En marzo de 2025, Chile dio un paso que llevaba años pendiente: entró en vigor la Ley 21.663, conocida como Ley Marco de Ciberseguridad. Es la primera ley en el país que establece obligaciones concretas y sancionables en materia de seguridad digital para organizaciones públicas y privadas.
No es un reglamento de buenas prácticas. Es una ley con fiscalización, plazos y multas.
Si tu empresa opera en Chile y no sabes qué dice esta ley, este artículo te da la base que necesitas.
¿Qué es la Ley 21.663?
La Ley Marco de Ciberseguridad crea el marco legal que Chile no tenía: un conjunto de obligaciones mínimas en seguridad digital, aplicables a los sectores que el Estado considera críticos para el funcionamiento del país.
La ley tiene tres objetivos centrales:
- Proteger los sistemas de información que sustentan servicios esenciales
- Establecer un sistema nacional de respuesta ante incidentes
- Crear una institucionalidad que regule y fiscalice el cumplimiento
Para lograrlo, la ley creó dos organismos nuevos.
Los dos organismos que creó la ley
La Agencia Nacional de Ciberseguridad (ANCI) es la entidad reguladora. Tiene facultades para dictar normas técnicas, fiscalizar su cumplimiento, aplicar sanciones y coordinar la respuesta del Estado ante incidentes de escala nacional. Depende directamente de la Presidencia de la República.
El CSIRT Nacional (Computer Security Incident Response Team) es el equipo operativo. Es el organismo al que las empresas deben reportar incidentes cuando ocurren. No es optativo: la ley establece plazos específicos de notificación obligatoria.
Si tu empresa sufre un incidente y no notifica al CSIRT Nacional en el plazo que establece la ley, ya está incumpliendo — independientemente de cómo hayas gestionado el ataque internamente.
¿A quién obliga la ley?
La ley no aplica a todas las empresas del país. Define dos categorías de obligados, con distintos niveles de exigencia.
Servicios esenciales
Un servicio esencial es aquel cuya interrupción afecta directamente el bienestar de la población o la continuidad del Estado. La ley lista los sectores de manera explícita:
- Energía: generadoras, distribuidoras, transmisoras eléctricas; empresas de gas
- Agua y saneamiento: sanitarias, empresas de agua potable rural
- Telecomunicaciones: proveedores de internet, operadoras de telefonía
- Banca y servicios financieros: bancos, cooperativas, administradoras de fondos
- Salud: hospitales, clínicas, laboratorios, prestadores de salud
- Transporte: aeropuertos, puertos marítimos, empresas ferroviarias, transporte urbano masivo
- Infraestructura digital: data centers, proveedores de servicios en la nube, plataformas de pago
Si tu empresa opera en uno de estos sectores, es servicio esencial. No hay un trámite de inscripción: la calidad de servicio esencial la determina el rubro, no una declaración voluntaria.
Operadores de importancia vital
Esta es la categoría con más obligaciones. Un operador de importancia vital (OIV) es una organización que, dentro de los sectores esenciales, tiene una dependencia crítica: si falla, el impacto no es solo sectorial sino nacional.
La distinción la hace la ANCI mediante resolución. Pero la lógica es clara: si tu empresa es la que mantiene corriendo la infraestructura de la que dependen otras organizaciones esenciales, probablemente calificas como OIV.
Los OIV tienen obligaciones adicionales: deben certificar controles ante la ANCI, mantener sistemas de seguridad redundantes y elaborar planes de continuidad operacional auditables.
¿Y las empresas que no están en esos sectores? La ley no las obliga directamente. Pero si tu empresa provee servicios tecnológicos, de consultoría o infraestructura a alguno de los sectores listados, tu cliente puede exigirte cumplimiento por contrato. La cadena de obligaciones baja.
Las 4 obligaciones principales
Para todas las organizaciones que caen bajo la ley, hay cuatro obligaciones que no son negociables.
1. Política de seguridad de la información
Debes tener documentada una política formal que establezca cómo tu organización gestiona la seguridad. Esto incluye: a quién le corresponde la responsabilidad, cómo se controla el acceso a sistemas, cómo se gestionan los datos, y qué protocolos existen ante una brecha.
