Cumple la Ley Marco de Ciberseguridad con Pirani

La Ley Marco de Ciberseguridad en Chile (Ley 21.663) es la normativa que establece obligaciones para proteger sistemas críticos, reportar incidentes y gestionar riesgos de seguridad de la información. Aplica a empresas de sectores clave y exige evidencia real de cumplimiento ante la autoridad. Está vigente desde el 1 de enero de 2025, su régimen sancionatorio opera desde el 1 de marzo del mismo año y la Agencia Nacional de Ciberseguridad (ANCI) ya tiene facultades para fiscalizar, sancionar y exigir evidencia de cumplimiento.

Si tu organización opera en Chile, esta ley ya no es opcional. Es un requisito regulatorio activo con sanciones económicas y consecuencias reputacionales.

Qué es la Ley Marco de Ciberseguridad en Chile

La Ley 21.663, promulgada en 2024, es la primera regulación integral de ciberseguridad en Chile. Su objetivo es establecer un marco obligatorio para proteger la infraestructura digital del país y garantizar la continuidad de servicios esenciales.

Introduce tres elementos clave:

• Crea la Agencia Nacional de Ciberseguridad (ANCI) como ente fiscalizador
• Define obligaciones concretas para empresas públicas y privadas
• Establece sanciones por incumplimiento

En términos simples: la ciberseguridad deja de ser una buena práctica y se convierte en una obligación legal auditable. Chile tenía un vacío normativo. La Ley 21.663 lo cerró.

Durante años, Chile careció de un marco legal específico para la ciberseguridad. Existían disposiciones dispersas, recomendaciones sectoriales y buenas prácticas que cada organización adoptaba, o no, según su criterio. El resultado era predecible: niveles de madurez muy desiguales, sin estándar mínimo obligatorio y sin autoridad con poder real de sanción.

La Ley 21.663, promulgada el 8 de abril de 2024, cambió eso de raíz. Su objetivo es estructurar, regular y coordinar las acciones en materia de ciberseguridad en el país, estableciendo su finalidad de proteger los sistemas críticos y garantizar la continuidad de los servicios esenciales. Para redactarla, el legislador tomó como referencia la experiencia de la Unión Europea con la normativa NIS2 y las recomendaciones de la Unión Internacional de Telecomunicaciones.

De recomendación técnica a obligación legal

El cambio más importante no es tecnológico. Es de naturaleza jurídica. Lo que antes era una buena práctica —tener un sistema de gestión de seguridad, documentar incidentes, designar un responsable— ahora es una obligación con consecuencias legales. La ley creó un nuevo modelo de gobernanza que promueve la implementación de estándares de ciberseguridad tanto en el sector público como privado, colocando a Chile como referente en América Latina en este ámbito.

La ciberseguridad dejó de ser un asunto del área de TI para convertirse en un tema de gobernanza corporativa con responsabilidad directa de la alta dirección. Esa es la transformación que muchas organizaciones todavía no han procesado del todo.

¿A quién obliga la ley? Servicios Esenciales y Operadores de Importancia Vital

La ley no aplica de la misma forma a todas las organizaciones. Establece dos categorías con exigencias distintas, y entender en cuál cae su empresa es el primer paso antes de cualquier plan de acción.

Servicios Esenciales: el primer nivel de exigencia

La norma alcanza a organizaciones en sectores como energía, agua, telecomunicaciones, transporte, banca, salud y servicios digitales, entre otros. Para estos Prestadores de Servicios Esenciales (PSE), las obligaciones incluyen gestión continua de riesgos, capacidad real de respuesta ante incidentes, inscripción obligatoria en la plataforma de la ANCI y designación de un Encargado de Reporte. No es un régimen liviano, pero es el punto de partida.

OIV: el estándar más alto del país

Los Operadores de Importancia Vital son un subconjunto de los Servicios Esenciales cuya interrupción tendría consecuencias sistémicas graves. La ANCI los identifica mediante resolución formal, evaluando si la provisión del servicio depende de redes y sistemas informáticos y si su afectación tendría un impacto significativo en la seguridad, el orden público, la continuidad de servicios esenciales o el cumplimiento de funciones del Estado.

Lo relevante para las empresas privadas: la ANCI puede designar organizaciones de distintos rubros si su funcionamiento resulta crítico para el país, aunque la ley no define una lista cerrada de sectores. En otras palabras, no hace falta ser una empresa de infraestructura tradicional para quedar en esa categoría.

