Ciberseguridad   Seguridad de la Información    📅 15 de Enero 2026  |  ⏱️ 9 min de lectura

En 2024 se promulgó la Ley 21.663, conocida como la Ley Marco de Ciberseguridad, que establece nuevos estándares y obligaciones para instituciones públicas, servicios esenciales y operadores de importancia vital. Esta normativa marca un cambio profundo en cómo las organizaciones deben gestionar su seguridad y su capacidad de respuesta ante amenazas digitales.

📌 ¿Qué es la Ley 21.663?

La Ley Marco de Ciberseguridad establece un marco regulatorio nacional que busca fortalecer la resiliencia digital del país, proteger los servicios esenciales y coordinar la respuesta a incidentes.

🛡️

Resiliencia digital nacional

Fortalecer la capacidad del país de resistir, adaptarse y recuperarse ante incidentes de ciberseguridad.

🏗️

Protección de servicios esenciales

Asegurar la continuidad de los servicios que sustentan el funcionamiento social y económico del país.

🤝

Coordinación público-privada

Establecer mecanismos de colaboración entre el Estado y el sector privado frente a amenazas digitales.

ℹ️ Uno de sus pilares es la creación de la Agencia Nacional de Ciberseguridad (ANCI), encargada de elaborar estándares técnicos obligatorios, supervisar el cumplimiento, recibir reportes de incidentes y aplicar sanciones.

📌 ¿A quién afecta esta ley?

La Ley 21.663 aplica directamente a tres categorías de organizaciones, cuya definición oficial es establecida por la ANCI mediante reglamento.

🏥 1. Instituciones de Servicios Esenciales (ISE)

Organizaciones cuya interrupción podría afectar la vida, la salud, la seguridad o el bienestar de la población.

Ejemplos:

  • 📡Telecomunicaciones
  • 🏥Salud y servicios médicos
  • 💧Agua potable y saneamiento
  • 🚌Transporte público
  • 🏦Banca y servicios financieros
  • Energía eléctrica

⚙️ 2. Operadores de Importancia Vital (OIV)

Empresas o entidades que operan infraestructura crítica indispensable para el funcionamiento del país.

Ejemplos:

  • 🔌Redes eléctricas y subestaciones
  • 🏭Centrales de generación energética
  • ✈️Puertos y aeropuertos
  • 🏛️Infraestructura crítica del Estado
  • 🚇Redes de transporte masivo

🔗 3. Proveedores de ISE/OIV

Aunque no regulados directamente, deberán cumplir con las medidas de seguridad que les exijan sus clientes ISE u OIV.

  • ⚠️Sus actividades pueden afectar la continuidad del servicio esencial
  • ⚠️Miles de PYMEs deberán elevar sus estándares para mantener contratos regulados
⚠️ Si tu empresa es proveedor de una ISE u OIV, aunque no estés regulado directamente, deberás cumplir las medidas que estos te exijan contractualmente para seguir trabajando con ellos.

📋 Principales obligaciones de la Ley 21.663

La ley establece un conjunto de obligaciones concretas que ISE y OIV deberán implementar y demostrar ante la ANCI.

📊 1. Gestión de riesgos cibernéticos

Las organizaciones deberán implementar procesos formales para identificar, evaluar y mitigar riesgos digitales, incluyendo matrices de riesgo y planes de acción documentados.

📜 2. Políticas y procedimientos obligatorios

ISE y OIV deberán implementar políticas de seguridad, controles de acceso, gestión de incidentes y planes de continuidad operacional. Los requisitos exactos serán definidos por la ANCI mediante estándares técnicos.

📢 3. Reporte obligatorio de incidentes a la ANCI

Los incidentes de ciberseguridad deberán reportarse en los plazos establecidos por la autoridad. La ley fija categorías generales, pero los plazos específicos serán determinados por reglamento.

🔄 4. Planes de continuidad y recuperación de desastres

Las organizaciones deben demostrar que pueden mantener sus servicios aun bajo ataques, fallas o interrupciones graves, con pruebas documentadas de sus planes.

🔍 5. Auditorías, fiscalización y sanciones

La ANCI podrá solicitar evidencias, auditar el cumplimiento y aplicar multas que pueden llegar hasta las 20.000 UTM, o 40.000 UTM si se trata de un operador de importancia vital.

🚨 Las sanciones pueden alcanzar las 40.000 UTM para OIV. El incumplimiento no solo implica riesgo económico, sino también daño reputacional y responsabilidad legal directa.

🔗 ¿Qué implica esta ley para proveedores?

Aunque no son ISE ni OIV, los proveedores que trabajan con ellos deberán cumplir medidas mínimas exigidas contractualmente.

  • Designar un responsable de ciberseguridad interno o externo dentro de la organización.
  • Contar con inventario de activos tecnológicos actualizado y documentado.
  • Disponer de antivirus/EDR en todos los equipos utilizados en el servicio contratado.
  • Implementar MFA y políticas de contraseñas robustas en todos los accesos.
  • Mantener parches y actualizaciones al día en sistemas operativos y aplicaciones.
  • Contar con procedimiento de incidentes documentado y probado.
  • Registrar y reportar incidentes al cliente ISE u OIV en los plazos acordados.
  • Capacitación básica del personal en ciberseguridad y buenas prácticas digitales.
ℹ️ Estas exigencias responden al mandato de la ley que obliga a ISE/OIV a gestionar el riesgo derivado de terceros. Si tu empresa es proveedor y no cumple, puede perder contratos con organizaciones reguladas.

🤝 Cómo te ayuda CSITI a cumplir la Ley 21.663

En CSITI acompañamos a empresas de todos los tamaños —desde grandes organizaciones hasta proveedores pequeños— para cumplir con esta nueva normativa de forma práctica y eficiente.

  • Diagnóstico inicial del estado de seguridad con un informe claro de brechas y prioridades.
  • Implementación de políticas y controles obligatorios alineados con los estándares de la ANCI.
  • Instalación y administración de EDR/MFA en todos los equipos y accesos críticos.
  • Gestión de parches y monitoreo básico continuo de la infraestructura.
  • Preparación de documentación para auditorías y fiscalizaciones de la ANCI.
  • Apoyo ante incidentes y reportes a la autoridad en los plazos requeridos.
  • Operación como área TI + ciberseguridad externa para empresas que no cuentan con equipo interno.
💡

La Ley 21.663 no es solo un marco regulatorio: es una señal clara de que la ciberseguridad es un requisito esencial para operar en Chile. Prepararse no es una opción, es una necesidad para proteger la continuidad, reputación y sostenibilidad de cualquier negocio. En CSITI te ayudamos a alinearte con la ley de manera profesional, ágil y práctica.