La Ley 21.663 dejó de ser un proyecto y hoy se fiscaliza. Desde marzo de 2025 hay artículos vigentes, la Agencia Nacional de Ciberseguridad (ANCI) está calificando operadores y el régimen de multas está activo, con techos que llegan a 40.000 UTM. Si tu directorio te pidió un estado de cumplimiento, si legal te consultó si la empresa califica como Operador de Importancia Vital, o si lideras TI en un sector regulado, esta guía ordena qué exige la ley y qué tienes que tener funcionando para responder.

La Ley Marco de Ciberseguridad, o Ley 21.663, también aparece escrita como ley 21663 sin punto. Ambas grafías apuntan a la misma norma: la que estructura la ciberseguridad en Chile con rango de ley y no de recomendación técnica.

Qué es la Ley 21.663 y por qué cambia las reglas

La Ley 21.663 es la normativa chilena que establece obligaciones de gobernanza, gestión de riesgos y reporte de incidentes para los organismos del Estado y para los operadores privados de servicios esenciales. Se publicó en el Diario Oficial el 8 de abril de 2024. El DFL que fija su estructura orgánica se publicó el 24 de diciembre de 2024. Los artículos clave, junto con la puesta en marcha de la ANCI, entraron en vigor el 1 de marzo de 2025.

La diferencia con el escenario anterior es concreta. Antes, la ciberseguridad de una empresa se medía contra estándares voluntarios como ISO 27001 o los marcos del NIST. Adoptarlos era una decisión interna. La Ley 21.663 convierte parte de esa práctica en obligación legal, con una autoridad que fiscaliza y un régimen de sanciones que se aplica. No sustituye a ISO ni al NIST. Los usa como base y les añade fuerza jurídica.

La norma se organiza en cinco bloques: la institucionalidad de la ciberseguridad nacional, con la ANCI y el CSIRT Nacional como ejes; la calificación y las obligaciones de los Operadores de Importancia Vital; los deberes generales de los prestadores de servicios esenciales; el régimen de reporte de incidentes con efectos significativos; y el régimen sancionatorio.

Qué es la ANCI y qué puede hacer

La Agencia Nacional de Ciberseguridad es el organismo técnico que coordina, supervisa y fiscaliza el cumplimiento de la ley. No es un ente asesor. Tiene facultades para dictar normas técnicas obligatorias, calificar a las entidades como Operadores de Importancia Vital, recibir las notificaciones de incidentes, instruir investigaciones y aplicar multas.

La ANCI ya emitió sus primeras instrucciones. La Resolución N° 024/2025 inició el primer procedimiento de calificación de Operadores de Importancia Vital. La Resolución N° 7/2025 fijó la taxonomía oficial de incidentes. Las Instrucciones Generales N° 2, 3 y 4 detallan la inscripción del encargado de ciberseguridad, la designación del delegado en los operadores críticos y las medidas técnicas mínimas de respuesta a incidentes. Esto importa porque marca el paso de la teoría a la exigencia: hay procedimientos abiertos y plazos corriendo.

El CSIRT Nacional es el equipo que recibe los reportes de incidentes. Cuando una empresa obligada sufre un ataque con efectos significativos, es a este equipo al que debe notificar, a través de la plataforma de la ANCI.

Quién debe cumplir: servicios esenciales y Operadores de Importancia Vital

La ley alcanza a tres grupos. Primero, los órganos de la Administración del Estado. Segundo, los prestadores de servicios esenciales, sean públicos o privados. Tercero, los Operadores de Importancia Vital, que son un subconjunto con obligaciones reforzadas.

Los prestadores de servicios esenciales operan en sectores como energía, agua potable, telecomunicaciones, transporte, banca y servicios financieros, salud, y ciertos servicios digitales. Si tu empresa presta un servicio en alguno de estos rubros, parte de la base de que la ley te alcanza.

Un Operador de Importancia Vital es una entidad, pública o privada, que la ANCI califica porque la interrupción de sus sistemas tendría un efecto significativo en la seguridad nacional, el orden público, la salud de la población o la economía. La designación no depende solo del sector. La ANCI puede calificar como OIV a una empresa privada que administre infraestructura digital estratégica o grandes volúmenes de datos críticos, aunque no pertenezca a un rubro tradicionalmente regulado. Por eso el perímetro real es más amplio que la lista de sectores.

La distinción entre ambos niveles define el esfuerzo de cumplimiento. Un servicio esencial cumple los deberes generales. Un OIV cumple esos deberes más un conjunto reforzado: sistema de gestión de seguridad de la información formal, planes de continuidad operacional certificados, designación de un delegado de ciberseguridad y auditorías periódicas.

