Ley Marco de Ciberseguridad 21.663

La primera ley en Chile que establece obligaciones concretas de ciberseguridad para operadores de infraestructura crítica y sus proveedores. ¿Su empresa está en el radar?

Consultar si aplica a mi empresa Ver Planes de Cumplimiento

La Ley 21.663 ya está vigente. Los organismos regulados deben cumplir sus obligaciones hoy.

Lo que debes saber

¿Qué es la Ley 21.663 y por qué importa?

Publicada en enero de 2024, la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información es la primera norma chilena específicamente orientada a proteger el ciberespacio nacional.

Crea la Agencia Nacional de Ciberseguridad (ANCI) —el regulador sectorial— y establece un sistema de gobernanza, obligaciones de reporte de incidentes y estándares mínimos de seguridad para organizaciones que operan infraestructura crítica.

A diferencia de la Ley 21.719 (datos personales), esta ley se enfoca en la continuidad operacional y la resiliencia de sistemas digitales que, si fallan, pueden afectar a toda la sociedad: energía, agua, banca, telecomunicaciones, salud.

📅

Ene 2024

Fecha de publicación

🏛️

ANCI

Nuevo regulador creado

Vigente

Reglamentos en desarrollo

🏭

11 Sectores

Infraestructura crítica definida

Alcance de la ley

¿A quiénes aplica la Ley 21.663?

La ley distingue dos categorías de sujetos obligados con distintos niveles de exigencia.

Operadores de Infraestructura Crítica (OIC)

Máxima exigencia

Organizaciones cuya interrupción o compromiso puede afectar gravemente a la sociedad, la economía o la seguridad nacional. Son designadas formalmente por la ANCI.

Energía eléctrica
Agua potable y sanitarias
Banca y finanzas
Telecomunicaciones
Salud (hospitales)
Transporte y logística
Seguridad pública
Servicios públicos digitales

Proveedores de Servicios Esenciales y Cadena de Suministro

Exigencia alta — muy relevante para PYMEs

PYMEs y empresas que prestan servicios tecnológicos, de soporte o infraestructura a un OIC. Si un proveedor falla, el OIC falla: la ley extiende las obligaciones a toda la cadena.

  • Proveedores de software o plataformas usadas por el OIC
  • Empresas de networking, conectividad o datacenter
  • Servicios de TI externos, soporte técnico y outsourcing
  • Proveedores de nube, backup o almacenamiento
  • Empresas de seguridad física o electrónica
  • Integradores de sistemas o proveedores de ERP/CRM

¿Mi PYME tiene que cumplir esta ley?

Si su empresa presta servicios tecnológicos, de soporte o infraestructura a cualquier banco, hospital, empresa eléctrica, sanitaria o entidad pública digital, es probable que tenga obligaciones bajo esta ley —incluso siendo una PYME. Muchos proveedores no lo saben hasta que su cliente OIC les exige cumplimiento contractual.

Qué exige la ley

Las 6 Obligaciones Fundamentales

Estas son las exigencias concretas que establece la Ley 21.663 para los organismos regulados.

1. Medidas de Seguridad Mínimas

Implementar controles técnicos y organizacionales proporcionales al riesgo: gestión de identidades (MFA), cifrado, segmentación de redes, control de acceso privilegiado y planes de respuesta a incidentes.

En la práctica: Configuración de MFA, políticas de contraseñas, firewalls, backups cifrados y procedimientos documentados.

2. Reporte de Incidentes en 72 horas

Notificar a la ANCI dentro de las 72 horas desde que se detecta un incidente de ciberseguridad significativo. Similar al plazo del RGPD europeo, pero aplicado a incidentes operacionales, no solo de datos.

Riesgo: No reportar puede ser considerado una infracción grave, con multas independientes del incidente original.

3. Auditorías y Evaluaciones de Riesgo

Realizar evaluaciones periódicas de riesgo de ciberseguridad y auditorías técnicas. La ANCI puede solicitar los resultados en cualquier momento y exige que sean realizadas por terceros certificados.

En la práctica: Pentesting, análisis de vulnerabilidades, revisión de configuraciones y documentación de hallazgos.

4. Capacitación y Cultura de Seguridad

Establecer programas de capacitación continua para el personal en materia de ciberseguridad. El error humano sigue siendo el vector de ataque más explotado, y la ley exige abordarlo formalmente.

En la práctica: Talleres de phishing, protocolos de contraseñas seguras y procedimientos ante incidentes para todos los empleados.

5. Política de Ciberseguridad Documentada

Contar con una política formal de ciberseguridad aprobada por la alta dirección, que defina roles, responsabilidades, procedimientos y criterios de clasificación de activos e información.

En la práctica: Política de seguridad, inventario de activos críticos, matriz de responsabilidades y plan de continuidad operacional.

6. Gestión de la Cadena de Suministro

Extender las exigencias de seguridad a los proveedores críticos mediante contratos, auditorías y evaluaciones de riesgo. Un OIC no puede ignorar las vulnerabilidades de su cadena de valor.

En la práctica: Cláusulas contractuales de seguridad, cuestionarios a proveedores y revisión periódica de su cumplimiento.

¿Realmente es tan importante?


La Magnitud del Cambio: Antes vs. Ahora

Chile pasó de no tener ningún marco de ciberseguridad a uno de los más estructurados de la región.