La pregunta que toda empresa debe hacerse hoy

No saber si su organización será calificada como OIV es, hoy, el mayor riesgo oculto. La lista definitiva la publica la ANCI mediante resolución, y una vez emitida, las entidades designadas tienen un plazo máximo de seis meses para acreditar su SGSI y planes de continuidad. Ese no es el momento para empezar a construir. Ese es el momento para demostrar que ya se tiene.

Si tu organización opera en un sector crítico, presta servicios digitales a gran escala o gestiona datos sensibles de amplios grupos de población, la pregunta no es si podría ser OIV. La pregunta es cuándo.

Las obligaciones concretas que tu organización debe cumplir

El SGSI basado en ISO 27001

Para los OIV, implementar un Sistema de Gestión de Seguridad de la Información es un mandato legal establecido en el Artículo 8 de la Ley 21.663. El estándar de referencia es la norma ISO 27001, que estructura la gestión bajo el ciclo PDCA: Planificar, Hacer, Verificar, Actuar.

El regulador eligió este modelo porque entiende que las amenazas evolucionan. Un checklist estático de controles no sirve frente a un atacante que cambia sus tácticas cada semana. Las obligaciones específicas incluyen: mantener un SGSI continuo con evaluación de probabilidad e impacto; registrar todas las acciones del sistema; elaborar e implementar planes de continuidad certificados; realizar simulacros periódicos; adoptar medidas oportunas ante incidentes; y contar con programas de capacitación y formación para el personal.

La Regla de las 3 Horas

Este es el requisito que más expone a las organizaciones sin procesos internos maduros. Ante un incidente significativo, la alerta debe notificarse al CSIRT Nacional dentro de las primeras tres horas desde la detección, aunque el impacto total no esté claro aún. En las siguientes 72 horas se entrega un reporte con vectores de ataque, sistemas afectados y medidas de mitigación. El ciclo cierra con un informe final a los 30 días.

Cumplir esto no depende de tecnología sofisticada. Depende de que la organización sepa exactamente qué hacer, quién lo hace y en qué orden, antes de que ocurra el incidente. Las empresas que no tienen eso documentado y probado son las que van a fallar en las primeras horas, y las primeras horas son las que la ANCI va a revisar primero.

El Delegado de Ciberseguridad

La ley exige a los OIV designar un Delegado de Ciberseguridad. Este rol no es una formalidad: es el nexo directo entre la operación técnica y la mesa directiva, y el punto de contacto oficial con la ANCI. Su función es perforar lo que los analistas de gobernanza llaman "irresponsabilidad organizada": la tendencia de las organizaciones a diluir la responsabilidad entre áreas hasta que nadie responde claramente por nada. El Delegado centraliza la rendición de cuentas y garantiza que la ciberseguridad tenga voz con autoridad en las decisiones estratégicas.

Responsabilidad penal, sanciones y lo que la ANCI realmente va a revisar

De víctima a responsable: la Ley 21.595 y el riesgo insider

El cambio penal más profundo no viene de la Ley 21.663 sino de la Ley 21.595 de Delitos Económicos, que reformó el Artículo 3 de la Ley 20.393. Antes, para que una empresa fuera penalmente responsable por un delito informático, ese delito tenía que haberse cometido en "interés o provecho" de la organización. Era una barrera alta. Hoy, basta con que el ilícito ocurra "en el marco de la actividad" de la empresa.

Eso significa que si un empleado utiliza la infraestructura corporativa para realizar espionaje industrial, interceptar comunicaciones o acceder ilegalmente a bases de datos de terceros, la persona jurídica puede enfrentar cargos criminales. La vigilancia ya no apunta solo hacia afuera. Apunta también hacia adentro, hacia los propios procesos y personas. Y la responsabilidad penal surge precisamente cuando la empresa no tenía controles adecuados para prevenirlo.

Multas de hasta 40.000 UTM y el costo reputacional

La ANCI puede imponer multas según la gravedad de la infracción: leves hasta 10.000 UTM para OIV, graves hasta 20.000 UTM, y gravísimas hasta 40.000 UTM. A valor actual, una multa máxima supera los USD 3 millones.

