Ley 21.663: Ley Marco de Ciberseguridad en Chile. Obligaciones, Plazos y Multas.

La nueva Ley 21.663 ya está vigente y el reloj no se detiene. El último informe de ManpowerGroup (empresa de atracción y gestión del talento tecnológico), mostró que más de la mitad de los directorios en Chile desconoce sus exigencias. Esa brecha se vuelve crítica cuando las multas pueden superar los 40.000 UTM y el plazo para reportar incidentes parte en apenas 3 horas.

En pocas palabras: si tu empresa presta servicios esenciales - electricidad, banca, salud, telecomunicaciones, transporte, por nombrar algunos - debes alinear tu seguridad con los estándares que dicta la Agencia Nacional de Ciberseguridad (ANCI). De lo contrario, no solo arriesgas sanciones; también pones en juego la continuidad operativa y la reputación que cuesta años construir.

Este artículo resume lo indispensable: qué es la ley, a quién afecta, cuándo aplica, qué exige y qué ocurre si no cumples. Al final encontrarás un plan de primeros pasos para que tu organización avance sin fricciones en este nuevo escenario regulatorio.

¿Qué es la Ley 21.663 y por qué cambia las reglas de la ciberseguridad en Chile?

La Ley 21.663, promulgada el 8 de abril de 2024 y conocida como Ley Marco de Ciberseguridad, es la primera norma chilena que convierte las buenas prácticas de seguridad digital en una obligación legal transversal. Su objetivo es claro: establecer la institucionalidad, los principios y las normas mínimas que permitan prevenir, contener y responder de forma coordinada a incidentes que afecten al Estado y a los privados alcanzados por la norma.

Hasta ahora, la mayoría de las organizaciones chilenas operaba con estándares voluntarios (ISO 27001, NIST, etc.) y reportaba incidentes a discreción. La ley rompe ese paradigma en tres frentes:

1. Gobernanza centralizada

Crea la Agencia Nacional de Ciberseguridad (ANCI), entidad técnica y descentralizada con poder para dictar estándares, coordinar a los CSIRT sectoriales y fiscalizar el cumplimiento en todo el país. El marco deja de ser “sugerido” y pasa a ser fiscalizado con potestad sancionatoria.

2. Cobertura sectorial ampliada

Toda organización que preste Servicios Esenciales, electricidad, combustibles, agua potable, telecomunicaciones, transporte, finanzas, salud, logística y ciertos entes públicos, queda bajo la lupa. Además, la ANCI puede designar como Operador de Importancia Vital (OIV) a cualquier empresa cuya interrupción tenga impacto significativo en la sociedad o la economía. Así, el perímetro regulatorio se extiende mucho más allá del sector público.

3. Plazos y obligaciones concretas

La norma fija tiempos de reacción inéditos: alerta temprana en 3 horas, informe inicial en 72 horas y reporte final en 15 días tras el incidente; los OIV deben, además, operar un SGSI certificado y realizar pruebas de continuidad periódicas. El incumplimiento puede costar hasta 40.000 UTM, cifra suficiente para llamar la atención de cualquier directorio.

En síntesis, la Ley 21.663 traslada la ciberseguridad desde la sala de servidores al nivel estratégico de la empresa. No basta con firewalls y backups; el foco ahora está en la resiliencia, la trazabilidad y la rendición de cuentas frente a la ANCI. Para muchas compañías, será la diferencia entre seguir operando sin sobresaltos o afrontar multas millonarias y un golpe reputacional difícil de revertir.

