La ciberseguridad ya no es opcional en Chile; es ley. La publicación de la Ley Marco de Ciberseguridad (Ley N° 21.663) y su reglamento inicial (Decreto Supremo N° 285) representa un cambio fundamental para todas las empresas del país. Lo que antes era una buena práctica, hoy es una obligación legal explícita, sujeta a supervisión estatal y a un régimen de sanciones significativo.

Para el directorio y la alta gerencia, esto significa que la ciberseguridad ha escalado de ser un tema técnico a una responsabilidad de negocio ineludible. Ignorar esta nueva normativa no es una opción. Esta guía, alineada con la visión de Anguita Osorio, desglosa lo que necesita saber para navegar este nuevo marco regulatorio y gestionar los riesgos asociados.

La Nueva Institucionalidad: ANCI y Actores Clave

La ley de ciberseguridad chile establece una nueva arquitectura de gobernanza. Comprender los roles es fundamental.

• Agencia Nacional de Ciberseguridad (ANCI): Es el ente rector, fiscalizador y sancionador. Será la principal contraparte regulatoria.
• CSIRT Nacional: Equipo técnico que coordina la respuesta a incidentes. Punto único de reporte para entidades reguladas.

¿A Quién Aplica la Ley?

Servicios Esenciales y Operadores de Importancia vital (OIV)

La Ley 21.663 establece categorías específicas de entidades obligadas. Su organización debe determinar si califica en una de ellas.

1. Servicios Esenciales (SE)

Según el Artículo 4° de la ley, son entidades públicas y privadas que desarrollan actividades fundamentales para el país. Si su organización opera en los siguientes sectores, está sujeta a las obligaciones base de la ley:

• Generación, transmisión o distribución eléctrica.
• Suministro de agua potable o saneamiento.
• Telecomunicaciones
• Infraestructura digital (ej. data centers, cloud computing).
• Servicios digitales y de TI gestionados por terceros.
• Transporte e infraestructura.
• Banca, servicios financieros y medios de pago.
• Administración de prestaciones de seguridad social.
• Servicios postales y de logística.
• Administración Pública, Poder Judicial y Congreso Nacional.
• Producción o investigación de productos farmacéuticos.

2. Operadores de Importancia Vital (OIV)

Son aquellos Servicios Esenciales (u otras entidades) que la ANCI califica formalmente como 'de importancia vital' por su criticidad particular. Esta calificación implica obligaciones adicionales y más exigentes. La ANCI tomará esta decisión fundada en criterios como la dependencia crítica de sistemas informáticos y el impacto significativo que un incidente podría causar a la nación.

Advertencia Clave: Si su empresa es proveedora de un SE o un OIV, espere que le exijan por contrato el cumplimiento de estos mismos estándares. La nueva ley de ciberseguridad chile tiene un efecto dominó en toda la cadena de valor.

Deberes Esenciales: Obligaciones para Toda Entidad Calificada

Toda Organización calificada como Servicio Esencial debe cumplir con los siguientes deberes fundamentales

Deberes Generales (Art. 7)

• Aplicar medidas técnicas y organizativas permanentes para gestionar los riesgos.
• Mantener capacidades para Prevenir, Reportar y Resolver incidentes.
• Implementar los protocolos y estándares que dicte la ANCI.

Deber Específico de Reportar Incidentes (Art. 9)

es obligatorio notificar al CSIRT Nacional todo incidente significativo, siguiendo plazos estrictos:

• Alerta Temprana: Dentro de las 3 horas siguientes al conocimiento.
• Informe de Actualización: Dentro de las 72 horas siguientes a la alerta.
• Informe Final: Dentro de los 15 días hábiles siguientes a la alerta.

Exigencias Reforzadas: Obligaciones Adicionales para OIV (Art. 8)

Si su empresa es calificada como OIV, debe satisfacer obligaciones más rigurosas. La responsabilidad del directorio en supervisar estas materias es aún mayor.

• Implementar SGSI: Se exige un Sistema de Gestión de la Seguridad de la Información robusto y continuo, como el basado en la norma ISO 27001.
• Planes de Continuidad y Ciberseguridad: Elaborar, implementar y certificar formalmente estos planes.
• Operaciones Continuas: Realizar y comunicar al CSIRT Nacional los resultados de ejercicios, revisiones y simulacros.
• Medidas Inmediatas: Adoptar acciones rápidas para mitigar el impacto y la propagación de un incidente.
• Capacitación Continua: Implementar programas de formación y ciberhigiene para todo el personal.
• Designar un Delegado de Ciberseguridad: Nombrar formalmente un enlace técnico con la ANCI. Este rol es clave y requiere una combinación de conocimiento técnico y estratégico, perfil de un ingeniero en ciberseguridad o un experto en GRC.