Cómo saber si tu empresa califica como OIV

El proceso de calificación lo conduce la ANCI mediante resolución. Publica una nómina, abre etapas de consulta y define el listado. La lista se revisa cada tres años. El punto práctico: si operas en un sector crítico, la pregunta no es si te van a mirar, es si ya estás preparado para cuando llegue la notificación formal. Un primer indicio concreto es revisar si tu organización recibió alguna comunicación de la ANCI sobre calificación en los últimos doce meses.

Las obligaciones concretas de la ley

La ley fija deberes permanentes que constituyen la base del cumplimiento, y los intensifica para los OIV.

Gestión continua de riesgos. Implementar y mantener medidas técnicas y organizativas para gestionar los riesgos que afecten la seguridad de las redes y los sistemas. No es un informe único, es un proceso vivo.

Capacidad de respuesta a incidentes. Desarrollar las capacidades para prevenir, detectar, contener y responder a incidentes de ciberseguridad.

Reporte obligatorio de incidentes. Notificar al CSIRT Nacional los incidentes con efectos significativos dentro de plazos estrictos. Esta es la obligación más exigente en términos operativos y merece su propia sección.

Designar un encargado o delegado de ciberseguridad. La ley obliga a nombrar a un responsable del programa de seguridad, que actúa como punto de contacto con la ANCI. En los OIV, esta figura es un delegado con criterios de independencia y reporte directo a la dirección.

Los Operadores de Importancia Vital suman, además, la obligación de operar un Sistema de Gestión de la Seguridad de la Información y de mantener planes de continuidad operacional y de ciberseguridad certificados, sujetos a auditoría.

Los plazos de reporte de incidentes: 3 horas, 72 horas y reporte final

El Artículo 9 fija tiempos de reacción que cambian la operación de seguridad de cualquier empresa obligada. Ante un incidente con efectos significativos, la secuencia es:

  • Alerta temprana: dentro de las 3 horas siguientes a que se tiene conocimiento del incidente.
  • Reporte de actualización: dentro de las 72 horas, con la información disponible sobre el alcance y las medidas adoptadas.
  • Reporte final: una vez contenido el incidente, con el análisis de causa y las acciones correctivas.

Cumplir con la ventana de 3 horas no se improvisa el día del ataque. Requiere tener antes procedimientos de clasificación de incidentes, responsables identificados, plantillas de reporte listas y acceso configurado a la plataforma de la ANCI. Una organización que detecta un incidente y recién ahí empieza a averiguar a quién avisar y cómo, no llega. La preparación previa es lo que separa el cumplimiento del incumplimiento.

El régimen de sanciones

El Título VII está vigente y clasifica las infracciones en tres niveles, con multas expresadas en UTM:

  • Leves: hasta 5.000 UTM.
  • Graves: hasta 10.000 UTM.
  • Gravísimas: hasta 20.000 UTM en el régimen general, y hasta 40.000 UTM para los Operadores de Importancia Vital.

Entre las infracciones gravísimas están no reportar deliberadamente un incidente, entregar información falsa a la ANCI o incumplir una instrucción técnica obligatoria durante un incidente activo. La reincidencia agrava la sanción. El régimen es complementario, no sustituye a las sanciones sectoriales que ya aplican la CMF en banca o la SEC en energía, ni a la responsabilidad penal de la Ley 21.459 sobre delitos informáticos.

Una multa de 40.000 UTM supera los 3.000 millones de pesos al valor actual de la unidad. Es una cifra que traslada la ciberseguridad desde el área técnica a la mesa del directorio.

Cómo se cumple con el ecosistema Microsoft que ya tienes

La mayoría de las obligaciones de la Ley 21.663 no exige comprar una plataforma nueva. Exige configurar y operar capacidades que las empresas con Microsoft 365 y Azure en muchos casos ya tienen licenciadas y sin activar. La correspondencia entre lo que pide la ley y lo que entrega el stack Microsoft es directa:

  • Gestión de riesgos y postura de seguridad. Un diagnóstico de brechas contra el modelo Zero Trust ordena la superficie de ataque y produce el registro de riesgos que la ley exige documentar.
  • Reporte de incidentes en plazo. Microsoft Sentinel centraliza los logs con sello de tiempo auditable y Microsoft Defender XDR detecta y correlaciona incidentes. Un SOC que opere ambos permite cumplir la ventana de 3 horas con evidencia, no con improvisación.
  • Control de identidades y accesos. Microsoft Entra ID gestiona identidades, MFA y acceso condicional, la base de cualquier defensa moderna.
  • Gestión de dispositivos. Microsoft Intune asegura el cumplimiento de los equipos que acceden a los sistemas críticos.
  • Protección y gobierno del dato. Microsoft Purview clasifica la información sensible y aplica políticas de retención y prevención de pérdida de datos.

