NCG 454: Riesgo Operacional y Ciberseguridad en Entidades Financieras
La Norma de Carácter General N° 454 de la CMF establece el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras reguladas en Chile.
¿Qué es la NCG 454?
La NCG 454 (Norma de Carácter General N° 454) es la norma que dicta la Comisión para el Mercado Financiero (CMF) y que consolida el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras que fiscaliza. Convierte las expectativas del supervisor sobre gobierno, continuidad, externalización y ciberseguridad en deberes concretos, con una aplicación escalonada según el tamaño y la complejidad de cada entidad.
Hasta su entrada en vigor, las circulares anteriores de la CMF regulaban el riesgo operacional y la seguridad de la información en instrumentos separados. La NCG 454 los integra en un marco único basado en principios y extiende su alcance a incidentes tecnológicos y amenazas cibernéticas. La norma coexiste con regulaciones sectoriales como el RAN 20-10 de la banca y debe leerse junto con las obligaciones de la Ley Marco de Ciberseguridad 21.663, de 2024.
Alcance y destinatarios
La norma se aplica al catálogo completo de entidades que fiscaliza la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y demás intermediarios financieros regulados. La exigencia es proporcional: las entidades de mayor tamaño, complejidad o relevancia sistémica enfrentan deberes más estrictos, mientras que las entidades menores cumplen una versión simplificada de los mismos requisitos esenciales.
Obligaciones principales
- Gobierno. Responsabilidad del directorio y la alta administración por el marco de gestión de riesgos operacionales y tecnológicos, con un apetito al riesgo documentado y reportes regulares.
- Gestión de riesgos. Identificación, medición, control y monitoreo de riesgos operacionales, tecnológicos y cibernéticos, incluyendo los que derivan de terceros y externalizaciones.
- Continuidad del negocio. Planes de continuidad y recuperación que cubran procesos críticos, objetivos de tiempo de recuperación y pruebas periódicas.
- Ciberseguridad. Programa de ciberseguridad con controles preventivos, detectivos y de respuesta, una función responsable designada y procedimientos de gestión de incidentes.
- Reporte de incidentes. Comunicación oportuna a la CMF de incidentes operacionales y cibernéticos que puedan afectar la estabilidad de la entidad, a sus clientes o la integridad del mercado.
Relación con la Ley Marco de Ciberseguridad 21.663
La NCG 454 y la Ley 21.663 operan en paralelo y no se sustituyen entre sí. La CMF conserva sus potestades de supervisión sobre las entidades financieras reguladas; la Agencia Nacional de Ciberseguridad (ANCI) suma un régimen transversal de deberes y notificación de incidentes. Las entidades que califican como operadores de importancia vital (OIV) deben coordinar el reporte ante ambos reguladores y alinear sus programas de ciberseguridad con las exigencias de cada marco.
Recursos adicionales
- Normativa CMF en ciberseguridad y fintech: tabla comparativa
- NCG 461: estándar de divulgación corporativa / Memoria Anual
- NCG 502: obligaciones de las administradoras generales de fondos (AGF)
- NCG 524: intermediarios de valores
- RAN 20-10: gestión del riesgo operacional bancario
- Ciberseguridad en el sector financiero chileno
- Ley Marco de Ciberseguridad 21.663
- Operadores de Importancia Vital (OIV)
- Panorama general de ciberseguridad
- NCG 454 CMF (texto oficial, PDF)
Preguntas frecuentes
¿Qué es la NCG 454 de la CMF?
La Norma de Carácter General N° 454 (NCG 454) es la regulación que dicta la Comisión para el Mercado Financiero (CMF) para consolidar el marco de gestión de riesgos operacionales y tecnológicos, incluida la ciberseguridad, aplicable a las entidades financieras fiscalizadas. Sustituye instrumentos previos dispersos y opera bajo un enfoque basado en principios, con aplicación proporcional al tamaño y la complejidad de cada entidad.
¿A qué entidades aplica la NCG 454?
Aplica al universo de entidades supervisadas por la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y otros intermediarios financieros regulados. La intensidad de las obligaciones se gradúa según el tamaño y la relevancia sistémica de la entidad.
¿Qué obligaciones operacionales y de ciberseguridad exige?
Las principales obligaciones son: gobierno y responsabilidad del directorio sobre el marco; identificación, medición, control y monitoreo de riesgos operacionales, tecnológicos y cibernéticos (incluidos los de terceros); planes de continuidad y recuperación con pruebas periódicas; programa de ciberseguridad con controles preventivos, detectivos y de respuesta; y reporte oportuno a la CMF de incidentes que afecten estabilidad, clientes o integridad del mercado.
¿Cómo se relaciona con la Ley 21.663 de Ciberseguridad?
La NCG 454 y la Ley 21.663 operan en paralelo. La CMF mantiene su potestad supervisora sobre las entidades financieras reguladas; la ANCI suma un régimen transversal con su propia notificación de incidentes. Las entidades calificadas como Operadores de Importancia Vital (OIV) deben coordinar reportes ante ambos reguladores y alinear sus programas con las exigencias de cada marco.
¿Qué diferencia hay entre la NCG 454 y el RAN 20-10 de bancos?
La NCG 454 es transversal a todo el universo de entidades CMF y opera basada en principios; el RAN 20-10 es específico de la banca y establece estándares más detallados de gestión del riesgo operacional bancario. En la práctica, los bancos cumplen ambos: el RAN 20-10 como capa sectorial dentro del marco general de la NCG 454.
¿Cuándo entró en vigor la NCG 454 y qué plazos rigen su implementación?
La NCG 454 fue dictada por la CMF en 2021 y su implementación se aplica de manera escalonada según el tamaño y la complejidad de la entidad fiscalizada. Las entidades de mayor relevancia sistémica enfrentan plazos más exigentes en gobierno del marco, pruebas de continuidad y reporte de incidentes; las entidades menores cuentan con cronogramas proporcionales. La CMF complementa la norma con instrucciones específicas por subsector, que conviene revisar junto con el texto original para fijar la hoja de ruta interna de cada institución.
Transforme sus Desafíos Legales en Ventajas Competitivas
Descubra cómo nuestro enfoque innovador puede impulsar su negocio
