¿Qué le aplica a mi empresa según la Ley 21.663?
Guía práctica para saber si tu empresa es operador de importancia vital, qué obligaciones concretas tiene y cuáles son los plazos de cumplimiento bajo la Ley Marco de Ciberseguridad.
Fecha de referencia
Este contenido refleja la Ley 21.663 promulgada el 8 de marzo de 2024. Para información actualizada sobre reglamentos secundarios, consulta siempre el sitio oficial de la ANCI.
¿Qué es la Ley 21.663?
La Ley Marco de Ciberseguridad (Ley 21.663), vigente desde el 8 de marzo de 2024, establece el marco institucional y las obligaciones de ciberseguridad para Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI) y define dos categorías de sujetos obligados: los operadores de importancia vital y los organismos del Estado.
Lo más importante para las empresas privadas: la ley se aplica con distintos niveles de exigencia según el tipo de organización.
¿Quiénes son los Operadores de Importancia Vital (OIV)?
La ANCI puede designar como OIV a instituciones privadas que cumplan al menos una de estas condiciones:
- Prestan servicios esenciales cuya interrupción afectaría a un número significativo de personas o a sectores críticos
- Operan en sectores como energía, agua potable, telecomunicaciones, transporte, banca, salud, infraestructura digital o servicios públicos
- Manejan sistemas cuya falla pudiera generar un impacto severo en la economía o en la seguridad nacional
Ejemplos de sectores que pueden calificar como OIV
| Sector | Ejemplos |
|---|---|
| Energía | Distribuidoras eléctricas, gaseras |
| Agua | Sanitarias, gestión de aguas residuales |
| Telecomunicaciones | ISPs, operadoras móviles |
| Banca y finanzas | Bancos, cajas de compensación, fintechs críticas |
| Salud | Hospitales, clínicas, laboratorios con datos sensibles |
| Transporte | Aeropuertos, puertos, metro |
| TI e infraestructura digital | Centros de datos, proveedores cloud críticos |
¿Cómo saber si mi empresa puede ser declarada OIV?
La designación es formal y la realiza la ANCI mediante resolución fundada. Si tu empresa opera en alguno de los sectores anteriores y presta servicios a miles de usuarios, debes asumir que podrías ser designado. Incluso si no eres OIV, la ley establece obligaciones generales para toda institución que opere sistemas digitales.
Obligaciones para empresas NO designadas como OIV
La ley establece que toda institución que opere servicios digitales relevantes debe:
- Reportar incidentes significativos a la ANCI en un plazo máximo de 24 horas desde que se toma conocimiento
- Implementar medidas básicas de ciberseguridad conforme a los estándares que fije la ANCI por reglamento
- Designar a un responsable de ciberseguridad al interior de la organización
- Cooperar con la ANCI durante investigaciones o en situaciones de emergencia nacional
Obligaciones adicionales para los OIV
Los operadores declarados de importancia vital tienen deberes más exigentes:
Medidas de seguridad continuas
- Mantener un sistema de gestión de seguridad de la información (similar a ISO 27001 como referencia)
- Aplicar medidas mínimas de seguridad en hardware y software
- Realizar auditorías y revisiones periódicas de sus sistemas
- Contar con planes de continuidad operacional y de recuperación ante incidentes
Reporte de incidentes
- Notificar a la ANCI dentro de las 3 horas de detectado un incidente que afecte la prestación del servicio (los no-OIV tienen 24 horas)
- Mantener registros e informes de todos los incidentes
Deber de colaboración
- Participar en los ejercicios y simulacros que coordine la ANCI
- Facilitar acceso a información durante una emergencia de ciberseguridad nacional
Plazos relevantes
La ley establece que los reglamentos que detallan las obligaciones específicas deben dictarse dentro de los 18 meses desde la entrada en vigencia de la ley (marzo de 2024). Esto significa que el marco regulatorio completo debería estar vigente hacia mediados de 2025.
Estado actual
A la fecha de publicación de esta guía, la ANCI está en proceso de emisión de los reglamentos técnicos. Recomendamos iniciar la preparación ahora sin esperar al reglamento final.
¿Qué sanciones contempla la ley?
Las infracciones se clasifican en leves, graves y gravísimas:
- Leves: hasta 5.000 UTM (~$350 millones CLP)
- Graves: hasta 10.000 UTM (~$700 millones CLP)
- Gravísimas: hasta 20.000 UTM (~$1.400 millones CLP)
Para los OIV, las multas se duplican. Además, la ley contempla responsabilidad para los directivos cuando se demuestre negligencia.
Pasos prácticos para empezar ahora
Si tu empresa podría quedar sujeta a esta ley, recomendamos:
- Identificar qué sistemas y datos son críticos para tu operación
- Designar un responsable interno de ciberseguridad (puede ser tu gerente TI con capacitación específica)
- Documentar tus procesos actuales de seguridad para tener una línea base
- Preparar un procedimiento de reporte de incidentes interno y externo
- Revisar contratos con proveedores tecnológicos para exigir condiciones de seguridad
- Seguir las publicaciones de la ANCI en anci.gob.cl para mantenerte al día con los reglamentos
Recursos adicionales
- Texto oficial de la Ley 21.663 — BCN
- Sitio oficial de la ANCI
- CSIRT de Gobierno — alertas y guías técnicas
- Checklist de tisec.cl: “Seguridad mínima para tu infraestructura digital”