Ciberseguridad
Marco legal, reguladores y obligaciones bajo el régimen chileno de ciberseguridad.
Ciberseguridad en Chile: panorama regulatorio
La ciberseguridad dejó de ser una preocupación técnica para convertirse en una obligación legal en Chile. La entrada en vigor de la Ley 21.663 (Ley Marco de Ciberseguridad, publicada en 2024) y la creación de la Agencia Nacional de Ciberseguridad (ANCI) establecen un régimen único de deberes, fiscalización y sanciones para instituciones públicas y para operadores privados cuyos servicios se consideran esenciales o críticos.
El régimen opera en dos niveles. El primero alcanza a los operadores de importancia vital (OIV): típicamente, grandes prestadores de telecomunicaciones, energía, agua, banca, salud, transporte y servicios digitales cuya interrupción afecta la provisión de servicios esenciales. Sobre estas entidades recaen deberes reforzados de gestión de riesgos, reporte de incidentes, planes de continuidad y designación de un delegado de ciberseguridad. El segundo nivel comprende a las instituciones sujetas al marco general, que deben implementar un estándar mínimo de ciberseguridad, reportar incidentes significativos a la ANCI dentro de plazos definidos y colaborar con sus instrucciones.
Las regulaciones sectoriales siguen vigentes en paralelo. La CMF supervisa el sector financiero a través de normas como la NCG 454 y el RAN 20-10 para la banca; la SEC fiscaliza el sector eléctrico y de combustibles; y la normativa de protección de datos interactúa con el régimen de ciberseguridad cada vez que un incidente afecta datos personales. Entender cómo se superponen estas capas, y cuándo aplica cada una, es el núcleo de cualquier programa de cumplimiento serio.
Las páginas a continuación desarrollan cada elemento del marco chileno de ciberseguridad y las obligaciones que de él se derivan.
Marco legal
- Ley Marco de Ciberseguridad 21.663: obligaciones, ANCI y potestades de fiscalización.
- Política Nacional de Ciberseguridad: objetivos estratégicos y arquitectura institucional.
- Operadores de Importancia Vital (OIV): criterios de designación y deberes reforzados.
Sectores regulados
- Sector financiero: normativa CMF (NCG 454, RAN 20-10) y banca.
- Sector energía: supervisión SEC e industria eléctrica.
- Sector corporativo: responsabilidad penal corporativa y modelos de prevención.
Recursos adicionales
El régimen de ciberseguridad interactúa estrechamente con la protección de datos. Los incidentes que afecten datos personales activan obligaciones paralelas bajo la Ley 21.719.
Preguntas frecuentes
¿Qué regula la Ley 21.663 de Ciberseguridad?
La Ley Marco de Ciberseguridad (Ley 21.663, 2024) establece la institucionalidad nacional en la materia: crea la Agencia Nacional de Ciberseguridad (ANCI), define el régimen de operadores de servicios esenciales (OSE) y operadores de importancia vital (OIV), regula obligaciones de gestión de riesgos, notificación de incidentes y sanciones. Sustituye y eleva el régimen previo basado en instructivos administrativos sectoriales.
¿Qué es la ANCI y qué facultades tiene?
La Agencia Nacional de Ciberseguridad (ANCI) es el organismo técnico encargado de coordinar, supervisar y fiscalizar la implementación de la Ley 21.663. Sus facultades incluyen: dictar normas técnicas obligatorias; calificar a entidades como OIV; recibir notificaciones de incidentes de ciberseguridad significativos; instruir investigaciones; aplicar sanciones administrativas (multas hasta 40.000 UTM); y coordinar la respuesta nacional ante incidentes mayores. Inició funciones operativas durante el primer semestre de 2025.
¿Qué es un Operador de Importancia Vital (OIV) y qué obligaciones tiene?
Un OIV es una entidad (pública o privada) calificada por la ANCI cuya interrupción operacional tendría impacto significativo en la seguridad nacional, la salud pública, la economía o el bienestar de la población. Sus obligaciones incluyen: implementar un sistema de gestión de seguridad de la información; designar un delegado de ciberseguridad; mantener planes de continuidad operacional y respuesta a incidentes; notificar incidentes significativos a la ANCI dentro de plazos breves; realizar auditorías periódicas; y reportar cumplimiento. Los criterios se afinan vía resoluciones de la ANCI.
¿Cómo interactúan la Ley 21.663 y la Ley 21.719 (protección de datos)?
Ambos regímenes operan en paralelo y se entrecruzan en incidentes de ciberseguridad que afectan datos personales. La Ley 21.663 enfoca la disponibilidad e integridad de servicios y reporta a la ANCI; la Ley 21.719 enfoca la confidencialidad de datos personales y reporta a la Agencia de Protección de Datos. Un mismo incidente puede gatillar ambas obligaciones de notificación simultáneamente, con plazos y autoridades distintos, lo que exige un protocolo de respuesta a incidentes que cubra ambos regímenes desde el día cero.
¿Qué sanciones aplica la ANCI por incumplimiento?
La Ley 21.663 establece sanciones administrativas graduadas según la gravedad y la condición de OIV o no del infractor. Las multas pueden alcanzar 40.000 UTM por infracción gravísima. Las infracciones reiteradas pueden derivar en la suspensión del responsable de ciberseguridad o medidas correctivas. El régimen sancionatorio es complementario, no excluye, a sanciones sectoriales (CMF para bancos, SEC para energía) ni a la eventual responsabilidad penal (Ley 21.595, delitos económicos y ciberdelitos).
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.