Tema Antes (Sin Ley Marco) Con la Ley 21.663
Regulador No existía. Cada sector se regulaba solo (o no se regulaba). ANCI con facultades para fiscalizar, sancionar y coordinar respuesta nacional.
Reporte de Incidentes Voluntario. La mayoría de los incidentes no se reportaban. Obligatorio en 72 horas para incidentes significativos.
Auditorías de Seguridad Opcionales. Solo grandes empresas las hacían voluntariamente. Periódicas y obligatorias, con resultados disponibles para la ANCI.
Estándares Técnicos Inexistentes o referenciales (ISO 27001 era opcional). Estándares mínimos legalmente exigibles definidos por la ANCI.
Cadena de Suministro No regulada. Los proveedores podían ser el eslabón débil sin consecuencias. Los OIC son responsables de sus proveedores. Obligación de auditar la cadena.
Multas Inexistentes en materia de ciberseguridad específicamente. Hasta 40.000 UTM (~$2.400 millones de pesos) para infracciones gravísimas.
Consecuencias del incumplimiento

Régimen de Sanciones

La ley establece un esquema de sanciones escalonado según la gravedad de la infracción.

Infracciones Leves

Hasta 1.000 UTM

~$60 millones de pesos

Incumplimientos formales, falta de documentación, retrasos en reportes menores o capacitación insuficiente.

Infracciones Graves

Hasta 10.000 UTM

~$600 millones de pesos

No reporte oportuno de incidentes, falta de medidas técnicas básicas o incumplimiento reiterado de estándares.

Infracciones Gravísimas

Hasta 40.000 UTM

~$2.400 millones de pesos

Obstruir fiscalizaciones, incidentes graves por negligencia manifiesta o reincidencia en infracciones graves.

Importante: Las multas de la Ley 21.663 son independientes y acumulables a las de la Ley 21.719 (datos personales). Una misma empresa puede enfrentar sanciones de ambas leyes simultáneamente por un mismo incidente de seguridad.

¿Por qué CiberDatos? La Ventaja Técnico-Legal

La Ley 21.663 y la Ley 21.719 se complementan. Un mismo incidente puede activar obligaciones bajo ambas al mismo tiempo.

Cobertura Dual: Una sola empresa, dos leyes

El escenario más común: un hospital sufre un ransomware. La Ley 21.663 exige notificar a la ANCI en 72 horas por el incidente a infraestructura crítica. La Ley 21.719 exige notificar a la APDP en 72 horas porque se comprometieron datos de pacientes. Sin un plan integrado, la empresa queda expuesta a doble sanción.

CiberDatos gestiona ambas leyes de forma integrada: un solo socio, un solo plan, cobertura completa.

💡 Sin planes separados para la Ley 21.663

Nuestros planes de cumplimiento de la Ley 21.719 incluyen los controles técnicos (MFA, cifrado, gestión de accesos, respuesta a incidentes) que también dan cumplimiento a los requerimientos de la Ley 21.663. Un solo plan, dos leyes cubiertas.

Ver nuestros Planes

¿En qué se diferencia cada ley?

Ley 21.663 — Ciberseguridad

Protege sistemas e infraestructura. Regulador: ANCI. Aplica a OIC y su cadena de proveedores.

Ley 21.719 — Protección de Datos

Protege los derechos de las personas. Regulador: APDP. Aplica a toda empresa que trate datos personales.

CiberDatos — Cobertura Integrada

Un solo servicio que cubre ambas leyes, evitando duplicar esfuerzos, costos y documentación.

Preguntas Frecuentes: Ley 21.663

Las dudas más comunes de empresas que están evaluando su obligación de cumplimiento.

¿Cómo sé si mi empresa es un Operador de Infraestructura Crítica?
La ANCI designa formalmente a los OIC mediante acto administrativo. Sin embargo, la ley define los sectores potencialmente afectados (energía, agua, banca, telecomunicaciones, etc.). Si su empresa opera en alguno de estos sectores con un rol significativo, debe prepararse para ser designada. Le ayudamos a evaluar su posición antes de que llegue la designación oficial.
Soy proveedor TI de un banco. ¿Estoy obligado?
Muy probablemente sí. La ley exige a los OIC gestionar la seguridad de su cadena de suministro. Esto se traduce en que los bancos y otras entidades reguladas comenzarán a exigirles contractualmente cumplimiento de estándares de ciberseguridad. Si no cumple, puede perder el contrato. Más importante aún: si usted es el origen de un incidente que afecta al banco, puede ser objeto de sanciones directas.
¿Cuál es la diferencia entre cumplir la 21.663 y tener ISO 27001?
ISO 27001 es un estándar voluntario de buenas prácticas internacionales. La Ley 21.663 es una obligación legal chilena con sanciones concretas. Si bien tener ISO 27001 puede facilitar mucho el cumplimiento de la ley, no lo garantiza automáticamente. La ley tiene requisitos específicos (como el reporte en 72 horas a la ANCI) que no existen en ISO 27001. Trabajamos con organizaciones que tienen y no tienen ISO 27001.
¿Tengo que contratar un CISO interno para cumplir la ley?
No necesariamente. La ley exige que exista una función de ciberseguridad, no necesariamente un cargo interno. Para la mayoría de las PYMEs y empresas medianas, la solución más eficiente es contratar un CISO externo (vCISO), exactamente como ocurre con el DPD externo de la Ley 21.719. CiberDatos puede actuar como su vCISO, concentrando expertise y reduciendo costos al mismo tiempo.
¿Puedo cumplir ambas leyes (21.663 y 21.719) con un solo servicio?
Sí, y es la forma más eficiente de hacerlo. Ambas leyes comparten una base técnica común: MFA, cifrado, gestión de accesos, control de incidentes. Un plan de cumplimiento bien diseñado cubre los requerimientos de las dos leyes de forma integrada, sin duplicar esfuerzos ni documentación. Nuestros planes de mayor nivel están diseñados exactamente para eso: un solo socio, un solo plan, cobertura dual.

Cumplir la ley no es opcional. Hacerlo bien, sí lo es...

Por eso CiberDatos tiene el plan que tu empresa necesita hoy.


Solicitar mi Evaluación Gratuita
Consultar ahora