El Nuevo Escenario Regulatorio en Ciberseguridad

La Ley N° 21.663, Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información de Chile, se publicó el 8 de abril de 2024. La norma crea la Agencia Nacional de Ciberseguridad (ANCI) y define la nueva arquitectura institucional y normativa de la ciberseguridad en el país. También impone deberes a un amplio espectro de organizaciones, con foco en los Servicios Esenciales (SE) y los Operadores de Importancia Vital (OIV).

Marco Regulatorio en Desarrollo

La implementación de la ley se articula a través de decretos supremos y resoluciones ANCI:

  • Decreto Supremo N° 285/2024: Reglamento del procedimiento de calificación de OIV
  • Decreto Supremo N° 295/2024: Reglamento de reportes de incidentes de ciberseguridad
  • Resolución ANCI N° 024/2025: Inicia primer procedimiento de calificación OIV (mayo 2025)
  • Resolución ANCI N° 7/2025: Taxonomía oficial de incidentes de ciberseguridad
  • Instrucción General N° 1: Inscripción de SE en plataforma de reporte

Obligaciones de Designación y Registro

Los SE deben designar a un Encargado de Reporte que coordine la inscripción en la plataforma de la ANCI y la notificación de incidentes. Los OIV, además, requieren un Encargado de Ciberseguridad con funciones de coordinación técnica. Todas las entidades deben inscribirse en la plataforma oficial de reporte de incidentes conforme a la Instrucción General N°1 de la ANCI.

Entidades Sujetas a la Ley 21.663

Según el Artículo 2° de la ley, son Servicios Esenciales (SE) aquellos provistos por:

Organismos Públicos

  • Organismos de la Administración del Estado
  • Coordinador Eléctrico Nacional
  • Prestadores bajo concesión de servicio público

Instituciones Privadas en Actividades Específicas

  • Energía: Generación, transmisión o distribución eléctrica
  • Combustibles: Transporte, almacenamiento o distribución de combustibles
  • Agua: Suministro de agua potable o saneamiento
  • Telecomunicaciones
  • Infraestructura digital
  • Servicios digitales y de TI: Gestionados por terceros
  • Transporte: Terrestre, aéreo, ferroviario o marítimo, así como operación de su infraestructura
  • Financiero: Banca, servicios financieros y medios de pago
  • Seguridad social: Administración de prestaciones
  • Postal: Servicios postales y de mensajería
  • Salud: Prestación institucional por hospitales, clínicas, consultorios y centros médicos
  • Farmacéutico: Producción y/o investigación de productos farmacéuticos

Otros Servicios

La ANCI podrá calificar otros servicios como esenciales mediante resolución fundada cuando su afectación pueda causar grave daño a:

  • Vida o integridad física de la población
  • Abastecimiento poblacional
  • Sectores relevantes de actividades económicas
  • Medioambiente
  • Funcionamiento normal de la sociedad y/o Administración del Estado
  • Defensa nacional
  • Seguridad y orden público

Operadores de Importancia Vital (OIV)

Subconjunto de SE con mayor criticidad nacional. La ANCI identificará mediante resolución exenta las infraestructuras, procesos o funciones específicas que serán calificadas como OIV, sujetas a obligaciones adicionales del Artículo 8°.

Agencia Nacional de Ciberseguridad (ANCI)

La Ley 21.663 creó la ANCI como autoridad sectorial de la ciberseguridad en Chile. A diferencia de los organismos técnicos que la precedieron, la ANCI no se limita a un rol asesor: dicta normativa obligatoria, fiscaliza a los Servicios Esenciales y a los Operadores de Importancia Vital, y aplica sanciones de hasta 40.000 UTM por infracciones graves.

Competencias y funciones principales

  • Dictar normativa técnica obligatoria sobre deberes de ciberseguridad (primera resolución ANCI N° 024/2025 ya emitida).
  • Fiscalizar a los Servicios Esenciales y a los Operadores de Importancia Vital, con facultades de inspección, requerimiento de información y auditorías.
  • Instruir procedimientos sancionatorios y aplicar multas por infracciones a la Ley 21.663 y su reglamento.
  • Coordinar el CSIRT Nacional y actuar como punto central de reporte de incidentes de ciberseguridad.
  • Representar a Chile ante organismos internacionales en materia de ciberseguridad.

