La Ley Marco de Ciberseguridad (Ley 21.663) es la normativa más importante que Chile ha implementado en materia de seguridad digital, resiliencia operacional y protección de infraestructura crítica. Publicada en 2024, esta ley transforma la forma en que las organizaciones deben prevenir, detectar, responder y reportar incidentes cibernéticos, estableciendo estándares obligatorios para sectores públicos y privados.
Su objetivo es claro: proteger a Chile frente al creciente aumento de ciberataques, fortalecer la infraestructura crítica del país y garantizar la continuidad operativa de los servicios esenciales.
La Ley Marco creó además a la Agencia Nacional de Ciberseguridad (ANCI), organismo autónomo encargado de supervisar, fiscalizar y sancionar.
¿Por qué se creó la Ley Marco de Ciberseguridad?
Chile experimenta un aumento sostenido de:
- Ciberataques a empresas estratégicas
- Incidentes en municipalidades y entidades públicas
- Ransomware en salud, logística, educación y retail
- Vulneraciones en servicios esenciales
- Amenazas a infraestructura crítica
Además, el país requiere una estructura similar al GDPR + ENISA europeo para:
- Coordinar respuesta nacional
- Estandarizar controles
- Reducir impacto económico
- Proteger a ciudadanos y empresas
- Alinear a Chile con marcos internacionales (NIST, ISO 27001, CIS Controls)
¿Qué regula la Ley Marco de Ciberseguridad?
La ley establece obligaciones claras en materia de:
✔ Gobernanza de ciberseguridad
✔ Reporte obligatorio de incidentes
✔ Continuidad operativa
✔ Gestión de riesgos
✔ Requerimientos técnicos mínimos
✔ Supervisión por parte de la ANCI
✔ Clasificación de sectores regulados
✔ Sanciones por incumplimiento
Aplica tanto a instituciones públicas como privadas.
Sectores regulados por la Ley Marco
La norma clasifica a las organizaciones en:
Prestadores de Servicios Esenciales (PSE)
Ejemplos:
- Telecomunicaciones
- Salud
- Banca y servicios financieros
- Energía
- Agua potable
- Transporte
- Servicios logísticos
- Infraestructura digital y cloud
Operadores de Importancia Vital (OIV)
Organizaciones cuya interrupción puede afectar gravemente:
- Seguridad nacional
- Orden público
- Vida de las personas
- Economía del país
Organismos públicos y autónomos
Ministerios, municipios, empresas públicas, universidades estatales.
Obligaciones principales de la Ley Marco
A partir de 2024–2026, las organizaciones reguladas deben implementar:
Modelo de gestión de riesgos cibernéticos
Alineado a estándares como:
- NIST CSF
- ISO/IEC 27001
- CIS Controls
- ANCI – Requisitos mínimos
Reporte obligatorio de incidentes
A la ANCI y al CSIRT Nacional según severidad y plazos definidos.
Delegado de Ciberseguridad
Responsable de coordinar cumplimiento, gobernanza y respuesta a incidentes.
Continuidad Operativa (BCP + DRP)
Planes actualizados, probados y documentados.
Medidas técnicas mínimas
Incluyen:
- MFA obligatoria
- Seguridad Endpoint (EDR/XDR)
- Control de accesos
- Monitoreo continuo
- Gestión de vulnerabilidades
- Hardening
- Protección de redes y sistemas
- Telemetría y trazabilidad
Auditorías y fiscalización
Revisión de cumplimiento por parte de la ANCI.
Capacitación obligatoria
A toda la organización.
Sanciones por incumplimiento
Dependiendo del impacto y gravedad:
- Multas económicas
- Suspensión de operaciones de sistemas críticos
- Medidas correctivas obligatorias
- Responsabilidad administrativa
- Publicación en registros oficiales
- Requerimientos adicionales impuestos por la ANCI
¿Qué está exigiendo hoy la ANCI?
La Agencia ya exige a empresas reguladas:
- Inventario de activos
- Matriz de riesgos
- Políticas de ciberseguridad
- Registro de incidentes
- Protección de Endpoint
- Seguridad perimetral
- Gestión de identidades y accesos (IAM / MFA)
- Plan de continuidad
- Respuesta a incidentes
- Capacitación continua
Las organizaciones que no cumplan quedarán expuestas a sanciones y a pérdidas operacionales.