La Ley Marco de Ciberseguridad en Chile (Ley 21.663) ya está en marcha y redefine los estándares de protección digital para las organizaciones que prestan servicios críticos. Su objetivo es elevar el nivel de seguridad y garantizar la continuidad de sectores esenciales como la electricidad, la banca, la salud, las telecomunicaciones y el transporte.
En pocas palabras, si tu empresa ofrece servicios esenciales, debe alinear su seguridad con los estándares definidos por la Agencia Nacional de Ciberseguridad (ANCI). De lo contrario, se expone a sanciones millonarias y a la pérdida de confianza de sus clientes, además de poner en riesgo la continuidad de su operación.
¿Qué es la Ley Marco de Ciberseguridad en Chile?
La Ley 21.663, conocida como Ley Marco de Ciberseguridad en Chile, establece un marco regulatorio para proteger la infraestructura crítica nacional frente a amenazas digitales. Busca fortalecer la resiliencia de los sistemas que sustentan la vida diaria del país y garantizar que las empresas cuenten con protocolos claros de prevención, detección y respuesta ante incidentes.
¿A quiénes aplica la Ley 21.663?
La Ley no es una normativa genérica: se aplica a organismos y empresas cuya interrupción afectaría directamente la seguridad, el orden o la economía nacional.
🔹 Prestadores de Servicios Esenciales (PSE)
Son entidades públicas o privadas que garantizan funciones críticas en sectores como energía, telecomunicaciones, transporte, finanzas, salud, farmacéutica, seguridad social y mensajería.
La ANCI puede ampliar esta lista si la interrupción de un servicio pone en riesgo la seguridad o el abastecimiento nacional.
🔹 Operadores de Importancia Vital (OIV)
Son un subgrupo dentro de los PSE, definidos por su dependencia tecnológica y el impacto que tendría su interrupción. Para ser OIV deben cumplir dos condiciones:
- Su operación depende de redes y sistemas informáticos.
- Una falla tendría consecuencias significativas para la seguridad o la economía nacional.
En este contexto, Real-Time ha sido reconocido como Operador de Importancia Vital (OIV), reforzando su rol estratégico en la seguridad y continuidad de servicios críticos en Chile.
La normativa impone requisitos concretos que ya están vigentes para los PSE y OIV:
- Sistema de Gestión de Seguridad de la Información (SGSI): obligatorio para todos los servicios esenciales.
- Planes de continuidad y ciberseguridad: deben ser certificados por un centro autorizado, revisados periódicamente y probados mediante simulacros.
- Delegado de ciberseguridad: cada organización debe designar un responsable formal ante la ANCI.
- Certificaciones externas: requeridas para demostrar cumplimiento, especialmente en los OIV.
El proceso de designación incluye seis etapas de consulta y finaliza con la lista oficial publicada entre el 30 de mayo y el 30 de octubre de 2025, revisada cada tres años.
Plazos críticos y protocolos de reporte
La Ley Marco de Ciberseguridad en Chile establece tiempos estrictos para responder a incidentes, lo que exige una capacidad de reacción inmediata y verificable:
- Alerta temprana (3 horas): notificación inicial de un incidente significativo al CSIRT Nacional.
- Informe preliminar (72 horas): entrega de un informe consolidado con el detalle del evento y medidas adoptadas.
- Informe final (15 días): presentación del informe de cierre con los resultados de la mitigación.
- Plan de acción (7 días): entrega de un plan detallado de remediación y prevención futura.
Estos plazos obligan a las empresas a contar con un sistema de gobernanza de ciberseguridad sólido, con monitoreo continuo, auditorías y simulacros periódicos, delegados responsables y capacitación constante del personal clave.
Multas y sanciones por incumplimiento
El incumplimiento de la Ley Marco de Ciberseguridad en Chile puede acarrear sanciones que van desde 5.000 hasta más de 40.000 UTM (miles de millones de pesos). Las multas dependen de la gravedad de la infracción y pueden duplicarse para los Operadores de Importancia Vital.
Además de las multas, existen riesgos paralelos como:
- Pérdida de contratos o licitaciones: las empresas sancionadas pueden ser excluidas de procesos públicos.
- Aumento de primas de ciberseguro: las aseguradoras ajustan tarifas según el historial de incidentes.
- Costos de recuperación: investigación forense, restauración de sistemas y compensaciones a usuarios.
- Daño reputacional: afecta la confianza del mercado y la relación con los clientes.
- Responsabilidad ejecutiva: la ANCI puede derivar antecedentes al Ministerio Público en caso de dolo o negligencia.
¿Cómo saber si tu organización está lista?
En Real-Time recomendamos evaluar cinco dimensiones críticas para cumplir con la Ley Marco de Ciberseguridad en Chile:
- Mapea tu exposición real: identifica los sistemas críticos y clasifícalos por impacto.
- Procesos y documentación: diseña o ajusta tu SGSI y prioriza brechas según riesgo y plazo legal.
- Detección y reporte automatizado: asegúrate de poder cumplir con el plazo de 3 horas para notificar incidentes.
- Prevención y respuesta: realiza simulacros y auditorías periódicas.
- Cultura y capacitación: designa al delegado de ciberseguridad y promueve una cultura de respuesta ágil y entrenada.
La visión de Real-Time: prevención y acción inteligente
La Ley Marco de Ciberseguridad en Chile no es opcional: marca el nuevo estándar para la protección de la infraestructura digital nacional. En Real-Time creemos que la mejor estrategia es la prevención inteligente y la acción temprana.
Una empresa preparada no solo cumple con la normativa: gana resiliencia, confianza de clientes y ventaja competitiva en un entorno digital cada vez más exigente.
Escríbenos a contacto@real-time.cl y demos juntos el siguiente paso hacia una ciberseguridad efectiva, sostenible y alineada con la nueva Ley chilena.
