¿La Ley 21.663 aplica a mi empresa aunque no sea OIV?

Probablemente sí. La lectura más común y errada de la Ley Marco de Ciberseguridad es tratar la calidad de OIV como el interruptor de encendido. La ley obliga a todos los servicios esenciales; el OIV es solo el nivel reforzado dentro de ellos. No ser OIV suele significar deberes más livianos, no la ausencia de deberes.

Esta página corrige un error común de alcance: que solo los OIV están obligados. Expone la categoría de servicios esenciales que la ley realmente apunta, los deberes que aplican aunque no se sea OIV, en qué difiere el nivel OIV y cómo ubicar a su empresa en la casilla correcta. Cierra con las preguntas que primero hacen directorios y jefaturas de tecnología.

OIV es un nivel, no el interruptor

La ley opera en dos capas: una categoría amplia que arrastra deberes generales, y un subconjunto calificado que arrastra deberes reforzados.

Servicio esencial, no OIV

El giro cae dentro de los servicios esenciales del artículo 4 (energía, telecomunicaciones, banca, salud, transporte, infraestructura digital, entre otros). Debe los deberes generales del artículo 7 y los de reporte del artículo 9: prevenir, reportar y resolver incidentes de forma permanente.

Operador de Importancia Vital

Calificado por la Agencia según el artículo 5, porque una interrupción afectaría significativamente la seguridad o la continuidad del servicio. Debe los ocho deberes reforzados del artículo 8, además de los generales. Ver calificación OIV.

Lo práctico es qué debe hacer efectivamente un servicio esencial que no es OIV.

Los deberes que aplican sin ser OIV

El artículo 7 no es una cláusula simbólica. Exige una postura de ciberseguridad real y permanente, proporcional a la organización.

  • Medidas permanentes para prevenir, reportar y resolver incidentes de ciberseguridad, por medios tecnológicos, organizacionales, físicos o de información (artículo 7).
  • Reporte de incidentes a la autoridad dentro de los términos que fija la ley (artículo 9).
  • Coordinación con la normativa sectorial cuando aplica, como el marco CMF para entidades supervisadas. Ver ciberseguridad en el sector financiero.

Y hay una razón adicional para no confiarse en estar fuera: el perímetro puede moverse.

El perímetro no es estático

Dos piezas móviles hacen de esto una pregunta que se revisita, no que se zanja una vez.

Artículo 4

La lista puede crecer

La Agencia puede incorporar otros servicios como esenciales mediante resolución fundada. Un giro fuera del perímetro hoy puede quedar dentro mañana.

Artículo 5

La calidad de OIV puede cambiar

La calificación como OIV es una decisión de la Agencia que puede revisarse a medida que evolucionan el sector y la empresa. Siga el listado de OIV.

¿No sabe en qué nivel está su empresa?

Suponer que se está fuera por no ser OIV es la lectura más cara de esta ley. Evaluamos si su giro es un servicio esencial, qué deberes aplican hoy y cuán expuesto está a una futura calificación como OIV.

Ver nuestra práctica de ciberseguridad

Preguntas frecuentes

¿La Ley 21.663 solo obliga a los Operadores de Importancia Vital?

No. La ley alcanza a los servicios esenciales, una categoría amplia definida en el artículo 4 que incluye sectores como energía, telecomunicaciones, banca, salud, transporte e infraestructura digital, entre otros. Los OIV son un subconjunto calificado dentro de ese universo. No ser OIV no significa quedar fuera de la ley.

¿Qué obligaciones tengo si soy servicio esencial pero no OIV?

Los deberes generales del artículo 7: implementar de forma permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad, por medios tecnológicos, organizacionales, físicos o de información. A ello se suman los deberes de reporte del artículo 9. Es un estándar más liviano que el de un OIV, pero es un estándar exigible.

¿En qué se diferencian las obligaciones de un OIV?

El artículo 8 impone a los OIV ocho deberes reforzados: sistema de gestión de seguridad de la información, documentación de incidentes, planes de continuidad operacional certificados, revisiones continuas, mitigación expedita, certificaciones, notificación a afectados, capacitación y designación de un delegado de ciberseguridad. Es el régimen más estricto de la ley.

¿Cómo sé en qué categoría está mi empresa?

Primero se determina si el giro cae dentro de los servicios esenciales del artículo 4. Si es así, aplican los deberes generales. Luego se evalúa si, además, la empresa fue o puede ser calificada OIV por la Agencia (artículo 5), lo que activa los deberes reforzados. Son dos preguntas sucesivas, no una sola.

¿La Agencia puede sumar servicios que hoy no están listados?

Sí. El artículo 4 permite a la Agencia incorporar otros servicios como esenciales mediante resolución fundada. Por eso el análisis no es estático: un giro que hoy parece fuera del perímetro puede quedar dentro, y conviene seguir la evolución de las calificaciones.

Fuentes oficiales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.