El punto de partida más barato para saber dónde está tu organización frente a la ley es un diagnóstico de brechas. Mide qué controles ya tienes, cuáles están licenciados pero apagados y qué falta para responder una fiscalización.

La convergencia con la Ley 21.719 de protección de datos

La Ley 21.663 no opera sola. La Ley 21.719 de protección de datos personales entra en vigencia plena el 1 de diciembre de 2026 y crea su propia autoridad fiscalizadora. El punto donde ambas leyes se cruzan es el incidente: una misma brecha que afecte datos personales puede activar en paralelo la obligación de notificar a la ANCI, por la Ley 21.663, y a la Agencia de Protección de Datos, por la Ley 21.719, con plazos y formatos distintos.

Las empresas en banca, salud, energía o telecomunicaciones necesitan un procedimiento de respuesta a incidentes que gestione ambas notificaciones a la vez. Tratar cada ley por separado, con equipos y herramientas distintas, es lo que produce los errores de plazo que la fiscalización castiga. El compliance de ciberseguridad y de protección de datos  conviene diseñarlo como un solo programa.

Siguiente paso

Si operas en un sector regulado y todavía no tienes claridad sobre tu exposición frente a la Ley 21.663, el paso concreto es medir la brecha entre lo que la ley exige y lo que tu entorno hoy hace. XMS realiza ese diagnóstico con el equipo especializado en el ecosistema Microsoft y con las especializaciones avanzadas auditadas en seguridad. Conversemos en una reunión de 30 minutos.

Nota de Daniela Lalanne (Directora de Marketing XMS)

Da el siguiente paso con XMS

¿Quieres un diagnóstico de cumplimiento para tu empresa?

En XMS hacemos una sesión inicial sin costo: revisamos tu entorno Microsoft, identificamos las brechas frente a la Ley 21.663 y te entregamos una hoja de ruta priorizada.

Preguntas frecuentes

Es la Ley Marco de Ciberseguridad de Chile, publicada el 8 de abril de 2024. Establece obligaciones de gobernanza, gestión de riesgos y reporte de incidentes para el Estado y para los operadores de servicios esenciales, crea la Agencia Nacional de Ciberseguridad (ANCI) y define un régimen de sanciones.

Sus artículos clave y la puesta en marcha de la ANCI entraron en vigor el 1 de marzo de 2025. Desde esa fecha rige la obligación de reportar incidentes, el proceso de calificación de OIV y el régimen sancionatorio.

Es una entidad pública o privada que la ANCI califica porque la interrupción de sus servicios tendría un efecto significativo en la seguridad, el orden público, la salud o la economía del país. Los OIV tienen obligaciones reforzadas respecto de los demás prestadores de servicios esenciales.

Los órganos del Estado, los prestadores de servicios esenciales (energía, agua, telecomunicaciones, transporte, banca, salud, entre otros) y los Operadores de Importancia Vital que la ANCI califique. La ANCI puede designar como OIV a empresas privadas que administren infraestructura digital estratégica aunque no pertenezcan a un sector regulado tradicional.

La ley exige una alerta temprana dentro de las 3 horas de conocido el incidente, un reporte de actualización a las 72 horas y un reporte final una vez contenido. La notificación se hace al CSIRT Nacional a través de la plataforma de la ANCI.

Las infracciones se clasifican en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM en el régimen general y hasta 40.000 UTM para los OIV). La reincidencia agrava la sanción.

No. ISO 27001 es un estándar voluntario de gestión de seguridad de la información. La Ley 21.663 es una obligación legal con fiscalización y multas. Un sistema basado en ISO 27001 ayuda a cumplir la ley, pero no la reemplaza.

La Ley 21.663 regula la ciberseguridad: protección de sistemas, gestión de riesgos y reporte de incidentes. La Ley 21.719 regula la protección de datos personales: derechos de los titulares y gobernanza del tratamiento. Se cruzan cuando una brecha afecta datos personales y activa obligaciones de notificación bajo ambas normas.

El primer paso es determinar si es un prestador de servicios esenciales o un potencial OIV. Luego, un diagnóstico de brechas compara los controles actuales contra las obligaciones de la ley e identifica qué falta. Buena parte de esos controles se resuelve configurando capacidades del ecosistema Microsoft que la empresa ya licencia.

Noticia anterior
Datos sensibles y biométricos bajo la Ley 21.719: qué categorías tienen régimen especial y qué controles exige la ley
Noticia siguiente
ANCI y CSIRT Nacional: quién fiscaliza la ciberseguridad en Chile y cómo reportar un incidente

También te puede interesar