Normativa de referencia

Ley 21.663

Ley Marco de Ciberseguridad de Chile

República de Chile — Agencia Nacional de Ciberseguridad (ANCI)

La Ley 21.663, promulgada en 2024, es la primera ley de ciberseguridad de Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI), define qué organizaciones son Operadores de Importancia Vital (OIV) y establece obligaciones concretas de protección, reporte y respuesta ante incidentes.

Si su organización es clasificada como OIV — lo que incluye sectores como energía, agua, telecomunicaciones, transporte, salud, servicios financieros y química — debe implementar medidas de ciberseguridad certificables, reportar incidentes en plazos definidos y someterse a auditorías.

Las multas pueden alcanzar hasta 40.000 UTM (aproximadamente US$3 millones) para OIV que incumplan sus obligaciones. No es una ley abstracta: tiene dientes.

A quién aplica

•Operadores de Importancia Vital (OIV) designados por la ANCI
•Empresas de energía, agua, telecomunicaciones y transporte
•Industria química y minería
•Instituciones financieras y de salud
•Organismos del Estado

Puntos clave

Operadores de Importancia Vital

La ANCI designa qué organizaciones son OIV según el impacto que tendría una interrupción de sus servicios. Si opera infraestructura crítica, probablemente califica.

Obligaciones concretas

Implementar un sistema de gestión de seguridad de la información, designar un encargado de ciberseguridad, mantener planes de respuesta a incidentes y reportar eventos en plazos definidos.

Reporte de incidentes

Los OIV deben notificar incidentes significativos a la ANCI. Los plazos son estrictos: alerta temprana en 3 horas, notificación formal en 72 horas.

Multas

Hasta 40.000 UTM por incumplimiento grave. La ley distingue entre infracciones leves, graves y gravísimas con multas escalonadas.

Por qué importa

Esta ley cambia el juego para cualquier empresa que opere infraestructura crítica en Chile. Ya no es cuestión de "buenas prácticas" — es una obligación legal con fiscalización y multas reales. El costo de no cumplir es significativamente mayor que el costo de prepararse.

Cómo le ayudamos

Evaluamos su estado actual contra los requisitos de la Ley 21.663. Le decimos exactamente dónde está y qué le falta. Le ayudamos a construir el plan de cumplimiento y a implementar las medidas técnicas necesarias — desde segmentación de redes hasta protocolos de reporte de incidentes.

S.04Evaluación de superficie →S.05Reconocimiento →S.06Monitoreo continuo →S.08Respuesta →

¿Necesita evaluar su cumplimiento?

Hablemos.

Agendar conversación

Otras normativas

IEC 62443 NIST 800-82 DS 43 GHS NCh 382 ISA 18.2 OPC UA