Saltar al contenido principal
tisec.cl
Leyes

Qué significa la Ley Marco de Ciberseguridad para una PYME en Chile

La Ley 21.663 no solo aplica a las grandes corporaciones. Explicamos qué obliga a hacer a las empresas medianas y pequeñas, y cómo prepararse sin gastar una fortuna.

Básico Equipo Tisec

Chile entró en una nueva era de ciberseguridad regulada el 8 de marzo de 2024, cuando entró en vigencia la Ley Marco de Ciberseguridad (Ley 21.663). La noticia llenó los titulares de tecnología y algunos dueños de PYMEs se preguntaron: ¿esto me aplica a mí?

La respuesta corta es: depende, pero probablemente sí en algunos aspectos. Aquí te explicamos qué significa en términos concretos para una empresa mediana o pequeña en Chile.

El malentendido más común

La mayoría de los artículos sobre la Ley 21.663 hablan de los Operadores de Importancia Vital (OIV): empresas del sector energético, bancario, telecomunicaciones o infraestructura crítica que tienen obligaciones especiales y multas millonarias si no cumplen.

Eso genera la impresión de que la ley solo aplica a las grandes corporaciones. Error.

La ley también establece obligaciones generales para cualquier institución que opere sistemas digitales y servicios en Chile. Esto incluye a las PYMEs.

Lo que la ley te pide hacer, seas o no OIV

1. Reportar incidentes de ciberseguridad

Si tu empresa sufre un incidente de ciberseguridad significativo —un ransomware que cifra tus archivos, una brecha de datos de clientes, un acceso no autorizado a tus sistemas— tienes la obligación de reportarlo a la ANCI.

El plazo es de 24 horas desde que tomas conocimiento del incidente. Si eres OIV, ese plazo se reduce a 3 horas.

¿Qué pasa si no reportas? La ley contempla sanciones por incumplimiento, aunque la magnitud dependerá de los reglamentos que se vayan dictando.

2. Cooperar con las autoridades

Durante una emergencia nacional de ciberseguridad o en investigaciones, la ley te obliga a cooperar con la ANCI. En términos prácticos, esto significa que si el CSIRT de Gobierno te contacta en el contexto de una investigación de ciberseguridad, debes responder y facilitar la información que tengas.

3. Implementar medidas mínimas

La ANCI tiene la facultad de dictar instrucciones generales y particulares sobre medidas de ciberseguridad. Esto significa que, en el futuro cercano, habrá un reglamento que especifique qué medidas mínimas de seguridad deben tener los sistemas digitales en Chile.

¿Cuáles son los riesgos reales para mi PYME?

Seamos honestos: una PYME que no es OIV no enfrenta las multas millonarias que sí puede enfrentar un banco o una empresa de telecomunicaciones. El impacto regulatorio directo es menor.

Pero el riesgo real viene de otro lado:

Riesgo operacional

Un ataque de ransomware puede paralizar tu operación por días o semanas. El costo promedio de recuperación para una PYME sin respaldo adecuado supera los $5 millones de pesos chilenos en pérdidas directas e indirectas, según estudios de la industria.

Riesgo de reputación

Si manejas datos de clientes —y prácticamente toda empresa con una base de datos lo hace— una brecha puede destruir la confianza que tardaste años en construir.

Si eres proveedor de una empresa que sí es OIV, tu cliente puede exigirte cumplir con sus estándares de seguridad como condición del contrato. En la cadena de suministro digital, la seguridad del eslabón más débil importa.

Cinco cosas concretas que una PYME puede hacer ahora

1. Designa un responsable

No necesitas contratar un CISO (Director de Seguridad de la Información). Puede ser tu gerente TI, tu proveedor externo de TI, o incluso tú mismo con la capacitación adecuada. Lo importante es que haya una persona con responsabilidad clara en seguridad.

2. Haz un inventario de tus datos

¿Qué datos de clientes tienes? ¿Dónde están guardados? ¿Quién tiene acceso? No puedes proteger lo que no conoces.

3. Implementa backup offline

La regla 3-2-1: 3 copias de los datos importantes, en 2 tipos de medios diferentes, con 1 copia offline (desconectada de internet). Esto es lo que más diferencia a las empresas que sobreviven un ransomware de las que no.

4. Activa la autenticación de dos factores

En tu correo corporativo, en tu software de contabilidad, en tu sistema de gestión de clientes. El segundo factor (un SMS o app como Google Authenticator) bloquea el 99% de los ataques de credenciales robadas.

5. Prepara un procedimiento de respuesta a incidentes

Al menos saber: quién llamas si hay un problema, cómo reportas a la ANCI y qué sistemas son críticos para tu operación. Revisa nuestra guía completa en la sección de Guías.

La ANCI: tu nueva contraparte regulatoria

La Agencia Nacional de Ciberseguridad (ANCI) es el nuevo ente regulador de la ciberseguridad en Chile, creado por esta misma ley. Sus funciones incluyen:

  • Emitir regulación técnica sobre ciberseguridad
  • Coordinar la respuesta nacional a incidentes
  • Fiscalizar a los OIV
  • Capacitar y asistir a organismos públicos y privados

Para las PYMEs, la ANCI también tiene un rol de apoyo y orientación, no solo fiscalizador. Su CSIRT puede ayudarte si sufres un incidente.

Conclusión

La Ley 21.663 cambia el paisaje de la ciberseguridad en Chile. Para las PYMEs, las obligaciones directas son menores que para los OIV, pero la ley introduce un marco de responsabilidad y reporte que aplica a todas las empresas que operan en Chile.

Lo más importante no es el cumplimiento regulatorio por sí solo, sino la realidad que la ley refleja: los ataques cibernéticos son cada vez más frecuentes, más baratos de ejecutar y más costosos de sufrir. La ley te da una razón adicional para tomar medidas que de todos modos debería tomar cualquier empresa responsable.

¿Por dónde empezar? Revisa nuestro checklist de seguridad mínima para PYMEs en la sección de Checklists.

Ley 21.663 PYME ciberseguridad obligaciones ANCI
← Ver todos los artículos