Contactar a un experto

La Ley Marco de Ciberseguridad ya está vigente en Chile: lo que tu empresa debe saber para estar preparada

Chile da un paso decisivo hacia la protección del mundo digital con la promulgación de la Ley 21.663. En un contexto donde los ciberataques crecen en sofisticación y frecuencia, esta normativa busca sentar las bases de un marco de gobernanza, prevención y respuesta para el sector público y privado.

noviembre 26, 2025

Chile da un paso decisivo hacia la protección del mundo digital con la promulgación de la Ley 21.663. En un contexto donde los ciberataques crecen en sofisticación y frecuencia, esta normativa busca sentar las bases de un marco de gobernanza, prevención y respuesta para el sector público y privado. Esta normativa constituye el primer marco regulatorio integral en materia de ciberseguridad en el país. Parte importante de su articulado ya entró en vigencia durante 2025, y su implementación integral está en curso, con carácter obligatorio para un grupo específico de organizaciones denominadas “sujetos obligados”.

¿Qué es?

La Ley Marco de Ciberseguridad tiene como objetivo regular y coordinar las acciones de prevención, gestión, control y respuesta ante incidentes de ciberseguridad en Chile. Establece una institucionalidad centralizada, mecanismos de coordinación con entidades privadas y una serie de obligaciones de implementación, gestión de riesgos y reporte para organizaciones tanto públicas como privadas que formen parte de infraestructuras críticas o presten servicios considerados esenciales. La ley también crea:

● La Agencia Nacional de Ciberseguridad (ANCI): organismo técnico responsable de supervisar e implementar políticas nacionales de ciberseguridad.
● Reglamentos específicos para la categorización de organizaciones como Operadores de Importancia Vital (OIV).
● Obligaciones mínimas de seguridad para los sujetos obligados.
● Un régimen sancionatorio en caso de incumplimiento.

¿Cuándo entra en vigencia?

Si bien la ley fue publicada en abril de 2024, no todas sus disposiciones entraron en vigencia inmediatamente. El tránsito regulatorio fue definido de manera progresiva para permitir que los organismos públicos y privados cumplan con los estándares y requerimientos técnicos. Esta ya se encuentra plenamente vigente en sus exigencias para el segmento de organizaciones identificadas como críticas o esenciales para el funcionamiento del país. El proceso de fiscalización ya inició y se espera que se amplíe progresivamente a otros sectores privados que, según lo establecido en el artículo 4°, también estarán sujetos a regulaciones específicas según lo determine la autoridad.

¿Quiénes deben cumplir con la Ley 21.663?

La ley introduce una clasificación de los llamados “sujetos obligados”, que son las instituciones que deben implementar sistemas de gestión de ciberseguridad, notificar incidentes, someterse a auditorías y cumplir con los requerimientos que dicte la ANCI.
Se dividen en tres grupos:

● Organismos del Estado

Todas las instituciones que forman parte de la administración pública centralizada o descentralizada están obligadas a cumplir la ley. Esto incluye ministerios, municipios, servicios públicos, corporaciones dependientes y empresas estatales.

● Operadores de Importancia Vital (OIV)

Entidades públicas o privadas que prestan servicios esenciales para la población, cuya afectación puede poner en riesgo la seguridad, salud, economía o bienestar del país. La ley no entrega un listado cerrado, sino que define a los OIV de acuerdo a criterios específicos relacionados con su nivel de criticidad. Entre los sectores que pueden ser considerados OIV se incluyen:

  1. Energía
  2. Telecomunicaciones
  3. Transporte
  4. Salud
  5. Finanzas
  6. Abastecimiento de agua potable
  7. Infraestructura digital de gran escala
  8. Seguridad y defensa

    c) Organizaciones privadas bajo regulación específica
    Aplica a empresas privadas que prestan servicios que el Estado considere críticos para la continuidad de
    la infraestructura del país o para la protección de la población. Estas organizaciones serán designadas
    dentro de los reglamentos emitidos por la ANCI.
    Este tercer grupo se ampliará progresivamente con la publicación de otros reglamentos específicos por
    sector, en coordinación con los ministerios competentes.

¿Qué deben hacer las organizaciones obligadas?

Las entidades sujetas a la Ley 21.663 deben implementar una estructura de ciberseguridad basada en los siguientes pilares:

● Sistema de Gestión de Seguridad de la Información (SGSI)

Los sujetos obligados deben contar con un SGSI basado en estándares internacionales que contenga políticas, procesos y procedimientos para gestionar riesgos de ciberseguridad.

● Evaluación y mitigación de riesgos

Las organizaciones deben establecer un proceso continuo de identificación, evaluación y gestión de riesgos cibernéticos. Deberán demostrar técnicamente que han adoptado las medidas adecuadas para prevenir y mitigar amenazas.

