Indicadores financieros 23/02/2026: Cargando indicadores financieros... UF $ Dólar observado $ Más indicadores →

¿A quién afecta y qué deberes impone la nueva Ley de Ciberseguridad a mi empresa?

Isidora Palma Pérez
20 de febrero de 2026por
Descargar PDF
¿A quién afecta y qué deberes impone la nueva Ley de Ciberseguridad a mi empresa?

Estimadas(os):

Introducción

La Ley 21.663, conocida como la Ley Marco de Ciberseguridad en Chile, la cual establece la institucionalidad, principios, deberes y mecanismos destinados a prevenir, contener, responder y recuperar la seguridad de las redes, sistemas informáticos e infraestructura digital del país. Su propósito central es proteger la confidencialidad, integridad y disponibilidad de los datos, obligando a las entidades a adoptar medidas preventivas, realizar auditorías regulares y capacitar a su personal en materia de ciberseguridad. Con ello, se busca aumentar la capacidad de respuesta frente a incidentes digitales y asegurar la continuidad de las operaciones en todos los sectores.

Para las empresas, esta normativa adquiere especial relevancia, pues las obliga a implementar controles que reduzcan la exposición a ciberataques. Cumplir con sus exigencias no solo disminuye riesgos legales y posibles sanciones, sino que también refuerza la confianza de clientes, proveedores y socios, contribuyendo a la estabilidad operativa y al fortalecimiento de su entorno digital.

¿A quién afecta la Ley 21.663?

  • Servicios esenciales: Aquellos cuya afectación puede tener un impacto significativo en la seguridad, el orden público, la provisión continua de servicios o el cumplimiento de funciones del Estado. Estos servicios no dependen solo de entidades públicas ya que también pueden ser privados, siempre que su operación sea crítica para el funcionamiento del país. La ley establece criterios generales y la ANCI, mediante instrucciones y actos administrativos, determina los sectores comprendidos que son:
  • Energía eléctrica: generación, transmisión, distribución.
  • Telecomunicaciones
  • Infraestructura digital y servicios TI gestionados por terceros.
  • Banca y servicios financieros.
  • Medios de pago.
  • Salud: hospitales, clínicas, centros médicos.
  • Agua potable y saneamiento.
  • Transporte: terrestre, marítimo, aéreo y ferroviario.
  • Combustibles: transporte, almacenamiento y distribución.
  • Seguridad social.
  • Servicios postales y de mensajería.
  • Producción e investigación farmacéutica.
  • Operadores de Importancia Vital (OIV): Entidades que, aunque no sean Servicios Esenciales, cumplen un rol crítico en el abastecimiento de la población, distribución de bienes o la producción de elementos estratégicos para el país, y cuya afectación tiene un impacto significativo. Es importante destacar que el cumplimiento de las obligaciones impuestas a las entidades calificadas como OIV es exigible desde la publicación de la resolución respectiva, salvo que la resolución establezca una regla distinta.

El pasado 17 de diciembre del 2025, la ANCI publica la nómina final de OIV, cerrando el primer proceso de calificación de estos. La nómina incluye 915 instituciones, públicas y privadas, así como organizaciones, proveedores y servicios esenciales que cumplen un rol clave dentro del ecosistema crítico de la ciberseguridad en Chile.

Entre las empresas calificadas como OIV se encuentran:

  • Empresas del sector eléctrico.
  • Empresas de telecomunicaciones, incluidos operadores móviles y proveedores de servicios de Internet.
  • Sector bancario y financiero, así como servicios de medios de pago.
  • Empresas de servicios digitales, infraestructura digital y servicios de TI.
  • Instituciones Prestadoras de Salud.
  • Empresas públicas y organismos de la Administración del Estado.

¿Qué pasa con las empresas que no están directamente sujetas a la Ley?

Aunque la Ley 21.663 establece obligaciones directas principalmente para los Servicios Esenciales y los Operadores de Importancia Vital, sus efectos se proyectan de manera indirecta hacia un número mucho mayor de organizaciones.

En la práctica, muchas empresas que no califican dentro de estas categorías igualmente deberán adoptar estándares de ciberseguridad debido a:

  • Exigencias contractuales, especialmente cuando prestan servicios o suministran soluciones tecnológicas a entidades reguladas.
  • Gestión de la cadena de suministro, ya que las organizaciones obligadas por la ley deberán asegurar que sus proveedores mantengan niveles adecuados de seguridad.
  • Riesgos reputacionales y comerciales, considerando que los incidentes de ciberseguridad pueden afectar la confianza de clientes y socios estratégicos.

Principales deberes que impone la Ley

1. Deber de reportar

La ley establece la obligación de reportar ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos al CSIRT Nacional. Se entiende por incidente significativo si es capaz de interrumpir la continuidad de un servicio esencial, afectar la integridad física o salud de las personas, o si afecta a sistemas informáticos que contengan datos de carácter personal.

El deber de reporte se estructura en tres fases con plazos máximos

  • Alerta Temprana: Máximo 3 horas desde la detección del incidente.
  • Actualización: Máximo 72 horas para informar sobre la ocurrencia del evento.
  • Informe Final: Máximo 15 días para entregar una evaluación completa.

2. Deber de implementar un sistema de gestión de seguridad (SGSI)

La ley exige pasar de medidas reactivas a una estrategia proactiva y documentada. Esto se materializa en la obligación de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) continuo.

