Hay un punto del que casi nadie habla cuando menciona la Ley Marco de Ciberseguridad en Chile: no cambia solo las obligaciones técnicas, cambia la forma en que la alta dirección debe pensar el riesgo digital. Quien siga leyendo este artículo va a entender por qué esta ley mueve la conversación desde TI hacia la mesa directiva, y qué decisiones estratégicas ya no se pueden postergar.
La Ley Marco de Ciberseguridad en Chile, identificada como Ley 21.663, entra en vigencia con disposiciones clave a partir del 1 de marzo de 2025. Su objetivo es claro: proteger la infraestructura crítica de la información del país y asegurar la continuidad de servicios esenciales frente a amenazas digitales cada vez más frecuentes y sofisticadas.
Este marco legal transforma la ciberseguridad en una obligación regulatoria, con responsabilidades definidas, supervisión estatal y un régimen sancionatorio concreto. A partir de esta ley, las organizaciones críticas pasan a ser responsables no solo de prevenir incidentes, sino de demostrar una gestión activa y trazable del riesgo cibernético.
Uno de los cambios más relevantes que introduce la Ley Marco de Ciberseguridad en Chile es la creación de una institucionalidad especializada, con roles y facultades claras.
La ANCI se establece como la autoridad rectora en materia de ciberseguridad. Tiene atribuciones para fiscalizar, dictar normas técnicas obligatorias, calificar a las organizaciones sujetas a mayores exigencias y aplicar sanciones. Esto posiciona a Chile como uno de los primeros países de la región con una agencia dedicada exclusivamente a la ciberseguridad.
El CSIRT Nacional opera como el equipo central de respuesta ante incidentes de seguridad informática. Su función es coordinar la gestión de incidentes relevantes, recibir notificaciones obligatorias y articular la respuesta técnica cuando los eventos tienen impacto significativo.
Este esquema institucional reduce la improvisación y establece un canal formal entre las organizaciones y el Estado para la gestión de crisis cibernéticas.
La ley no aplica de forma uniforme a todas las organizaciones. Introduce una clasificación basada en el impacto que tendría una interrupción de sus sistemas sobre el país.
Son entidades cuya operación resulta crítica para la población o el funcionamiento del Estado. Incluyen sectores como energía, agua, salud, transporte, telecomunicaciones, banca y servicios financieros. La interrupción de sus servicios afecta directamente la continuidad del país.
Los OIV representan el nivel más alto de exigencia dentro de la Ley Marco de Ciberseguridad en Chile. Son organizaciones con alta dependencia de sistemas informáticos cuya indisponibilidad podría generar un impacto sistémico grave, incluso en la seguridad nacional o el orden público.
La calificación como OIV es realizada por la ANCI mediante un proceso formal, que considera factores como tamaño, nivel de digitalización y exposición al riesgo. Esta calificación implica obligaciones reforzadas y un régimen sancionatorio más severo.
Uno de los efectos menos visibles, pero más profundos de la Ley Marco de Ciberseguridad en Chile, es el traslado del riesgo cibernético al nivel de gobernanza. Ya no se trata de controles técnicos aislados, sino de un riesgo estratégico que debe ser identificado, evaluado y gestionado de forma continua.
La ley exige que las organizaciones críticas integren la ciberseguridad dentro de sus sistemas de gestión, con liderazgo explícito de la alta dirección, asignación de responsabilidades y toma de decisiones basada en riesgo.
Uno de los pilares más exigentes de la Ley Marco de Ciberseguridad en Chile es la obligación de gestionar la seguridad de la información de forma sistemática. Para los Operadores de Importancia Vital, la ley exige implementar un Sistema de Gestión de Seguridad de la Información, conocido como SGSI, alineado con estándares internacionales.
Este requisito cambia la lógica tradicional de la ciberseguridad. Ya no basta con controles técnicos aislados o respuestas reactivas ante incidentes. El foco está en gestionar riesgos de manera continua, documentada y verificable.
La norma ISO 27001 se convierte en el marco de referencia central para cumplir con las exigencias del SGSI. La ley la adopta como estándar técnico porque ofrece una estructura clara para identificar, evaluar y tratar los riesgos asociados a la información.
ISO 27001 se basa en un ciclo de mejora continua que permite a las organizaciones adaptarse a un entorno de amenazas dinámico. Este enfoque es clave para el cumplimiento regulatorio, ya que demuestra que la seguridad no es un proyecto puntual, sino un proceso permanente.
El SGSI funciona bajo un modelo que organiza la gestión en etapas claras:
Este enfoque permite demostrar diligencia ante una fiscalización y sostener el cumplimiento en el tiempo.
