El Nuevo Escenario Regulatorio en Ciberseguridad

La Ley N° 21.663, junto a la creación de la Agencia Nacional de Ciberseguridad (ANCI), establece la nueva arquitectura institucional y normativa de la ciberseguridad en Chile. La ley impone deberes a un amplio espectro de organizaciones, con un foco particular en los Servicios Esenciales (SE) y los Operadores de Importancia Vital (OIV).

Marco Regulatorio en Desarrollo

La implementación de la ley se articula a través de decretos supremos y resoluciones ANCI:

  • Decreto Supremo N° 285/2024: Reglamento del procedimiento de calificación de OIV
  • Decreto Supremo N° 295/2024: Reglamento de reportes de incidentes de ciberseguridad
  • Resolución ANCI N° 024/2025: Inicia primer procedimiento de calificación OIV (mayo 2025)
  • Resolución ANCI N° 7/2025: Taxonomía oficial de incidentes de ciberseguridad
  • Instrucción General N° 1: Inscripción de SE en plataforma de reporte

Obligaciones de Designación y Registro

Los SE deben designar un Encargado de Reporte responsable de la inscripción en la plataforma ANCI y notificación de incidentes. Los OIV, adicionalmente, requieren un Encargado de Ciberseguridad con funciones de coordinación técnica. Todas las entidades deben registrarse en la plataforma oficial de reporte de incidentes según la Instrucción General N°1 ANCI.

Entidades Sujetas a la Ley 21.663

Según el Artículo 2° de la ley, son Servicios Esenciales (SE) aquellos provistos por:

Organismos Públicos

  • Organismos de la Administración del Estado
  • Coordinador Eléctrico Nacional
  • Prestadores bajo concesión de servicio público

Instituciones Privadas en Actividades Específicas

  • Energía: Generación, transmisión o distribución eléctrica
  • Combustibles: Transporte, almacenamiento o distribución de combustibles
  • Agua: Suministro de agua potable o saneamiento
  • Telecomunicaciones
  • Infraestructura digital
  • Servicios digitales y de TI: Gestionados por terceros
  • Transporte: Terrestre, aéreo, ferroviario o marítimo, así como operación de su infraestructura
  • Financiero: Banca, servicios financieros y medios de pago
  • Seguridad social: Administración de prestaciones
  • Postal: Servicios postales y de mensajería
  • Salud: Prestación institucional por hospitales, clínicas, consultorios y centros médicos
  • Farmacéutico: Producción y/o investigación de productos farmacéuticos

Otros Servicios

La ANCI podrá calificar otros servicios como esenciales mediante resolución fundada cuando su afectación pueda causar grave daño a:

  • Vida o integridad física de la población
  • Abastecimiento poblacional
  • Sectores relevantes de actividades económicas
  • Medioambiente
  • Funcionamiento normal de la sociedad y/o Administración del Estado
  • Defensa nacional
  • Seguridad y orden público

Operadores de Importancia Vital (OIV)

Subconjunto de SE con mayor criticidad nacional. La ANCI identificará mediante resolución exenta las infraestructuras, procesos o funciones específicas que serán calificadas como OIV, sujetas a obligaciones adicionales del Artículo 8°.

Obligaciones Fundamentales para Entidades Reguladas

La ley define un conjunto de deberes permanentes que forman la base del cumplimiento, los cuales se intensifican para las organizaciones calificadas como OIV.

Deberes Generales (Aplicables a SE y OIV)

  • Gestión Continua de Riesgos: Implementar y mantener medidas técnicas y organizacionales para gestionar los riesgos que afecten la seguridad de redes y sistemas.
  • Capacidades de Respuesta: Desarrollar las capacidades necesarias para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad.
  • Reporte Obligatorio de Incidentes: Notificar al CSIRT Nacional los incidentes significativos en plazos estrictos (alerta inicial en menos de 3 horas, reporte detallado en 72 horas, reporte final en 30 días).

