La ciberseguridad en Chile ha dejado de ser un tema de “buenas prácticas” para convertirse en un imperativo legal ineludible. Con la promulgación de la Ley 21.663, el panorama regulatorio del país ha sufrido un cambio estructural que redefine cómo las organizaciones protegen sus activos digitales. Si bien la normativa se encuentra en su fase de implementación inicial, la vigencia desde enero de 2025 marca el inicio de una era de cumplimiento estricto. Como profesionales del sector, entender no solo los textos legales, sino su impacto operativo en el día a día, es la diferencia entre una multa administrativa y la continuidad del negocio.
Esta guía técnica está diseñada para CISOs, gerentes de cumplimiento y líderes de TI que buscan traducir la complejidad de la Ley 21.663 en un plan de acción ejecutable. A lo largo de este documento, desglosaremos desde la creación de la Agencia Nacional de Ciberseguridad (ANCI) hasta los requisitos específicos para los Operadores de Importancia Vital (OIV). Analizaremos cómo la adopción de estándares como la ISO 27001 se alinea con estas nuevas exigencias y exploraremos estrategias concretas para cumplir con los plazos de reporte de incidentes y la designación de oficiales de seguridad obligatorios.
El objetivo es claro: transformar la incertidumbre regulatoria en una ventaja competitiva. A continuación, presentamos un análisis exhaustivo para prepararse para el 2026.
Fundamentos de la Ley 21.663 y el Rol de la ANCI
La Ley Marco sobre Ciberseguridad e Infraestructura Crítica de Chile es el instrumento jurídico que centraliza y homogeneiza la protección del entorno digital nacional. Su propósito fundamental es garantizar la resiliencia de los servicios esenciales que la sociedad chilena depende, desde la banca y la energía hasta las comunicaciones y el transporte.
Un pilar central de esta normativa es la creación de la Agencia Nacional de Ciberseguridad (ANCI). Entender el rol de este ente regulador es crucial para el cumplimiento. La ANCI no solo supervisa, sino que establece los lineamientos técnicos y normativos que las organizaciones deben seguir. Esto implica que el cumplimiento de la Ley 21.663 no es negociable; la supervisión de la ANCI será continua y, en caso de detectar vulnerabilidades críticas o fallos en el reporte de incidentes, las sanciones serán ejecutivas.
Es importante destacar que la ley no busca sustituir las certificaciones voluntarias, sino establecer un piso mínimo obligatorio. Por ello, la norma referencia explícitamente el marco de gestión de seguridad de la información basado en la ISO 27001 como una baseline o línea base aceptable. Sin embargo, la norma legal impone requisitos adicionales que van más allá del estándar internacional, enfocándose en la infraestructura crítica y la capacidad de respuesta ante ataques.
¿A quién afecta realmente esta regulación?
La Ley 21.663 no se aplica universalmente a cualquier empresa que tenga un correo electrónico. Su alcance es estratégico y se centra en las entidades que poseen infraestructura crítica. Aquí es donde entra en juego el concepto de Operadores de Importancia Vital (OIV).
Un OIV es cualquier persona natural o jurídica que realice servicios o actividades cuya interrupción afectaría gravemente el funcionamiento de la sociedad chilena. Para determinar si una organización entra en este ámbito, se deben analizar factores como:
- Impacto en la continuidad del servicio: ¿La interrupción paraliza el servicio al público?
- Dependencia de infraestructura crítica: Uso de redes de energía, agua, telecomunicaciones o sistemas financieros.
- Dimensiones del negocio: Tamaño de la organización y volumen de datos procesados.
El sector público está sujeto a estas normativas desde su entrada en vigor, mientras que el sector privado debe evaluar su exposición. Si una empresa de retail o servicios financieros depende de proveedores críticos para su operación, la cadena de suministro también entra en el escrutinio regulatorio.
Un ejemplo práctico: Una empresa de servicios financieros que gestiona cuentas de millones de usuarios debe considerarse OIV si depende de un proveedor de nube que, a su vez, está sujeto a la ley. El cumplimiento no es solo responsabilidad de la entidad final, sino de toda la cadena de valor digital.
Obligaciones operativas y requisitos clave
Para estar en condiciones de cumplir con la Ley 21.663 en el 2026, las organizaciones deben internalizar cuatro pilares operativos que la norma exige:
El Oficial de Ciberseguridad obligatorio
Esta es quizás la novedad más disruptiva para las estructuras organizacionales tradicionales. La ley exige la designación de un Oficial de Ciberseguridad certificado. Este rol no puede ser ad-honorem; requiere conocimientos específicos, responsabilidad directa ante la ANCI y disponibilidad para operar las 24 horas.
El Oficial debe tener la autoridad suficiente para tomar decisiones, incluso aquellas que impliquen el bloqueo de sistemas para prevenir un ataque. Su función va más allá de la gestión técnica; es el puente entre el equipo de TI, la alta dirección y el regulador. En el contexto de la Ley 21.663, este
Simplifica tu camino al cumplimiento
GRC360 te ayuda a gestionar ISO 27001, Ley 21.663, ISO 42001 y más desde una sola plataforma. Regístrate gratis y genera tu primer dashboard de cumplimiento en minutos.