3. Deber de Designar responsables y capacitar al personal

a) Las entidades sujetas a la ley deben:

  • Designar un delegado de ciberseguridad encargado de coordinar la implementación del SGSI y la relación con la ANCI:
  • Encargado debe tener formación o experiencia especializada, técnico o profesional, en ciberseguridad, continuidad de operaciones o cuestiones afines.
  • Contar con un canal de comunicación y reporte directo con la máxima autoridad institucional
  • Debe tener independencia funcional, es por esto que se impone una segregación de funciones, por lo que el delegado debe resguardar su independencia funcional respecto de las áreas operativas de TI.
  • Contar con habilitación para representar ante la ANCI a la institución.

b) Capacitar periódicamente a todo el personal sobre riesgos, buenas prácticas y protocolos de respuesta.

Esto fortalece la cultura organizacional y reduce la exposición a fallas humanas, uno de los vectores más frecuentes de ataque.

4. Deber de Mitigación y Transparencia

Este deber se enfoca en la acción inmediata post-incidente y la comunicación con los afectados, esto se traduce en dos puntos:

  • Mitigación Expedita: Las empresas deben adoptar de forma oportuna y expedita las medidas necesarias para reducir el impacto y la propagación de un incidente de ciberseguridad
  • Informar a Afectados: Existe la obligación de informar a los potenciales afectados sobre el incidente, demostrando transparencia y responsabilidad

Multas por incumplimientos

El incumplimiento de los deberes establecidos en la Ley 21.663 conlleva sanciones severas. Las multas pueden llegar hasta las 40.000 UTM en el caso de los Operadores de Importancia Vital.

¿Cómo impacta la Ley de Ciberseguridad a las PYMES?

Aunque la Ley 21.663 se enfoca principalmente en Servicios Esenciales y Operadores de Importancia Vital (OIV), su alcance se extiende indirectamente a las Pequeñas y Medianas Empresas a través de las exigencias del mercado. Las PYMES, que constituyen una parte fundamental de la economía chilena, a menudo actúan como proveedores o socios de estas entidades reguladas, lo que las expone a nuevas responsabilidades en materia de ciberseguridad.

La afectación indirecta se manifiesta principalmente en los siguientes puntos:

  • Exigencias Contractuales: las empresas reguladas por la Ley 21.663, para cumplir con sus propios deberes de ciberseguridad, trasladarán estas exigencias a sus proveedores. Esto significa que las PYMES que presten servicios o suministren soluciones tecnológicas a Servicios Esenciales u OIV deberán adoptar estándares de seguridad específicos, que podrían incluir la implementación de Sistemas de Gestión de Seguridad de la Información (SGSI), la realización de auditorías y la capacitación de su personal.
  • Gestión de la Cadena de Suministro: la ley impone a las entidades reguladas la obligación de asegurar que su cadena de suministro mantenga niveles adecuados de seguridad. Un incidente de ciberseguridad en una PYME proveedora podría comprometer la seguridad de un Servicio Esencial o un OIV, generando riesgos reputacionales y operativos para ambas partes. Por lo tanto, las PYMES se verán incentivadas a fortalecer sus defensas cibernéticas para mantener su competitividad y la confianza de sus clientes de mayor tamaño.
  • Riesgos Reputacionales y Comerciales: en un entorno donde la ciberseguridad es cada vez más crítica, las PYMES que no demuestren un compromiso con la protección de datos y sistemas pueden sufrir un deterioro en su reputación y perder oportunidades de negocio. Los incidentes de ciberseguridad, incluso si no son directamente sancionados por la ley, pueden afectar la confianza de clientes y socios, impactando negativamente su sostenibilidad.

Para las PYMES, prepararse para este nuevo escenario implica no solo estar al tanto de las exigencias de sus clientes regulados, sino también adoptar proactivamente buenas prácticas de ciberseguridad.

Ejemplos prácticos

Un ejemplo de esto sería el caso de una PYME que desarrolla un software de gestión para varias empresas de logística (Operadores de Importancia Vital). Si el software tiene una vulnerabilidad de seguridad no detectada y explotada por un ciberatacante, podría comprometer los sistemas de sus clientes OIV.

Aunque la PYME no sea directamente regulada, su falencia en ciberseguridad la haría responsable ante sus clientes por incumplimiento contractual y, potencialmente, por los daños causados a la cadena de suministro crítica del país.

Otro ejemplo sería el caso de una empresa de consultoría, con acceso a información estratégica de sus clientes, no realiza capacitaciones periódicas sobre ciberseguridad a sus empleados. Un empleado cae en una estafa de phishing, revelando sus credenciales de acceso a la red corporativa.

¿Cómo prepararse para cumplir con la Ley Marco de Ciberseguridad?

El cumplimiento de la Ley 21.663 no solo implica adoptar medidas tecnológicas, sino desarrollar una estrategia organizacional integral que permita prevenir, detectar y responder eficazmente ante incidentes de ciberseguridad. Para ello, resulta recomendable que las empresas:

  • Realicen un diagnóstico inicial de riesgos, que permita identificar vulnerabilidades en sus sistemas, procesos y gestión de la información.
  • Ejecuten un análisis de brechas respecto de las exigencias legales y estándares internacionales de seguridad de la información.
  • Implementen o fortalezcan un Sistema de Gestión de Seguridad de la Información alineado con estándares como ISO 27001, que permita establecer políticas, controles y procedimientos permanentes.
  • Desarrollen planes de respuesta y recuperación ante incidentes, incluyendo protocolos de comunicación interna y externa.
  • Fortalezcan la capacitación del personal, promoviendo una cultura organizacional orientada a la seguridad digital.

Saludos.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Share This