No basta con tener un documento genérico descargado de internet. La ANCI puede fiscalizar que la política sea real, esté actualizada y sea conocida por quienes deben aplicarla.
2. Protocolo de gestión de incidentes con reporte obligatorio en 3 horas
Este es el punto que más sorprende a las empresas: si detectas un incidente de ciberseguridad significativo, tienes un plazo de 3 horas para notificarlo al CSIRT Nacional.
Tres horas. Desde que detectas el incidente, no desde que lo confirmas.
Eso significa que, si no tienes un protocolo de respuesta ya armado — con responsables definidos, procedimientos claros y canales de comunicación establecidos — no vas a poder cumplir ese plazo. El incidente ya es problema; no cumplir el reporte lo convierte en un problema legal adicional.
El protocolo debe incluir cómo clasificas la gravedad del incidente, quién toma la decisión de notificar, y cómo documentas todo el proceso.
3. Controles técnicos mínimos
La ley no lista cada control técnico que debes tener, pero establece estándares mínimos que la ANCI traduce en normas técnicas obligatorias. En la práctica, los controles que toda organización obligada debe tener incluyen:
- Antivirus y software de seguridad actualizados
- Firewall correctamente configurado
- Doble factor de autenticación en accesos críticos
- Respaldos automáticos con pruebas periódicas de restauración
- Gestión de parches y actualizaciones de seguridad
Si estás operando sin alguno de estos controles, ya tienes una brecha de cumplimiento — independientemente de si has tenido incidentes o no.
4. Capacitación en ciberseguridad
La ley exige que tu personal esté capacitado en buenas prácticas de seguridad. No se trata de entrenar a un equipo técnico especializado (aunque eso también): todos los colaboradores que usan sistemas de la organización deben recibir formación básica.
La lógica es simple. El vector de ataque más frecuente no es técnico: es humano. Phishing, ingeniería social, contraseñas débiles. La ley reconoce esto y lo convierte en obligación.
¿Qué pasa si no cumples?
Las sanciones que establece la ley son graduales según la gravedad del incumplimiento, pero el piso es alto.
Las multas parten desde 5.000 UTM — que al valor actual equivalen a más de $320 millones de pesos chilenos. Para infracciones graves o reincidentes, las multas escalan de manera significativa.
Pero las multas no son el único riesgo. Un incidente sin protocolo de respuesta puede derivar en:
- Responsabilidad civil hacia clientes cuyos datos fueron comprometidos
- Pérdida de contratos con clientes que exigen cumplimiento normativo a sus proveedores
- Daño reputacional que es difícil de cuantificar pero real
- Responsabilidad penal en casos donde la negligencia sea evidente
La ANCI tiene facultades de fiscalización activa: no espera que ocurra un incidente para revisar el cumplimiento. Puede iniciar procesos de auditoría de oficio.
¿Qué hacer si no sabes si la ley te aplica?
La respuesta honesta es: si operas en Chile, en cualquiera de los sectores mencionados, o si provees servicios a organizaciones en esos sectores, probablemente estás bajo algún nivel de obligación.
El primer paso no es contratar a un abogado. El primer paso es hacer un diagnóstico de tu situación real.
Eso implica responder cuatro preguntas:
- ¿Tu empresa califica como servicio esencial según el sector en que opera?
- ¿Tienes políticas de seguridad documentadas y vigentes?
- ¿Tienes un protocolo de respuesta a incidentes con capacidad de notificar en 3 horas?
- ¿Los controles técnicos mínimos están implementados?
Si no puedes responder con certeza alguna de estas preguntas, ahí está tu brecha.
El error más común que cometen las empresas medianas es asumir que la ley es "para las grandes". No lo es. Y el segundo error más común es postergar el diagnóstico hasta que ocurre un incidente — cuando ya es tarde para prepararse.
La ley no distingue entre empresas que no sabían que estaban obligadas y empresas que sí lo sabían. La obligación existe independientemente del conocimiento.
¿Quieres saber tu nivel de cumplimiento? Haz el diagnóstico de cumplimiento Ley 21.663 — 30 preguntas mapeadas a los 5 bloques de la ley, con un reporte detallado de brechas y un plan de acción priorizado.