Registro y reporte ante la ANCI

Los Servicios Esenciales deben inscribirse en la plataforma de la ANCI conforme a la Instrucción General N° 1 y designar a un Encargado de Reportabilidad. Las entidades deben notificar los incidentes críticos al CSIRT Nacional dentro de las tres horas siguientes a su detección. Este deber convive con las obligaciones sectoriales ante la CMF, la SEC y otras autoridades, que no se sustituyen.

Obligaciones Fundamentales para Entidades Reguladas

La ley fija un conjunto de deberes permanentes que constituyen la base del cumplimiento. Esos deberes se intensifican para las organizaciones que la ANCI califique como OIV.

Deberes Generales (Aplicables a SE y OIV)

  • Gestión continua de riesgos: implementar y mantener medidas técnicas y organizacionales para gestionar los riesgos que afecten la seguridad de las redes y los sistemas.
  • Capacidades de respuesta: desarrollar las capacidades necesarias para prevenir, detectar, gestionar y responder a incidentes de ciberseguridad.
  • Reporte obligatorio de incidentes: notificar al CSIRT Nacional los incidentes significativos dentro de plazos estrictos (alerta inicial antes de 3 horas, reporte detallado en 72 horas, reporte final en 30 días).

Deberes Específicos para Operadores de Importancia Vital (OIV)

Las organizaciones más críticas para el país deben, además:

  • Implementar un Sistema de Gestión de la Seguridad de la Información (SGSI).
  • Elaborar y certificar planes de continuidad operacional y de ciberseguridad.
  • Realizar auditorías, evaluaciones y simulacros con periodicidad.
  • Designar a un Delegado de Ciberseguridad.

Estado Actual de Implementación

La Ley 21.663 avanza en su implementación con plazos específicos para cada obligación:

Proceso de Calificación OIV en Curso

Mediante Resolución Exenta N° 024 de mayo 2025, ANCI inició el primer procedimiento de calificación de Operadores de Importancia Vital. Este proceso:

  • Se rige por el Decreto Supremo N° 285/2024
  • Tiene un plazo de 90 días desde entrada en vigencia
  • Debe revisarse cada 3 años según el Artículo 6° de la ley
  • Determina qué SE quedan sujetos a obligaciones adicionales del Artículo 8°

Taxonomía de Incidentes Oficial

La Resolución ANCI N° 7/2025 estableció la taxonomía oficial con cuatro categorías de alertas:

  • Alertas de falsificación: Sitios que se hacen pasar por otros
  • Alertas de incidentes: Vulnerabilidades en explotación activa
  • Indicadores de compromiso: Malware, phishing, vishing, smishing
  • Alertas de vulnerabilidad: Fallas en software y aplicaciones

Plataformas Operativas

Los sistemas ANCI están operativos a través de:

  • CSIRT Nacional: csirt.gob.cl
  • ANCI institucional: anci.gob.cl
  • Plataforma de registro: Para inscripción según Instrucción General N° 1

Reglamento de la Ley 21.663

Estado: Pendiente de publicación oficial

El Reglamento de la Ley 21.663 se encuentra en tramitación. Una vez publicado en el Diario Oficial, esta sección incorporará el análisis técnico de sus normas, los plazos de adecuación para los Servicios Esenciales y los Operadores de Importancia Vital, y las interacciones con los Decretos Supremos N° 285/2024 y N° 295/2024.

Anguita Osorio actualiza este análisis dentro de las 48 horas siguientes a la publicación oficial.

Análisis Sectorial: Concurrencia de Reguladores

La Ley 21.663 opera como un marco general. Su mayor complejidad surge en los sectores que ya cuentan con regulación de ciberseguridad propia, donde aparecen escenarios de concurrencia regulatoria.

Sector Financiero

El principal desafío es la coexistencia de la CMF y la ANCI. Las entidades deben armonizar el cumplimiento de normativas como RAN 20-10 con los nuevos deberes de la Ley 21.663.

Análisis para el sector financiero →

Sector Energético

Las empresas eléctricas deben navegar un marco con hasta cuatro reguladores (SEC, CNE, CEN, ANCI), protegiendo infraestructura crítica OT/IT bajo múltiples estándares.