Pero el daño financiero directo puede ser el menor de los problemas. Una sanción pública de la ANCI es, por definición, información pública. Clientes, socios, inversionistas y reguladores de otros sectores van a verla. El impacto reputacional de ser sancionado bajo la Ley Marco de Ciberseguridad no tiene una cifra, pero tiene consecuencias que ningún seguro cubre y que pueden afectar relaciones comerciales construidas durante años.

Documentación y trazabilidad: lo que importa en una fiscalización

Tener controles implementados no es suficiente. Mantener documentación actualizada y formalizada oportunamente dentro de la organización es lo que permite demostrar mediante evidencias concretas que las obligaciones del Artículo 8 no son solo un checklist formal, sino que materialmente existen actividades que acreditan cumplimiento.

La ANCI no va a preguntar si la empresa tiene una política de seguridad. Va a preguntar cuándo fue la última vez que se revisó, quién la aprobó, qué riesgos identificó y qué hizo con ellos. Eso requiere trazabilidad, no intención. Y la trazabilidad solo existe si se construye de forma sistemática, no cuando ya llegó la fiscalización.

Por qué Pirani es la herramienta para cumplir la Ley 21.663

Cumplir la Ley 21.663 exige tres cosas que suelen vivir en lugares distintos dentro de las organizaciones: gestión de riesgos, documentación de controles y registro de incidentes. El problema de tenerlas separadas -en hojas de cálculo, correos, carpetas de red- es que cuando llega una fiscalización o un incidente real, ensamblar esa evidencia en horas no es viable. Pirani resuelve exactamente ese problema.

Un SGSI completo en una sola plataforma

El módulo ISMS de Pirani permite identificar procesos y activos de información, calificarlos según criticidad en variables de confidencialidad, integridad, disponibilidad y trazabilidad; evaluar riesgos por probabilidad e impacto; registrar amenazas y vulnerabilidades; definir controles y medir su solidez; documentar incidentes; crear planes de acción; y generar reportes gráficos sobre toda la gestión realizada.

Todo lo que el Artículo 8 de la Ley 21.663 exige como parte del SGSI tiene un lugar específico en la plataforma. No es necesario adaptar una herramienta genérica: el módulo de seguridad de la información de Pirani fue construido alineado al estándar ISO 27001.

Alineado a ISO 27001 y a la regulación chilena

Pirani se adapta a normas internacionales como ISO 27001, ISO 31000, COSO e ISO 19600, y también a normativas especializadas por país, incluyendo la Ley de Delitos Económicos en Chile. Eso significa que la misma plataforma que gestiona el SGSI exigido por la Ley 21.663 también soporta el modelo de prevención de delitos que exige la Ley 20.393. Ambas obligaciones, un solo sistema.

Para los equipos que ya trabajan con marcos como NIST o COBIT, Pirani también los soporta, lo que facilita la transición y evita duplicar esfuerzos entre distintos estándares de cumplimiento.

Automatización y reportes listos para auditoría

Con la automatización de procesos, Pirani permite reducir hasta un 60% la carga operativa, liberando recursos para que el equipo se enfoque en decisiones estratégicas. Los reportes se generan desde la plataforma con la información que ya está cargada en el sistema, sin necesidad de consolidar manualmente antes de cada auditoría o revisión.

Un dato que importa tanto como la tecnología: la plataforma logra hasta un 70% de adopción entre los usuarios de la organización. Ese número importa porque el cumplimiento de la Ley 21.663 no es responsabilidad de una sola persona. Requiere que múltiples áreas reporten, documenten y actúen. Una herramienta que la gente realmente usa es la diferencia entre un SGSI vivo y uno que existe solo en papel.

La implementación es rápida. La mayoría de los clientes reportan un retorno de inversión en promedio dentro de los primeros 9 meses. Y el punto de partida es accesible: Pirani ofrece una cuenta gratuita sin necesidad de tarjeta de crédito para que los equipos puedan explorar el módulo ISMS antes de tomar cualquier decisión.

El reloj ya está corriendo

La ANCI opera, el régimen sancionatorio está activo y el proceso de calificación de OIV avanza. Las organizaciones que esperan a que la fiscalización llegue para empezar a construir su SGSI van a enfrentar un problema difícil de resolver en poco tiempo, porque la ley no premia la buena intención: premia la evidencia.

Cumplir la Ley 21.663 no es un proyecto de tecnología. Es una decisión de gobernanza que empieza por tener los procesos, las personas y las herramientas correctas en su lugar. Pirani es esa herramienta.