NCG 454: Riesgo Operacional y Ciberseguridad en Entidades Financieras

La Norma de Carácter General N° 454 de la CMF establece el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras reguladas en Chile.

¿Qué es la NCG 454?

La NCG 454 (Norma de Carácter General N° 454) es la norma dictada por la Comisión para el Mercado Financiero (CMF) que consolida el marco de gestión de riesgos operacionales y tecnológicos aplicable a las entidades financieras bajo su fiscalización. Traduce las expectativas del supervisor en materia de gobierno, continuidad, externalización y ciberseguridad en un conjunto de deberes concretos, con una implementación escalonada en función del tamaño y complejidad de cada entidad.

Mientras que las circulares anteriores de la CMF abordaban el riesgo operacional y la seguridad de la información en instrumentos separados, la NCG 454 los integra en un marco único basado en principios, y lo extiende a incidentes tecnológicos y amenazas cibernéticas. Convive con normas sectoriales específicas, como el RAN 20-10 para la banca, y debe leerse en conjunto con las obligaciones introducidas por la Ley Marco de Ciberseguridad 21.663 de 2024.

Alcance y destinatarios

La norma alcanza al catálogo completo de entidades fiscalizadas por la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y demás intermediarios financieros regulados. La aplicación es proporcional: las entidades de mayor tamaño, complejidad o relevancia sistémica enfrentan exigencias más estrictas, mientras que las entidades menores aplican una versión simplificada de los mismos deberes esenciales.

Obligaciones principales

  • Gobierno. Responsabilidad del directorio y la alta administración por el marco de gestión de riesgos operacionales y tecnológicos, con un apetito al riesgo documentado y reportes regulares.
  • Gestión de riesgos. Identificación, medición, control y monitoreo de riesgos operacionales, tecnológicos y cibernéticos, incluyendo los que derivan de terceros y externalizaciones.
  • Continuidad del negocio. Planes de continuidad y recuperación que cubran procesos críticos, objetivos de tiempo de recuperación y pruebas periódicas.
  • Ciberseguridad. Programa de ciberseguridad con controles preventivos, detectivos y de respuesta, una función responsable designada y procedimientos de gestión de incidentes.
  • Reporte de incidentes. Comunicación oportuna a la CMF de incidentes operacionales y cibernéticos que puedan afectar la estabilidad de la entidad, a sus clientes o la integridad del mercado.

Relación con la Ley Marco de Ciberseguridad 21.663

La NCG 454 y la Ley 21.663 operan en paralelo y no se sustituyen. La CMF mantiene sus potestades de supervisión sobre las entidades financieras reguladas, mientras que la Agencia Nacional de Ciberseguridad (ANCI) añade un régimen transversal de deberes y notificación de incidentes. Las entidades que califiquen como operadores de importancia vital (OIV) deberán coordinar el reporte a ambos reguladores y alinear sus programas de ciberseguridad con las exigencias de ambos marcos.

Recursos adicionales

Transforme sus Desafíos Legales en Ventajas Competitivas

Descubra cómo nuestro enfoque innovador puede impulsar su negocio

Agendar ConsultaConocer al Equipo
© 2025 AnguitaOsorio, all rights reserved.
Chile

Our Company

Contact

Contáctanos

Phone:

+56 2 2760 4512

Location:

Cerro el Plomo 5420, office 1306, Las Condes, Metropolitan Region.