La Mirada de la ANCI: Fiscalización, Poder Sancionatorio y Riesgos

La ANCI tiene amplias facultades para asegurar el cumplimiento (Art. 11). Puede:

• Fiscalizar el cumplimiento de la ley.
• Instruir auditorías a las entidades obligadas.
• Requerir información detallada sobre sus operaciones.
• Acceder a instalaciones y sistemas (con los debidos resguardos legales).

Las sanciones ley ciberseguridad chile (Art. 40) son severas y traducen el riesgo a cifras concretas, especialmente para OIVs:

• Infracciones Graves: Multas de hasta 20.000 UTM (cerca de USD 1,5 millones).
• Infracciones Gravísimas: Multas de hasta 40.000 UTM (casi USD 3 millones).

La ANCI determinará la multa considerando factores como el daño causado, el beneficio obtenido, la intencionalidad y la reincidencia. A esto se suman los riesgos de un severo impacto reputacional y los elevados costos de defensa y remediación.

Pasos Inmediatos: ¿Cómo Empezar el Camino hacia el Cumplimiento?

La ley de ciberseguridad ya está vigente y sus primeras instrucciones formales están siendo publicadas. Esperar no es una estrategia. Aquí hay pasos prácticos que su empresa debe tomar ahora mismo, comenzando por el más urgente.

1. Acción Inmediata: Inscribir al 'Encargado' de Ciberseguridad ante la ANCI

Esto ya no es una obligación futura; es un requisito presente. La Instrucción General N° 1 de la ANCI, publicada en el Diario Oficial, obliga a todas las instituciones que prestan Servicios Esenciales a inscribir a un 'Encargado de reportar los ciberataques' en la plataforma oficial de la Agencia.

Este es el primer paso formal de interacción con el nuevo regulador, y no cumplirlo se considera una infracción leve a la ley.

Requisitos Clave del Encargado y del Proceso:

• El Requisito Central: Su empresa debe designar y registrar formalmente a la persona (o personas, incluyendo un titular y subrogantes) que actuará como la contraparte técnica ante la ANCI. Esta persona será responsable de gestionar los reportes de incidentes.
• Perfil del Encargado: La instrucción es clara en que la persona designada debe contar con 'formación o experiencia técnica o profesional en ciberseguridad'. No puede ser un rol meramente administrativo; debe tener la capacidad de mantener una relación fluida y técnica con el CSIRT Nacional.
• Proceso de Inscripción y Acreditación Legal: La inscripción se realiza en el portal 'portal.anci.gob.cl' utilizando la Clave Única y un segundo factor de autenticación. Sin embargo, el paso más crítico es el legal:
• Se debe adjuntar un documento firmado con firma electrónica avanzada por el representante legal de la empresa, acreditando formalmente el nombramiento del Encargado.
• Además, se deben acompañar los documentos que acrediten las facultades de dicho representante legal.
• Esto no es un simple trámite administrativo; es un acto legal formal que establece la relación de su empresa con el regulador.

2. Realizar un Diagnóstico o 'Gap Analysis'

Una vez cumplida la inscripción, el siguiente paso es entender su estado actual frente a las demás obligaciones de la ley. ¿Dónde están las brechas entre sus prácticas actuales y los requisitos de un SGSI, planes de continuidad o protocolos de reporte? Este análisis es la base de cualquier estrategia de compliance chile.

3. Definir Responsabilidades Internas (Nivel Directorio)

La ciberseguridad debe ser un punto fijo en la agenda del directorio. Se debe designar a un comité o a un director responsable de supervisar la implementación del programa de GRC (Governance, Risk & Compliance) y reportar sobre sus avances.

4. Buscar Asesoría Experta para Crear una Hoja de Ruta

Navegar por los detalles técnicos y legales de esta normativa requiere conocimiento especializado. En nuestra experiencia asesorando a empresas líderes, el primer obstáculo es traducir la ley en un plan de acción concreto y priorizado. Contar con una asesoría experta en la ley de ciberseguridad no es un costo, es una inversión en mitigación de riesgos.

Conclusión: Una Obligación que es También una Oportunidad

La ley marco de ciberseguridad es un desafío, pero también una oportunidad para construir una organización más resiliente, segura y confiable. Abordar el cumplimiento proactivamente es proteger el valor de su negocio.

No espere a que sea demasiado tarde. Nuestro equipo de abogados expertos en ciberseguridad y derecho corporativo puede ayudarle a navegar esta nueva regulación y a transformar el cumplimiento en una fortaleza para su negocio. Agende una consulta inicial hoy mismo.

Este artículo constituye información general y no reemplaza la asesoría legal personalizada para su caso particular.