Ley Marco de Ciberseguridad
Ley 21.663
Fuente oficial
¿Qué es la Ley 21.663?
La Ley Marco de Ciberseguridad, promulgada el 8 de marzo de 2024, es la primera ley específica de ciberseguridad en Chile. Establece el marco institucional y los principios que rigen la ciberseguridad en el país, con el objetivo de prevenir, detectar, responder y recuperarse de incidentes cibernéticos.
Sus pilares fundamentales son la creación de la Agencia Nacional de Ciberseguridad (ANCI), el establecimiento de obligaciones diferenciadas según el tipo de organización, y la coordinación nacional de la respuesta a incidentes.
Principales instituciones que crea
Agencia Nacional de Ciberseguridad (ANCI)
El organismo público encargado de la política y regulación en ciberseguridad. Sus funciones incluyen:
- Dictar instrucciones generales y particulares de ciberseguridad
- Fiscalizar a los Operadores de Importancia Vital
- Coordinar la respuesta nacional a incidentes
- Gestionar el CSIRT Nacional
- Capacitar y asistir a organismos públicos
CSIRT Nacional
El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT) dependiente de la ANCI. Es el punto de contacto para reportar incidentes y recibir apoyo técnico durante una crisis de ciberseguridad.
¿A quién aplica?
La ley distingue dos categorías de sujetos con obligaciones distintas:
1. Operadores de Importancia Vital (OIV)
Instituciones públicas o privadas cuya interrupción podría afectar gravemente a la sociedad. Son designados formalmente por la ANCI. Los sectores que típicamente califican incluyen energía, agua, telecomunicaciones, banca, salud, transporte e infraestructura digital.
2. Organismos del Estado
Todos los órganos de la Administración del Estado tienen obligaciones específicas de ciberseguridad.
3. Otras instituciones (PYMEs y empresas privadas)
Toda institución que opere servicios digitales en Chile tiene obligaciones generales: reportar incidentes significativos, implementar medidas mínimas de seguridad conforme a los reglamentos de la ANCI, y cooperar con las autoridades.
Obligaciones concretas para empresas privadas no-OIV
| Obligación | Plazo | Destinatario |
|---|---|---|
| Reportar incidente significativo | 24 horas | ANCI/CSIRT Nacional |
| Implementar medidas mínimas de seguridad | Según reglamento ANCI | Propio |
| Designar responsable de ciberseguridad | Por definir en reglamento | Propio |
| Cooperar con investigaciones ANCI | Cuando se requiera | ANCI |
Sanciones
Las infracciones se clasifican en tres niveles:
- Leves: hasta 5.000 UTM (~$350 millones CLP a valor de 2024)
- Graves: hasta 10.000 UTM (~$700 millones CLP)
- Gravísimas: hasta 20.000 UTM (~$1.400 millones CLP)
Para los OIV, las multas máximas se duplican. La ley también contempla responsabilidad de directivos en casos de negligencia.
Estado de los reglamentos (a junio 2025)
La ley entregó a la ANCI un plazo de 18 meses para dictar los reglamentos técnicos (hasta septiembre 2025 aproximadamente). Hasta que estos reglamentos no estén vigentes, las obligaciones específicas de "medidas mínimas" están en proceso de definición.
Nuestra recomendación: no esperar a los reglamentos para empezar. Las medidas básicas de ciberseguridad son buenas prácticas independientemente de la regulación, y la preparación previa reduce el costo de cumplimiento.