Ciberseguridad en el Sector Financiero | Anguita Osorio Abogados
Impacto de la Ley 21.663, concurrencia regulatoria CMF y ANCI, y cumplimiento con normativas como RAN 20-10
Ciberseguridad en el Sector Financiero: Gestión ante la Concurrencia CMF-ANCI
La Ley 21.663 crea un nuevo escenario de doble supervisión. El desafío para Directorios y gerencias es alinear los programas de cumplimiento exigidos por la CMF (RAN 20-10, NCG 454) con las nuevas obligaciones de la ANCI, para gestionar el riesgo de forma coherente y eficiente.
Explorar el Marco Legal GeneralEl Desafío de la Doble Supervisión: CMF y ANCI
Las entidades financieras operan ahora bajo un modelo de doble supervisión en ciberseguridad. A la fiscalización de la Comisión para el Mercado Financiero (CMF), se suma la Agencia Nacional de Ciberseguridad (ANCI). Esta concurrencia de competencias obliga a gestionar un doble frente de cumplimiento.
Un mismo incidente puede y debe ser reportado a ambas entidades, bajo plazos y formatos distintos, y puede potencialmente generar investigaciones y sanciones por vías paralelas. La gestión de esta dualidad requiere un marco de cumplimiento integrado.
El Principio de Equivalencia Normativa
El Artículo 37 de la Ley 21.663 condiciona la potestad sancionatoria preferente de la CMF a que esta, junto a la ANCI, dicte una norma que declare su regulación como "equivalente" a los estándares nacionales. Sin esta declaración formal, las entidades están sujetas a la plena competencia de la ANCI.
Estado actual: La regulación de equivalencia permanece pendiente mientras la implementación de la Ley 21.663 avanza según los decretos supremos y resoluciones ANCI vigentes.
Desafíos Operativos y de Gobernanza
El Deber de Reporte Dual
La coexistencia de regímenes impone desafíos en la gestión de incidentes:
- Plazos y umbrales distintos: Un "incidente operacional significativo" para la CMF no es idéntico a un "incidente de ciberseguridad" para la ANCI.
- Reportes paralelos: La obligación de notificar a la CMF no exime del deber de reportar al CSIRT Nacional en menos de 3 horas.
- Coordinación interna: Equipos legales, de compliance, riesgo y TI deben actuar coordinadamente para emitir comunicaciones consistentes.
Adaptación del Gobierno Corporativo
El Directorio debe expandir su supervisión para incluir el cumplimiento de la Ley 21.663. Las entidades calificadas como Operadores de Importancia Vital (OIV) deberán, además, definir la estructura y responsabilidades del nuevo rol de "Delegado de Ciberseguridad".
Armonización con las Normativas Clave de la CMF
La nueva ley no reemplaza, sino que complementa las regulaciones de la CMF. Un programa de cumplimiento exitoso debe integrar los requisitos de la ANCI con:
| Normativa CMF | Objeto Principal | Punto de Integración con Ley 21.663 |
|---|---|---|
| RAN 20-10 (Bancos) | Sistema de Gestión de Seguridad (SGSI). | El SGSI es la base para cumplir los deberes de OIV. |
| NCG 454 (Seguros) | Modelo de Tres Líneas de Defensa. | El modelo de riesgo se alinea con la gestión exigida por la ANCI. |
| NCG 538 (Autenticación) | Autenticación Fuerte de Cliente (SCA). | El SCA es una medida técnica clave para la prevención de ciberataques. |
| Otras (NCG 502, etc.) | Gestión de riesgos en Fintech e Intermediarios. | Estos actores también son Servicios Esenciales bajo la nueva ley. |
Líneas de Acción Estratégica para el Sector Financiero
Para gestionar este escenario, las entidades financieras deben centrarse en las siguientes áreas de análisis:
Armonización del Cumplimiento Normativo
El desarrollo de un marco de control interno unificado que responda a las exigencias de la CMF y la ANCI, mapeando los controles existentes contra las nuevas obligaciones para identificar brechas y sinergias.
Adaptación de la Estructura de Gobernanza
La revisión de las responsabilidades del Directorio y la alta gerencia para reflejar la supervisión del nuevo marco legal, incluyendo la definición formal del rol del Delegado de Ciberseguridad.
Diseño de Protocolos de Notificación Dual
La elaboración de un manual de respuesta a incidentes que contemple un árbol de decisiones claro sobre qué, cómo y cuándo reportar a cada autoridad, asegurando consistencia en las comunicaciones.
Informe en Profundidad: Concurrencia de Competencias CMF-ANCI
Para acceder a nuestro análisis detallado sobre la concurrencia regulatoria, el principio de equivalencia normativa y las estrategias de cumplimiento integrado, por favor ingrese su correo electrónico profesional.
Transforme sus Desafíos Legales en Ventajas Competitivas
Descubra cómo nuestro enfoque innovador puede impulsar su negocio