La Ley Marco de Ciberseguridad en Chile establece niveles de exigencia distintos según la clasificación de la entidad.
Para los Prestadores de Servicios Esenciales, la ley impone deberes de reporte, cooperación con la autoridad y adopción de medidas de seguridad proporcionales al riesgo. En cambio, para los Operadores de Importancia Vital, el cumplimiento es más estricto.
Un OIV debe:
Esta diferencia refleja el impacto que tendría una interrupción en este tipo de organizaciones y explica por qué la gestión del riesgo digital pasa a ser una responsabilidad estratégica.
La ley exige que los OIV designen un delegado de ciberseguridad. Esta figura actúa como punto de contacto con la Agencia Nacional de Ciberseguridad y coordina internamente la gestión del riesgo cibernético.
El delegado no es solo un rol técnico. Debe tener visibilidad sobre procesos, riesgos y decisiones críticas. Su función conecta la operación diaria con la gobernanza y el cumplimiento regulatorio.
En la práctica, esta exigencia obliga a las organizaciones a definir responsabilidades claras y evitar la dispersión en la toma de decisiones frente a incidentes.
Uno de los cambios más operativos que introduce la Ley Marco de Ciberseguridad en Chile es el deber de reportar incidentes con efectos significativos en un plazo máximo de tres horas desde su detección.
Este requerimiento aplica tanto a PSE como a OIV y se canaliza a través del CSIRT Nacional. Para cumplirlo, las organizaciones deben contar con procesos de detección temprana, clasificación de incidentes y escalamiento interno.
El reporte oportuno deja de ser una decisión reputacional y se transforma en una obligación de gestión de riesgos. La ley privilegia la coordinación y la resiliencia del ecosistema digital por sobre el silencio organizacional.
La Ley Marco de Ciberseguridad en Chile incorpora un régimen sancionatorio diseñado para asegurar que las obligaciones se cumplan de forma efectiva. Las sanciones se miden en Unidades Tributarias Mensuales y su monto depende tanto de la gravedad de la infracción como de la clasificación de la organización.
Las infracciones se dividen en tres niveles:
Más allá del monto económico, estas sanciones reflejan un cambio en el estándar de responsabilidad. La ciberseguridad pasa a evaluarse como parte del deber de diligencia de la organización.
La Agencia Nacional de Ciberseguridad no evalúa solo la existencia de controles técnicos. Su foco está en la capacidad de la organización para demostrar gestión del riesgo.
En una fiscalización, la ANCI revisa principalmente:
La trazabilidad se vuelve un activo clave. Tener evidencia clara y ordenada permite demostrar que la organización actuó con responsabilidad, incluso frente a incidentes inevitables.
El impacto de la Ley Marco de Ciberseguridad en Chile no se limita a las sanciones económicas. Un incumplimiento puede afectar la continuidad operativa, la confianza de clientes, la relación con reguladores y la posición competitiva en el mercado.
En sectores regulados, un incidente mal gestionado puede derivar en auditorías adicionales, exigencias reforzadas y pérdida de credibilidad frente a terceros. Por eso, la gestión del riesgo cibernético debe entenderse como una inversión en estabilidad y confianza.
Las organizaciones que abordan la Ley Marco de Ciberseguridad en Chile desde una lógica estratégica obtienen beneficios más allá del cumplimiento. Un SGSI bien implementado mejora la visibilidad del riesgo, ordena procesos y fortalece la toma de decisiones.
Cuando la gestión del riesgo digital está integrada al modelo de gobierno, la organización responde mejor ante incidentes, reduce la improvisación y gana confianza frente a clientes, socios y autoridades.
Cumplir con la Ley Marco de Ciberseguridad en Chile exige coordinación, documentación y seguimiento permanente. Aquí es donde un software de gestión de riesgos se vuelve un habilitador clave.
Una plataforma especializada permite:
Este enfoque reduce la carga operativa y mejora la capacidad de respuesta ante exigencias regulatorias.
La Ley Marco de Ciberseguridad en Chile redefine el estándar de gestión del riesgo digital. Exige pasar de acciones aisladas a sistemas formales, con liderazgo, evidencia y mejora continua.
Para las organizaciones críticas, el desafío ya no es entender la ley, sino decidir cómo gestionarla. Aquellas que integren la ciberseguridad dentro de su sistema de gestión de riesgos estarán mejor preparadas para cumplir, responder y competir en un entorno cada vez más regulado.
Artículos relacionados
¡Déjanos saber en los comentarios qué te pareció el artículo!