¿Qué es la Ley 21.663 de Ciberseguridad en Chile?

La Ley 21.663, publicada en abril de 2024, es la Ley Marco sobre Ciberseguridad e Infraestructura Crítica de la Información en Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI) y establece obligaciones para los Operadores de Importancia Vital (OIV) y los servicios esenciales: gestión de riesgos, reporte de incidentes y capacitación continua.

¿A qué empresas aplica la Ley 21.663?

Aplica obligatoriamente a Operadores de Importancia Vital (OIV) y servicios esenciales: bancos, AFP, energía, agua, salud, telecomunicaciones, transporte y servicios públicos digitales. Además, todas las organizaciones que sufran un incidente con efectos en servicios esenciales están obligadas a reportarlo. En la práctica, cualquier empresa mediana o grande está empezando a alinearse con sus obligaciones.

¿Cuáles son las sanciones por incumplir la Ley 21.663?

Las sanciones van desde multas administrativas hasta la suspensión del servicio. Las multas pueden alcanzar UTM 20.000 (cerca de CLP 1.300 millones) para infracciones gravísimas, como no reportar un incidente de impacto significativo. La ANCI tiene además potestad para fiscalizar y exigir medidas correctivas con plazos específicos.

¿Qué exige la Ley 21.663 sobre capacitación?

La ley exige programas de gestión de riesgos que incluyan capacitación, sensibilización y entrenamiento continuo del personal en ciberseguridad, con evidencia auditable. Esto se materializa típicamente con cursos formales, simulaciones de phishing y campañas de concientización medibles, todo registrado para auditorías.

Ley 21.663 de Ciberseguridad en Chile: qué exige a las empresas (2026)

La Ley 21.663 cambió el panorama de la ciberseguridad en Chile. Por primera vez, hay una ley específica con sanciones reales para las empresas que no protegen su infraestructura. Esta guía te da lo esencial para entender si te aplica, qué tienes que hacer y cómo demostrar cumplimiento.

¿Qué es la Ley 21.663?

Publicada el 8 de abril de 2024, la Ley 21.663 establece el Marco de Ciberseguridad e Infraestructura Crítica de la Información en Chile. Su objetivo es proteger los servicios esenciales del país (energía, banca, salud, telecom, gobierno digital) frente a ciberataques, mediante un conjunto de obligaciones de gestión de riesgos, reporte de incidentes y capacitación continua.

También crea la Agencia Nacional de Ciberseguridad (ANCI), que es el regulador y fiscalizador, y al CSIRT Nacional, encargado de la respuesta a incidentes. Es el equivalente chileno —con varios años de retraso— a la directiva NIS2 europea o a las regulaciones de CISA en EE.UU.

¿A quién aplica?

La ley distingue dos categorías principales:

Operadores de Importancia Vital (OIV): empresas cuyo servicio es crítico para el país. La ANCI las designa formalmente. Incluyen bancos sistémicos, generadoras eléctricas, hospitales clase A, telecomunicaciones masivas, etc.
Servicios Esenciales: sectores que prestan servicios indispensables —banca, salud, agua, electricidad, telecom, transporte, gobierno digital— aunque no califiquen como OIV individuales.

¿Y si no calificas como ninguna de las dos? Igual conviene alinearse: la ley impone reporte obligatorio a cualquier organización que sufra un incidente con efectos sobre servicios esenciales, y los clientes y aseguradoras están exigiendo controles tipo Ley 21.663 a sus proveedores como parte de la cadena de suministro.

Las 4 obligaciones principales

1. Sistema de gestión de riesgos

Implementar un programa formal de gestión de riesgos de ciberseguridad alineado con estándares internacionales (NIST CSF, ISO 27001). Debe incluir identificación de activos críticos, evaluación de riesgos, controles y revisión periódica.

2. Reporte de incidentes

Reportar a la ANCI los incidentes de ciberseguridad de impacto significativo en plazos cortos (preliminar dentro de 3 horas, completo a las 72 horas según el caso). El no reporte es una de las infracciones gravísimas.

3. Capacitación y sensibilización

Mantener un programa permanente de capacitación, sensibilización y entrenamiento del personal en ciberseguridad. Es exactamente para esto que sirve una plataforma de Security Awareness: cursos, simulaciones de phishing y reportes auditables.

4. Continuidad operacional

Planes de continuidad y respuesta a incidentes documentados, probados periódicamente. Incluye respaldos, roles definidos y simulacros de respuesta.

Sanciones: qué arriesgas si no cumples

La ley clasifica las infracciones en leves, graves y gravísimas:

Leves: hasta UTM 5.000 (~CLP 320 millones).
Graves: hasta UTM 10.000 (~CLP 640 millones).
Gravísimas: hasta UTM 20.000 (~CLP 1.280 millones).

Además de la multa, la ANCI puede ordenar suspensión del servicio, medidas correctivas urgentes y exigir reportes periódicos. La reincidencia escala las sanciones.

Importante: No reportar un incidente significativo es infracción gravísima. Más vale reportar de más que de menos. La ANCI valora la transparencia como factor atenuante en la sanción.

Cómo cumplir el requisito de capacitación con evidencia auditable

Esta es la parte donde más fallan las empresas en auditorías. La ley pide capacitación "continua" y "auditable". En la práctica:

Continua: no es la charla anual de 1 hora. Idealmente cursos cortos mensuales + al menos 4 simulaciones de phishing al año.
Auditable: registro de quién hizo qué, cuándo, con qué resultado. Listas de asistencia de Excel no cuentan: el auditor pide trazabilidad por persona.
Medible: indicadores de mejora en el tiempo (tasa de clic, completitud de cursos, score de riesgo).

Una plataforma como Certisec automatiza los tres puntos y genera el reporte de cumplimiento listo para presentar a auditores o fiscalizadores de la ANCI.

Relación con ISO 27001 y la Ley 21.719

Las tres normas se complementan: ISO 27001 es el estándar técnico voluntario más usado para certificar el sistema de gestión de seguridad. Cumplir ISO 27001 te deja muy cerca de cumplir la Ley 21.663. La Ley 21.719 de protección de datos personales se enfoca en privacidad —es ortogonal pero complementaria.