación, transmisión y distribución eléctrica, y suministro de combustibles.
- Servicios financieros: bancos, medios de pago y otras entidades cuya interrupción afecta el sistema financiero.
- Telecomunicaciones: proveedores de conectividad e infraestructura de red.
- Agua potable y saneamiento.
- Tecnología estratégica: proveedores de servicios de nube y TI de los que dependen operadores de los sectores anteriores.
Muchas PYMEs no calificarán como infraestructura crítica de forma directa, pero si son proveedoras de una organización que sí lo es (por ejemplo, un desarrollador de software para un hospital, o un proveedor de TI para un banco), pueden heredar exigencias contractuales de seguridad derivadas de esta ley, aunque no estén obligadas de forma directa.
Las obligaciones clave
Para las organizaciones alcanzadas por la ley, las exigencias centrales son:
Reporte de incidentes al CSIRT Nacional
Uno de los cambios más operativos de la ley es la obligación de reportar incidentes de ciberseguridad significativos al CSIRT Nacional dentro de plazos acotados, en vez de gestionarlos de forma puramente interna. Esto exige tener, antes de que ocurra un incidente:
- Un procedimiento documentado para clasificar la severidad de un incidente y decidir si es reportable.
- Un responsable designado que pueda ejecutar el reporte dentro del plazo, sin depender de que una sola persona esté disponible.
- Capacidad de detección: no se puede reportar a tiempo un incidente que no se detectó a tiempo. La gestión de riesgos y el reporte están directamente conectados.
El encargado de ciberseguridad: ¿quién asume esta responsabilidad?
La ley exige que la gestión de ciberseguridad tenga un responsable claro dentro de la organización: una figura equivalente a un CISO (Chief Information Security Officer), interno o externo, según el tamaño y la complejidad de la empresa.
- Para Operadores de Importancia Vital, contar con esta figura de forma formal es prácticamente indispensable, dado el nivel de exigencia y fiscalización.
- Para organizaciones más pequeñas o proveedoras indirectas, un CISO externo (o "CISO virtual") permite cumplir con el gobierno de seguridad exigido sin el costo de un cargo ejecutivo a tiempo completo.
¿Qué pasa si no se cumple?
La Ley 21.663 establece un régimen de sanciones administrativas aplicado por la ANCI, con infracciones clasificadas por gravedad, de forma similar a como opera el modelo sancionatorio de la Ley 21.719 de protección de datos. Los montos concretos dependen de la clasificación de la infracción, el tipo de operador y si hubo reincidencia, y se definen en la normativa complementaria de la ANCI.
Más allá de la multa administrativa, las consecuencias prácticas de un incumplimiento suelen incluir:
- Exposición operacional real: un incidente no gestionado a tiempo puede detener la operación de la empresa, no solo generar una sanción.
- Pérdida de confianza contractual: clientes y socios comerciales que exigen acreditación de cumplimiento pueden suspender o terminar contratos.
- Responsabilidad adicional si el incidente involucra además datos personales, activando en paralelo obligaciones bajo la Ley 21.719.
Para una evaluación concreta de cómo se clasificaría tu organización y qué exposición real tendría, lo recomendable es un diagnóstico específico: los montos varían demasiado según el caso como para generalizarlos de forma responsable en un artículo.
Plan de cumplimiento en 6 pasos
Así abordamos en IDATA Chile la preparación de una organización frente a la Ley 21.663:
Conclusión: gestión de riesgos, no solo cumplimiento en papel
La Ley 21.663 no busca que las empresas llenen un formulario y archiven una política: busca que la gestión de ciberseguridad sea una función real, con responsables, controles activos y capacidad de reportar a tiempo cuando algo falla. Ese es también el enfoque que da mejores resultados frente a cualquier ataque, esté o no la empresa formalmente obligada por la ley.
Si tu organización trata además datos personales de forma relevante, este trabajo se complementa directamente con la Ley 21.719: ambas normas comparten buena parte de la base de gestión de riesgos y controles.
Diagnóstico de aplicabilidad de la Ley 21.663 para tu empresa
Evaluamos si tu organización califica como infraestructura crítica y qué nivel de exigencia te corresponde. Sin compromiso.