¿A quiénes aplica? Servicios Esenciales y Operadores de Importancia Vital (OIV)

La Ley 21.663 no es una normativa genérica: apunta a los organismos y empresas cuya interrupción impactaría la vida diaria del país. Diferencia dos grandes grupos:

1. Prestadores de Servicios Esenciales (PSE): Son entidades públicas o privadas que suministran funciones críticas. La ley los enumera, y permite ampliarlos, de la siguiente manera:
   
   • Sector público: Ministerios, gobiernos regionales, municipios, FF.AA. y empresas estatales con participación ≥ 50 %
   • Energía y servicios básicos: Generación - transmisión eléctrica,  combustibles, agua y saneamiento.
   • Infraestructura digital y telecomunicaciones: Telcos, data centers, servicios TI gestionados por terceros
   • Transporte y logística: Terrestre, aéreo, ferroviario, marítimo y sus infraestructuras.
   • Finanzas: Banca, servicios financieros y medios de pago.
   • Salud: Hospitales, clínicas, centros médicos.
   • Farmacéutico, seguridad social, postal - mensajería: Producción de fármacos, administración de prestaciones y servicios de correos.

La ANCI puede sumar nuevos servicios si su afectación pone en riesgo la seguridad o el abastecimiento nacional.

2. Operadores de Importancia Vital (OIV): Dentro de los PSE, la ANCI identifica a los que, por su dependencia tecnológica y el impacto potencial de una falla, son estratégicos. Para ser OIV deben cumplirse dos requisitos básicos:
   
   • Su servicio depende de redes y sistemas informáticos.
   • Su interrupción tendría un efecto significativo en la seguridad, el orden público o la economía.
3. El proceso de nominación sigue seis etapas de consulta pública y culmina con la nómina definitiva.Plazo estimado: 30 mayo → 30 octubre 2025, según el cronograma oficial de la ANCI. Cada tres años la lista se revisa y actualiza.

En otras palabras, todo PSE debe cumplir, pero el OIV afronta un listón aún más alto: gobernanza formal, auditorías, ejercicios y monitoreo continuo. No saber si tu organización será calificada como OIV es, hoy, el mayor riesgo oculto.

Preguntas para tu directorio

1. ¿Proveemos alguno de los servicios listados?
2. ¿Nuestra continuidad depende críticamente de sistemas TI?
3. ¿El impacto de una interrupción podría considerarse “significativo” por la ANCI?

Si la respuesta es “sí” a cualquiera, la ruta es clara: diagnóstico de brechas, diseño de SGSI y plan de cumplimiento antes de octubre 2025. Netprovider puede acompañarte en cada fase con metodología y experiencia sectorial.

¿Cuándo entra en vigencia? Cronograma oficial y fechas clave de la ANCI

1. Publicación y marco transitorio

• 8 de abril de 2024: La Ley 21.663 se publica en el Diario Oficial, iniciando el período de implementación legislativa.
• El artículo primero transitorio faculta al Presidente para dictar, dentro del año siguiente a la publicación (antes del 8-abr-2025), los decretos que pondrán en marcha la Agencia Nacional de Ciberseguridad (ANCI) y fijarán la fecha exacta en que la ley comenzará a aplicarse.
• Esos decretos no pueden hacerla exigible antes de seis meses contados desde la publicación, lo que sitúa el umbral legal más temprano en octubre de 2024.

2. Reglamentos técnicos

El Ministerio del Interior tiene 180 días desde la publicación (plazo que expiró a comienzos de octubre 2024) para dictar los reglamentos detallados de la ley, incluidos los relativos al reporte de incidentes y los requisitos de los Sistemas de Gestión de Seguridad de la Información (SGSI).

3. Obligación de reportar incidentes

La ANCI fijó el 1 de marzo de 2025 como fecha a partir de la cual los Prestadores de Servicios Esenciales (PSE) deberán reportar incidentes conforme a los plazos de 3 horas / 72 horas / 15 días establecidos en la ley.

4. Clasificación de Operadores de Importancia Vital (OIV)

Para los OIV, la ANCI ha definido un proceso público de seis etapas, cada una de 30 días corridos, con el siguiente calendario tentativo.

Una vez emitida la nómina, las entidades designadas dispondrán, como máximo, de seis meses adicionales (plazo fijado en reglamento) para acreditar su SGSI y los planes de continuidad exigidos.

5. Mirada a mediano plazo

La hoja regulatoria no termina con la ciberseguridad: la nueva Ley de Protección de Datos Personales entrará en vigor en diciembre de 2026, imponiendo a las organizaciones un segundo frente de cumplimiento (privacidad) sobre los sistemas que deberán ya estar blindados por la Ley 21.663.

