La Ley 21.663 — conocida como Ley Marco de Ciberseguridad — entró en vigor en Chile y establece obligaciones concretas para cientos de organizaciones. Si tu empresa tiene más de 50 empleados y opera en ciertos sectores, probablemente estás obligado a cumplir.
¿Quiénes están obligados?
La ley define dos categorías principales:
Servicios esenciales son aquellos que, si se interrumpen, afectan la continuidad de servicios fundamentales para la sociedad. Esto incluye empresas en sectores como energía, telecomunicaciones, transporte, salud, servicios financieros, agua y saneamiento.
Operadores de importancia vital son organizaciones que manejan infraestructura crítica o cuya interrupción tendría un impacto significativo en la seguridad nacional o el bienestar público.
Pero la ley no se limita a las grandes corporaciones. Empresas que proveen servicios a estos sectores, o que manejan datos sensibles de clientes, también pueden caer bajo el paraguas regulatorio.
¿Qué exige la ley?
Las obligaciones principales se pueden agrupar en cinco bloques:
Identificación y contexto. Debes saber qué obligaciones aplican a tu empresa según tu sector, tamaño y tipo de datos que manejas.
Políticas de seguridad. La ley exige que tengas documentación formal: política de seguridad de la información, procedimientos de acceso, y políticas de respaldo.
Gestión de incidentes. Si sufres un incidente de ciberseguridad, tienes un plazo máximo de 3 horas para reportarlo al CSIRT Nacional. Si no tienes un protocolo establecido, no vas a poder cumplir ese plazo.
Controles técnicos. Antivirus actualizado, firewall configurado, doble factor de autenticación, respaldos automáticos. No son opcionales.
Capacitación. Tu equipo debe estar capacitado en buenas prácticas de seguridad. La ley lo exige explícitamente.
¿Qué pasa si no cumplo?
Las multas por incumplimiento parten desde 5.000 UTM — más de $320 millones de pesos chilenos. Y no es un techo: dependiendo de la gravedad y la reincidencia, pueden escalar significativamente.
Más allá de la multa, un incidente de seguridad sin protocolo de respuesta puede significar pérdida de clientes, daño reputacional y responsabilidad legal directa.
¿Cómo saber mi nivel de cumplimiento?
El primer paso es un diagnóstico. No uno genérico, sino uno mapeado directamente a los requisitos de la Ley 21.663.
En Atla, nuestro diagnóstico evalúa 30 preguntas en los 5 bloques normativos y te entrega un reporte con tu nivel de cumplimiento por área, las brechas críticas identificadas y un plan de acción priorizado.
El diagnóstico toma 15 minutos y cuesta $290.000 CLP — menos que una reunión con un abogado, y considerablemente menos que una multa de $320 millones.
Si no sabes si estás obligado, probablemente lo estás. Y si lo estás, el costo de no cumplir es mucho mayor que el costo de averiguarlo.