Deberes Específicos para Operadores de Importancia Vital (OIV)

Las organizaciones más críticas para el país deben, adicionalmente:

  • Implementar un Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Elaborar y certificar Planes de Continuidad Operacional y de Ciberseguridad.
  • Realizar auditorías, evaluaciones y simulacros periódicos.
  • Designar un Delegado de Ciberseguridad.

Estado Actual de Implementación

La Ley 21.663 se encuentra en proceso de implementación activa con plazos específicos para diferentes obligaciones:

Proceso de Calificación OIV en Curso

Mediante Resolución Exenta N° 024 de mayo 2025, ANCI inició el primer procedimiento de calificación de Operadores de Importancia Vital. Este proceso:

  • Se rige por el Decreto Supremo N° 285/2024
  • Tiene un plazo de 90 días desde entrada en vigencia
  • Debe revisarse cada 3 años según el Artículo 6° de la ley
  • Determina qué SE quedan sujetos a obligaciones adicionales del Artículo 8°

Taxonomía de Incidentes Oficial

La Resolución ANCI N° 7/2025 estableció la taxonomía oficial con cuatro categorías de alertas:

  • Alertas de falsificación: Sitios que se hacen pasar por otros
  • Alertas de incidentes: Vulnerabilidades en explotación activa
  • Indicadores de compromiso: Malware, phishing, vishing, smishing
  • Alertas de vulnerabilidad: Fallas en software y aplicaciones

Plataformas Operativas

Los sistemas ANCI están operativos a través de:

  • CSIRT Nacional: csirt.gob.cl
  • ANCI institucional: anci.gob.cl
  • Plataforma de registro: Para inscripción según Instrucción General N° 1

Análisis Sectorial: Concurrencia de Reguladores

La Ley 21.663 opera como un marco general, pero su mayor complejidad surge en sectores que ya poseen una regulación de ciberseguridad propia, creando escenarios de concurrencia regulatoria.

Sector Financiero

El principal desafío es la coexistencia de la CMF y la ANCI. Las entidades deben armonizar el cumplimiento de normativas como RAN 20-10 con los nuevos deberes de la Ley 21.663.

Profundizar en análisis para Sector Financiero →

Sector Energético

Las empresas eléctricas deben navegar un marco con hasta cuatro reguladores (SEC, CNE, CEN, ANCI), protegiendo infraestructura crítica OT/IT bajo múltiples estándares.

Profundizar en análisis para Sector Energético →

Cumplimiento Corporativo

Para todas las empresas, la ciberseguridad se vincula a la Ley 21.595 de delitos informáticos, haciendo imperativo integrar estos riesgos en el Modelo de Prevención de Delitos.

Profundizar en análisis Corporativo y Penal →

Política Nacional de Ciberseguridad

Define los pilares estratégicos, la gobernanza y la coordinación con la ANCI, enmarcando obligaciones para infraestructura crítica y reporte de incidentes bajo la Ley 21.663.

Profundizar en Política Nacional de Ciberseguridad →

Marcos de Implementación

La Ley 21.663 establece obligaciones funcionales sin prescribir marcos técnicos específicos. Los estándares aplicables serán definidos por reglamentación sectorial:

Servicios Esenciales (SE)

  • Gestión de riesgos: Medidas técnicas y organizacionales (marcos como NIST CSF pueden servir de referencia).
  • Registro ANCI: Inscripción obligatoria según Instrucción General N°1.
  • Encargado de Reporte: Designación para coordinación con ANCI.

Operadores de Importancia Vital (OIV)

  • SGSI: Sistema de gestión de seguridad de la información (ISO 27001 es ejemplo de estándar reconocido).
  • Planes certificados: Continuidad operacional y ciberseguridad con evaluación independiente.
  • Encargado de Ciberseguridad: Funciones técnicas según reglamentación pendiente.
  • Evaluaciones periódicas: Auditorías y simulacros según metodología por definir.