● Plan de respuesta a incidentes

Deben establecer protocolos para detectar, responder y recuperarse de incidentes de ciberseguridad. Además, deben notificar puntualmente los incidentes mayores a la ANCI.

● Auditorías periódicas

Los OIV y otros sujetos obligados serán sometidos a auditorías externas de ciberseguridad, realizadas por proveedores acreditados por la ANCI. Los resultados serán revisados tanto por la agencia como por los organismos sectoriales correspondientes.


● Capacitación y gobernanza

Las organizaciones deben designar responsables o equipos de ciberseguridad y capacitar a su personal en procedimientos y políticas asociadas.

¿Qué implica el incumplimiento de la ley?

La Ley 21.663 establece un régimen sancionatorio graduado, que va desde amonestaciones por escrito hasta multas que pueden llegar a miles de UF, dependiendo del tipo de organización y gravedad de la infracción. Las sanciones pueden aumentar si se determina negligencia en la gestión de riesgos, fallas en los sistemas de reporte o reincidencia.
Además de las multas, el daño reputacional para las entidades sancionadas puede ser significativo, especialmente para aquellas que gestionan datos sensibles o infraestructuras críticas.

¿Cómo prepararse para cumplir con la Ley 21.663?

Dado que gran parte de la ley ya está en vigor y que el período de transición se acorta, las organizaciones que aún no han iniciado un diagnóstico de su situación de ciberseguridad están en una situación de riesgo regulatorio y operativo.

Cómo es el proceso de cumplimiento:

  1. Diagnóstico de brechas de ciberseguridad
    Evaluar la situación actual de la organización frente a los requisitos de la ley: infraestructura, sistemas, políticas, gobernanza, gestión del riesgo, registros de incidentes, entre otros.
  2. Identificación de obligaciones regulatorias específicas
    Verificar si la organización está clasificada como OIV, sujeto obligado o si su sector será regulado mediante decretos particulares.
  3. Diseño e implementación de un Sistema de Gestión de Seguridad de la Información (SGSI)
    Basado en estándares internacionales y adaptable a la realidad de la organización.
  4. Ejecución de controles y medidas técnicas
    Implementar soluciones tecnológicas y organizativas acordes a la mitigación de riesgos identificados durante el diagnóstico.
  5. Preparación de un plan de continuidad operacional
    Establecer protocolos de respuesta y recuperación en caso de incidentes de ciberseguridad.

¿Cómo podemos ayudarte?

Ofrecemos un servicio especializado de diagnóstico de ciberseguridad para la Ley 21.663, diseñado para entregar visibilidad clara y oportuna del estado de cumplimiento frente a las obligaciones legales actuales. Este diagnóstico incluye:

● Análisis del nivel de madurez en ciberseguridad.
● Identificación de brechas frente a los requisitos normativos.
● Priorización de acciones y tiempos de implementación.
● Soporte en el diseño del SGSI acorde a la ley.
● Acompañamiento en el proceso de auditoría externa.

Puedes acceder al servicio directamente a través de nuestra landing especializada:

https://nebulan.com/diagnostico-ciberseguridad-ley21663-anci/

Comparte este artículo en tus redes sociales

Más artículos

noviembre 26, 2025

Penas asociadas a no cumplir la Ley Marco de Ciberseguridad en Chile

La Ley N° 21.663 regula la protección de la infraestructura crítica de la información y la gestión de la ciberseguridad nacional, marca un paso decisivo hacia un entorno digital más seguro y responsable.
Leer más

octubre 23, 2025

Webinar: El futuro de la ciberseguridad, amenazas avanzadas y defensas con IA

El pasado 15 de octubre, Nebulan reunió a profesionales y líderes tecnológicos en un nuevo webinar dedicado a explorar cómo la inteligencia artificial está transformando la ciberseguridad moderna
Leer más

octubre 8, 2025

Impulsa tu productividad con Copilot y las últimas novedades de Copilot Chat y Copilot 365

Te contamos las últimas novedades de Copilot Chat y Copilot 365, casos de uso reales y cómo esta tecnología permite ahorrar tiempo, aumentar la eficiencia y potenciar la creatividad en distintos equipos de trabajo.
Leer más

Conecta con nuestros expertos

Completa tus datos y te contactaremos a la brevedad. En Nebulan impulsamos la transformación digital con soluciones en ciberseguridad, inteligencia artificial, infraestructura cloud, licenciamiento de software e innovación tecnológica.

Solicitar asesoría en Ciberseguridad

Completa tus datos y te contactaremos a la brevedad.

Contáctanos