NCG 454: Riesgo Operacional y Ciberseguridad en Entidades Financieras
La Norma de Carácter General N° 454 de la CMF establece el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras reguladas en Chile.
¿Qué es la NCG 454?
La NCG 454 (Norma de Carácter General N° 454) es la norma que dicta la Comisión para el Mercado Financiero (CMF) y que consolida el marco de gestión de riesgos operacionales y tecnológicos para las entidades financieras que fiscaliza. Convierte las expectativas del supervisor sobre gobierno, continuidad, externalización y ciberseguridad en deberes concretos, con una aplicación escalonada según el tamaño y la complejidad de cada entidad.
Antes de la NCG 454, las circulares de la CMF regulaban el riesgo operacional y la seguridad de la información en instrumentos separados. La nueva norma integra ambos en un marco único basado en principios y extiende su alcance a incidentes tecnológicos y amenazas cibernéticas. Convive con regulaciones sectoriales como el RAN 20-10 de la banca y se lee en conjunto con las obligaciones de la Ley Marco de Ciberseguridad 21.663, de 2024.
Alcance y destinatarios
La norma se aplica al catálogo completo de entidades que fiscaliza la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y demás intermediarios financieros regulados. La exigencia es proporcional: las entidades de mayor tamaño, complejidad o relevancia sistémica enfrentan deberes más estrictos, mientras que las entidades menores cumplen una versión simplificada de los mismos requisitos esenciales.
Obligaciones principales
- Gobierno. Responsabilidad del directorio y la alta administración por el marco de gestión de riesgos operacionales y tecnológicos, con un apetito al riesgo documentado y reportes regulares.
- Gestión de riesgos. Identificación, medición, control y monitoreo de riesgos operacionales, tecnológicos y cibernéticos, incluyendo los que derivan de terceros y externalizaciones.
- Continuidad del negocio. Planes de continuidad y recuperación que cubran procesos críticos, objetivos de tiempo de recuperación y pruebas periódicas.
- Ciberseguridad. Programa de ciberseguridad con controles preventivos, detectivos y de respuesta, una función responsable designada y procedimientos de gestión de incidentes.
- Reporte de incidentes. Comunicación oportuna a la CMF de incidentes operacionales y cibernéticos que puedan afectar la estabilidad de la entidad, a sus clientes o la integridad del mercado.
Relación con la Ley Marco de Ciberseguridad 21.663
La NCG 454 y la Ley 21.663 operan en paralelo y no se sustituyen entre sí. La CMF conserva sus potestades de supervisión sobre las entidades financieras reguladas; la Agencia Nacional de Ciberseguridad (ANCI) suma un régimen transversal de deberes y notificación de incidentes. Las entidades que califican como operadores de importancia vital (OIV) deben coordinar el reporte ante ambos reguladores y alinear sus programas de ciberseguridad con las exigencias de cada marco.
Recursos adicionales
- Normativa CMF en ciberseguridad y fintech: tabla comparativa
- NCG 461: estándar de divulgación corporativa / Memoria Anual
- NCG 502: obligaciones de las administradoras generales de fondos (AGF)
- NCG 524: intermediarios de valores
- RAN 20-10: gestión del riesgo operacional bancario
- Ciberseguridad en el sector financiero chileno
- Ley Marco de Ciberseguridad 21.663
- Operadores de Importancia Vital (OIV)
- Panorama general de ciberseguridad
- NCG 454 CMF (texto oficial, PDF)
Preguntas frecuentes
¿Qué es la NCG 454 de la CMF?
La Norma de Carácter General N° 454 (NCG 454) es la regulación que dicta la Comisión para el Mercado Financiero (CMF) para consolidar el marco de gestión de riesgos operacionales y tecnológicos, incluida la ciberseguridad, en las entidades financieras que fiscaliza. Reemplaza instrumentos previos dispersos y opera con un enfoque basado en principios, que se aplica de forma proporcional al tamaño y la complejidad de cada entidad.
¿A qué entidades aplica la NCG 454?
La norma alcanza al universo de entidades que supervisa la CMF: bancos, cooperativas, intermediarios de valores, administradoras generales de fondos, compañías de seguros y otros intermediarios financieros regulados. La intensidad de las obligaciones se gradúa según el tamaño y la relevancia sistémica de cada entidad.
¿Qué obligaciones operacionales y de ciberseguridad exige?
Las principales obligaciones son: gobierno y responsabilidad del directorio sobre el marco; identificar, medir, controlar y monitorear los riesgos operacionales, tecnológicos y cibernéticos (incluidos los de terceros); planes de continuidad y recuperación con pruebas periódicas; un programa de ciberseguridad con controles preventivos, detectivos y de respuesta; y reportar a la CMF, de manera oportuna, los incidentes que afecten la estabilidad, a los clientes o la integridad del mercado.
¿Cómo se relaciona con la Ley 21.663 de Ciberseguridad?
La NCG 454 y la Ley 21.663 operan en paralelo. La CMF conserva su potestad supervisora sobre las entidades financieras reguladas; la ANCI suma un régimen transversal con notificación de incidentes propia. Las entidades calificadas como Operadores de Importancia Vital (OIV) deben coordinar reportes ante ambos reguladores y alinear sus programas con las exigencias de cada marco.
¿Qué diferencia hay entre la NCG 454 y el RAN 20-10 de bancos?
La NCG 454 es transversal a todo el universo de entidades CMF y opera con un enfoque basado en principios; el RAN 20-10 es específico de la banca y fija estándares más detallados para gestionar el riesgo operacional bancario. En la práctica, los bancos cumplen ambos: el RAN 20-10 como capa sectorial dentro del marco general de la NCG 454.
¿Cuándo entró en vigor la NCG 454 y qué plazos rigen su implementación?
La CMF dictó la NCG 454 en 2021 y su implementación avanza de manera escalonada según el tamaño y la complejidad de la entidad fiscalizada. Las entidades de mayor relevancia sistémica enfrentan plazos más exigentes en gobierno del marco, pruebas de continuidad y reporte de incidentes; las entidades menores siguen cronogramas proporcionales. La CMF complementa la norma con instrucciones específicas por subsector, que conviene revisar junto con el texto original para fijar la hoja de ruta interna de cada institución.
Conversemos sobre los desafíos legales de su empresa
Agende una conversación inicial con nuestro equipo.
