Normativa CMF

NCG 454: Riesgo Operacional y Ciberseguridad en Entidades Financieras

La Norma de Carácter General N° 454 de la CMF establece el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras reguladas en Chile.

Esta página recorre la NCG 454 en cuatro pasos: qué es la norma y qué consolida, a qué entidades alcanza, las obligaciones operacionales y de ciberseguridad concretas que impone, y cómo se articula con la Ley Marco de Ciberseguridad 21.663. Al cierre están las preguntas frecuentes y la fuente oficial.

¿Qué es la NCG 454?

El punto de partida es qué consolida la norma y cómo cambió el enfoque supervisor de la CMF.

La NCG 454 (Norma de Carácter General N° 454) es la norma que dicta la Comisión para el Mercado Financiero (CMF) y que consolida el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras que fiscaliza. Convierte las expectativas del supervisor sobre gobierno, continuidad, externalización y ciberseguridad en deberes concretos, con una aplicación escalonada según el tamaño y la complejidad de cada entidad.

Antes de la NCG 454, las circulares de la CMF regulaban el riesgo operacional y la seguridad de la información en instrumentos separados. La nueva norma integra ambos en un marco único basado en principios y extiende su alcance a incidentes tecnológicos y amenazas cibernéticas. Convive con regulaciones sectoriales como el RAN 20-10 de la banca y se lee en conjunto con las obligaciones de la Ley Marco de Ciberseguridad 21.663, de 2024.

Antes de los deberes concretos, conviene saber quién queda dentro del perímetro.

Alcance y destinatarios

La norma alcanza a todo el universo CMF, y su intensidad se gradúa según cada entidad.

La norma se aplica al catálogo completo de entidades que fiscaliza la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y demás intermediarios financieros regulados. La exigencia es proporcional: las entidades de mayor tamaño, complejidad o relevancia sistémica enfrentan deberes más estrictos, mientras que las entidades menores cumplen una versión simplificada de los mismos requisitos esenciales.

Para esas entidades, la norma fija cinco familias de obligaciones concretas.

Obligaciones principales

Estos son los deberes que estructuran el marco, del gobierno al reporte de incidentes.

  1. Gobierno

    Responsabilidad del directorio y la alta administración por el marco de gestión de riesgos operacionales y tecnológicos, con un apetito al riesgo documentado y reportes regulares.

  2. Gestión de riesgos

    Identificación, medición, control y monitoreo de riesgos operacionales, tecnológicos y cibernéticos, incluyendo los que derivan de terceros y externalizaciones.

  3. Continuidad del negocio

    Planes de continuidad y recuperación que cubran procesos críticos, objetivos de tiempo de recuperación y pruebas periódicas.

  4. Ciberseguridad

    Programa de ciberseguridad con controles preventivos, detectivos y de respuesta, una función responsable designada y procedimientos de gestión de incidentes.

  5. Reporte de incidentes

    Comunicación oportuna a la CMF de incidentes operacionales y cibernéticos que puedan afectar la estabilidad de la entidad, a sus clientes o la integridad del mercado.

Estos deberes no operan aislados: se cruzan con el régimen transversal que introdujo 2024.

Relación con la Ley Marco de Ciberseguridad 21.663

Los dos regímenes coexisten, y algunas entidades deben responder ante ambos reguladores a la vez.

La NCG 454 y la Ley 21.663 operan en paralelo y no se sustituyen entre sí. La CMF conserva sus potestades de supervisión sobre las entidades financieras reguladas; la Agencia Nacional de Ciberseguridad (ANCI) suma un régimen transversal de deberes y notificación de incidentes. Las entidades que califican como operadores de importancia vital (OIV) deben coordinar el reporte ante ambos reguladores y alinear sus programas de ciberseguridad con las exigencias de cada marco.

Las consultas más habituales sobre la norma y su implementación se responden a continuación.

Preguntas frecuentes

Alcance, obligaciones, plazos y la interacción con otros regímenes.

¿Qué es la NCG 454 de la CMF?

La Norma de Carácter General N° 454 (NCG 454) es la regulación que dicta la Comisión para el Mercado Financiero (CMF) para consolidar el marco de gestión de riesgos operacionales y tecnológicos, incluida la ciberseguridad, en las entidades financieras que fiscaliza. Reemplaza instrumentos previos dispersos y opera con un enfoque basado en principios, que se aplica de forma proporcional al tamaño y la complejidad de cada entidad.

¿A qué entidades aplica la NCG 454?

La norma alcanza al universo de entidades que supervisa la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y otros intermediarios financieros regulados. La intensidad de las obligaciones se gradúa según el tamaño y la relevancia sistémica de cada entidad.

¿Qué obligaciones operacionales y de ciberseguridad exige?

Las principales obligaciones son: gobierno y responsabilidad del directorio sobre el marco; identificar, medir, controlar y monitorear los riesgos operacionales, tecnológicos y cibernéticos (incluidos los de terceros); planes de continuidad y recuperación con pruebas periódicas; un programa de ciberseguridad con controles preventivos, detectivos y de respuesta; y reportar a la CMF, de manera oportuna, los incidentes que afecten la estabilidad, a los clientes o la integridad del mercado.

¿Cómo se relaciona con la Ley 21.663 de Ciberseguridad?

La NCG 454 y la Ley 21.663 operan en paralelo. La CMF conserva su potestad supervisora sobre las entidades financieras reguladas; la ANCI suma un régimen transversal con notificación de incidentes propia. Las entidades calificadas como Operadores de Importancia Vital (OIV) deben coordinar reportes ante ambos reguladores y alinear sus programas con las exigencias de cada marco.

¿Qué diferencia hay entre la NCG 454 y el RAN 20-10 de bancos?

La NCG 454 es transversal a todo el universo de entidades CMF y opera con un enfoque basado en principios; el RAN 20-10 es específico de la banca y fija estándares más detallados para gestionar el riesgo operacional bancario. En la práctica, los bancos cumplen ambos: el RAN 20-10 como capa sectorial dentro del marco general de la NCG 454.

¿Cuándo entró en vigor la NCG 454 y qué plazos rigen su implementación?

La CMF dictó la NCG 454 en 2021 y su implementación avanza de manera escalonada según el tamaño y la complejidad de la entidad fiscalizada. Las entidades de mayor relevancia sistémica enfrentan plazos más exigentes en gobierno del marco, pruebas de continuidad y reporte de incidentes; las entidades menores siguen cronogramas proporcionales. La CMF complementa la norma con instrucciones específicas por subsector, que conviene revisar junto con el texto original para fijar la hoja de ruta interna de cada institución.

Recursos adicionales

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.