En resumen

• Hoy (julio 2025) estamos en la fase de implementación reglamentaria y de registro de PSE.
• La primera obligación dura , el reporte de incidentes,  ya rige desde marzo 2025.
• OIV: Si tu empresa opera en un sector crítico, el momento de confirmar si quedarás en la nómina es ahora, porque la lista definitiva se publicará el 30 de octubre 2025.
• Cumplir antes de las fechas límite no solo evita multas: asegura la continuidad operativa y posiciona a tu organización como confiable en un mercado cada vez más regulado.

Obligaciones y plazos críticos: Alerta en 3 h, informe en 72 h, cierre en 15 días.

La Ley 21.663 mide la respuesta a un incidente en minutos, no en semanas. Si un ataque interrumpe tus sistemas, el cronómetro arranca de inmediato:

1. Alerta temprana (3 horas): Debes notificar al CSIRT Nacional dentro de las primeras tres horas, aun si el impacto total no está claro. La idea es habilitar una contención coordinada a nivel país.
2. Informe preliminar (72 horas): En las siguientes 72 horas tienes que entregar un reporte con los vectores de ataque conocidos, los sistemas afectados y las medidas iniciales de mitigación. Si eres OIV y el servicio esencial siguió interrumpido, la actualización debe llegar en 24 horas.
3. Informe final (15 días): Quince días después del incidente debes presentar un análisis forense completo, el impacto real y las acciones correctivas implementadas.
4. Plan de acción (7 días): Además, dentro de la primera semana se exige un plan detallado de remediación y prevención futura.

Otros deberes que no pueden esperar

• SGSI certificado: Los OIV deben operar un Sistema de Gestión de Seguridad de la Información alineado a ISO 27001, con auditorías y simulacros periódicos.
• Monitoreo continuo y registro de eventos: Obligatorio para detectar anomalías y conservar evidencias.
• Delegado de Ciberseguridad: Figura interna responsable ante la ANCI de coordinar la respuesta y los reportes.
• Capacitación: El personal clave debe entrenarse en protocolos de respuesta y buenas prácticas.

Checklist básico

• ¿Tu CSIRT interno puede levantar una alerta formal en menos de 180 minutos?

• ¿Cuentas con un formato de informe listo para completar y enviar antes de las 72 h?

• ¿Tienes recursos asignados para el análisis forense dentro de los 15 días?

• ¿Tu SGSI está certificado o en proceso de certificación?

• ¿Existe un plan de capacitación para el equipo de respuesta?

Si marcaste “no” en alguno, es momento de reforzar tu postura de seguridad. Netprovider puede ayudarte a implementar procesos, automatizar reportes y asegurar que el próximo incidente se gestione dentro de la ventana que la ley exige, sin sacrificar la continuidad de tu negocio.

Multas y riesgos de incumplir: Hasta 40.000 UTM y daño reputacional

La ANCI puede aplicar estas sanciones de forma independiente al daño sufrido por terceros. Para los OIV, los topes se duplican: una infracción gravísima puede costar 40.000 UTM, más de US $3 millones al tipo de cambio actual.

Riesgos que van más allá del cheque

1. Pérdida de contratos y licitaciones: Clientes y organismos estatales pueden excluir a empresas sancionadas de procesos competitivos.
2. Incremento de primas de ciber-seguro: Las aseguradoras revisan las multas como indicador de riesgo y suben las tarifas o niegan cobertura.
3. Costos ocultos de recuperación: Investigación forense, restauración de sistemas, compensaciones a usuarios y honorarios legales.
4. Daño reputacional sostenido: Un incidente mal gestionado reduce el valor de marca, afecta el precio de las acciones y disuade inversiones.
5. Responsabilidad de ejecutivos: La ANCI puede derivar antecedentes al Ministerio Público si detecta dolo o negligencia grave.

Una pregunta clave para el directorio…

¿Cuánto más costará reconstruir la confianza, y pagar la multa, que invertir hoy en un SGSI robusto?