Análisis para el sector energético →

Cumplimiento Corporativo

En todas las empresas, la ciberseguridad se vincula con la Ley 21.595 sobre delitos económicos. Las organizaciones deben integrar este riesgo en su Modelo de Prevención de Delitos.

Análisis corporativo y penal →

Política Nacional de Ciberseguridad

Define los pilares estratégicos, la gobernanza y la coordinación con la ANCI. Encuadra las obligaciones para la infraestructura crítica y el reporte de incidentes bajo la Ley 21.663.

Política Nacional de Ciberseguridad →

Marcos de Implementación

La Ley 21.663 establece obligaciones funcionales sin prescribir marcos técnicos específicos. La reglamentación sectorial definirá los estándares aplicables:

Servicios Esenciales (SE)

  • Gestión de riesgos: Medidas técnicas y organizacionales (marcos como NIST CSF pueden servir de referencia).
  • Registro ANCI: Inscripción obligatoria según Instrucción General N°1.
  • Encargado de Reporte: Designación para coordinación con ANCI.

Operadores de Importancia Vital (OIV)

  • SGSI: Sistema de gestión de seguridad de la información (ISO 27001 es ejemplo de estándar reconocido).
  • Planes certificados: Continuidad operacional y ciberseguridad con evaluación independiente.
  • Encargado de Ciberseguridad: Funciones técnicas según reglamentación pendiente.
  • Evaluaciones periódicas: Auditorías y simulacros según metodología por definir.

Preguntas Frecuentes sobre la Ley 21.663

Síntesis de las consultas más comunes sobre la Ley de Ciberseguridad de Chile.

¿Qué es la Ley 21.663?

La Ley 21.663 es la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información de Chile, publicada el 8 de abril de 2024. Establece el marco institucional de la ciberseguridad, fija deberes para los Servicios Esenciales y los Operadores de Importancia Vital, y crea la Agencia Nacional de Ciberseguridad (ANCI).

¿A quiénes se aplica la Ley 21.663?

La ley se aplica a los Servicios Esenciales del sector financiero, telecomunicaciones, energía, salud y otros sectores estratégicos. Se aplica además a los Operadores de Importancia Vital que la ANCI califique como tales por resolución fundada, y de forma subsidiaria a los organismos del sector público.

¿Qué obligaciones impone la Ley 21.663?

La ley exige implementar un sistema de gestión de seguridad de la información, reportar los incidentes a la ANCI dentro de plazos determinados, designar un Delegado de Ciberseguridad y adoptar medidas mínimas de continuidad operativa y resiliencia.

¿Qué sanciones contempla por incumplimiento?

La ANCI aplica multas escalonadas que van desde infracciones leves (hasta 5.000 UTM) hasta infracciones gravísimas (hasta 40.000 UTM), previa tramitación administrativa. Las infracciones reiteradas o de mayor gravedad pueden derivar en la clausura temporal del servicio.

¿Cómo se relaciona la Ley 21.663 con la regulación de la CMF?

Los servicios financieros que la CMF supervisa (RAN 20-10, NCG 454, NCG 502) deben armonizar el cumplimiento sectorial con las exigencias de la ANCI. La coordinación entre ambos reguladores evita la duplicidad de reportes y asegura una gestión coherente del riesgo.

¿Qué plazos fija el Decreto Supremo N° 285/2024 para la calificación de OIV?

El DS N° 285/2024 establece un plazo de noventa días desde la entrada en vigencia para iniciar la calificación de los Operadores de Importancia Vital. La calificación se revisa cada tres años, conforme al artículo 6° de la Ley 21.663, y determina qué Servicios Esenciales quedan sujetos a las obligaciones adicionales del artículo 8°.

¿En qué plazo debe reportarse un incidente de ciberseguridad a la ANCI?

Los Servicios Esenciales y los Operadores de Importancia Vital deben notificar los incidentes críticos al CSIRT Nacional dentro de las tres horas siguientes a su detección. El reporte se realiza mediante la plataforma de la ANCI conforme a la Instrucción General N° 1, y convive con las obligaciones sectoriales ante la CMF, la SEC y otras autoridades.

Lecturas Relacionadas

Otros pilares regulatorios que conectan con la Ley 21.663 en la práctica corporativa chilena.

Fuentes oficiales