Con un diagnóstico temprano y un plan de cumplimiento, los números cambian: pasas de exponer hasta 40.000 UTM a invertir una fracción en resiliencia y continuidad operativa. En la próxima sección veremos cómo iniciar ese camino.

Primeros pasos para cumplir la Ley 21.663 y proteger la continuidad operativa

Cumplir con la Ley Marco de Ciberseguridad no se resuelve instalando un par de parches. Requiere gobernanza, procesos y tecnología perfectamente engranados. Aquí un plan en seis movimientos para arrancar con buen pie:

1. Mapea tu exposición real
   
   • Enumera los sistemas que sostienen tu operación crítica y clasifícalos por impacto.
   • Verifica si prestas un Servicio Esencial o si podrías quedar en la nómina de OIV.
   • Calcula la ventana máxima de tolerancia a la interrupción (RTO/RPO) de cada sistema.
2. Diagnóstico de brechas
   
   • Evalúa tu postura actual frente a los requisitos de la ley (alerta 3 horas, informe 72 horas, SGSI, registro de eventos).
   • Prioriza brechas según riesgo y plazo legal: las que impidan reportar en 3 horas van primero.
3. Diseña o ajusta tu SGSI
   
   • Si ya sigues ISO 27001, revisa las cláusulas de gestión de incidentes y mejora continua para alinearlas con los tiempos de la ley.
   • Si partes de cero, define políticas, roles, matriz de riesgos y un programa de capacitación.
   • Documenta un plan de continuidad que contemple ejercicios y simulacros (obligatorio para OIV).
4. Nombra al Delegado de Ciberseguridad
   
   • Debe tener autoridad para activar la cadena de reporte en minutos y ser el enlace formal con la ANCI.
   • Asegura respaldo del directorio: sin sponsors de alto nivel, los plazos de la ley son irrealizables.
5. Automatiza la detección y el reporte
   
   • Implementa monitoreo en tiempo real, feed de inteligencia de amenazas y dashboards de alerta.
   • Preconfigura plantillas de notificación al CSIRT Nacional para disparar la alerta de 3 horas con un clic.
6. Ejercita y afina
   
   • Corre simulacros cada semestre: mide si cumples el envío de informes en 72 horas y el análisis forense en 15 días.
   • Ajusta procesos y playbooks tras cada ejercicio; la mejora continua es requisito de la norma.

Regla de oro

‍“Si no puedes reportar en tres horas un incidente que simulas, tampoco podrás hacerlo en plena crisis”. - Marcos Flores, Líder de GRC.

Con un diagnóstico honesto, un SGSI vivo y una cultura de respuesta ágil, el cumplimiento deja de ser un costo y se convierte en la mejor póliza de continuidad operativa que tu negocio puede contratar. Netprovider acompaña a más de 100 organizaciones críticas en esa ruta; déjanos mostrarte cómo dar el siguiente paso.

Conclusión y Próximos Pasos

La Ley 21.663 marca un antes y un después en la ciberseguridad chilena. Su alcance abarca a todo prestador de servicios esenciales y, con mayor rigor, a los futuros Operadores de Importancia Vital. Los plazos son perentorios,  alerta en 3 horas, informe en 72 horas, cierre en 15 días, y las multas pueden llegar a 40.000 UTM. Más allá de la sanción, está en juego la continuidad del negocio y la confianza de clientes, socios e inversionistas.

Actuar ahora implica:

1. Mapear tu exposición y confirmar si entrarás en la lista de OIV.
2. Cerrar brechas críticas antes de que la ANCI inicie fiscalizaciones.
3. Certificar o reforzar el SGSI, con procesos de monitoreo y reporte listos para activar en minutos.

Con un plan sólido, la ley deja de ser una amenaza y se convierte en una oportunidad para demostrar resiliencia y liderazgo. Si necesitas acompañamiento, el equipo de Netprovider está preparado para guiarte en cada paso, desde el diagnóstico inicial hasta la operación continua de tu estrategia de ciberseguridad.