¿Qué es la Ley Marco de Ciberseguridad 21.663?

La Ley N° 21.663 (Ley Marco de Ciberseguridad) es una normativa promulgada en abril de 2024 en Chile que regula la infraestructura crítica de la información y refuerza la seguridad digital del país. Establece obligaciones para organizaciones públicas y privadas respecto de la protección de sistemas y datos, y define mecanismos de coordinación, fiscalización y sanciones.

¿Cuándo entró en vigencia la Ley 21.663 y qué hitos incluye?

La normativa entró en vigencia el 1 de enero de 2025, fecha en que se crearon la Agencia Nacional de Ciberseguridad (ANCI) y el CSIRT Nacional. A partir del 1 de marzo de 2025 comenzaron a aplicarse obligaciones críticas como el reporte obligatorio de incidentes, la fiscalización y el régimen de sanciones.

¿Qué son los Prestadores de Servicios Esenciales (PSE)?

Los PSE son instituciones públicas o privadas cuya interrupción puede afectar la vida, seguridad, economía o abastecimiento del país. Ejemplos incluyen ministerios, municipalidades, servicios públicos, empresas eléctricas, sanitarias, transporte, telecomunicaciones, banca, salud y proveedores tecnológicos.

Si mi empresa no es PSE, ¿igual puede verse afectada por la Ley 21.663?

Sí. Aunque una empresa no sea PSE, puede tener exigencias indirectas si sus clientes o socios lo son. En esos casos, se pueden requerir estándares de ciberseguridad, controles y trazabilidad equivalentes para mantener la continuidad y el cumplimiento.

¿Qué son los Operadores de Importancia Vital (OIV)?

Los OIV son entidades públicas o privadas cuya afectación podría impactar la seguridad pública o el funcionamiento del Estado. Ser designado OIV implica un mayor nivel de responsabilidad, control y exigencias regulatorias.

¿Quién define o publica la nómina de Operadores de Importancia Vital (OIV)?

La Agencia Nacional de Ciberseguridad (ANCI) es la entidad relacionada con la determinación y publicación de la nómina de OIV, según lo señalado en el artículo.

¿Qué obligaciones específicas tienen los Operadores de Importancia Vital (OIV)?

Los OIV deben implementar un sistema de gestión de ciberseguridad según estándares definidos por la ANCI; mantener planes de continuidad y resiliencia con pruebas y revisiones periódicas; realizar ejercicios y simulacros regulares; responder de forma inmediata a incidentes; comunicar a la ciudadanía cuando corresponda en coordinación con la ANCI; y designar un responsable de ciberseguridad como punto formal de contacto.

¿Qué sanciones contempla la Ley 21.663 por incumplimiento?

Desde el 1 de marzo de 2025, la ley contempla fiscalización y un régimen de sanciones. Según el artículo, las multas pueden alcanzar los USD 2,5 millones dependiendo de la gravedad del incumplimiento.

¿Por qué es importante prepararse para la Ley 21.663?

Porque el cumplimiento puede requerir inversiones, capacidades y procesos de respuesta continua. Además, aun si una empresa no es OIV, prestar servicios a entidades OIV o PSE puede implicar exigencias equivalentes en seguridad y trazabilidad, impactando continuidad operativa y relaciones comerciales.

¿Cómo contactar a Netsus para asesoría sobre la Ley 21.663?

Puedes contactar a Netsus a través del sitio web netsus.com o mediante correo a contacto@netsus.com. También están disponibles los teléfonos +56 2 3210 6000 y +56 9 5099 6010.

Ley Marco de Ciberseguridad 21.663 ¿está tu empresa preparada?

Q: ¿A quién aplica la Ley 21.663?

La Ley 21.663 aplica principalmente a dos categorías: Prestadores de Servicios Esenciales (PSE), públicos o privados, cuya interrupción podría afectar la vida, seguridad, economía o abastecimiento del país; y Operadores de Importancia Vital (OIV), entidades cuya afectación impactaría la seguridad pública o el funcionamiento del Estado.

Q: ¿La ley tiene un listado cerrado de Prestadores de Servicios Esenciales (PSE)?

No. La ley no establece un listado cerrado de PSE. Cada organización debe analizar sus funciones y servicios para determinar si se encuentra dentro de las categorías definidas como servicios esenciales según la Ley 21.663.

Q: ¿Cuáles son las obligaciones generales para entidades reguladas por la Ley 21.663?

Entre las obligaciones generales se incluyen: registro y notificación de incidentes al CSIRT Nacional bajo supervisión de la ANCI; contar con planes de continuidad y recuperación (continuidad operativa y ciberseguridad); y cooperación con la ANCI y organismos sectoriales, entregando información, sometiéndose a fiscalización y siguiendo protocolos.

Q: ¿Qué implica el registro y notificación de incidentes según la Ley 21.663?

Implica reportar al CSIRT Nacional, bajo la supervisión de la ANCI, todo incidente o ciberataque que pueda afectar la continuidad o la seguridad de los servicios de la entidad regulada.

¿Qué es la Ley 21.663?

La Ley 21.663, también conocida como la Ley Marco de Ciberseguridad en Chile, fue promulgada en abril de 2024 y entró en vigencia el 1 de enero de 2025, marcando un hito en la regulación de la ciberseguridad a nivel nacional y regional. Esta normativa creó la Agencia Nacional de Ciberseguridad (ANCI) y el CSIRT Nacional, estableciendo un marco obligatorio para la protección de la infraestructura crítica de la información. Desde el 1 de marzo de 2025, la ley exige a las organizaciones el reporte obligatorio de incidentes de ciberseguridad, habilita procesos de fiscalización y aplica un régimen de sanciones que puede alcanzar multas de hasta USD 2,5 millones, dependiendo de la gravedad del incumplimiento. La Ley N° 21.663 refuerza la seguridad digital del país y redefine las responsabilidades de las empresas en la protección de sus sistemas, datos y continuidad operativa.

¿A quién aplica esta ley?

La Ley 21.663 establece dos grandes categorías de entidades sujetas a obligaciones:

Prestadores de Servicios Esenciales (PSE): Instituciones públicas o privadas cuya interrupción podría afectar la vida, seguridad, economía o abastecimiento del país. Ejemplos: ministerios, municipalidades, servicios públicos, empresas eléctricas, sanitarias, de transporte, telecomunicaciones, banca, salud, o proveedores tecnológicos.

Importante: La ley no establece un listado cerrado de PSE. Cada organización debe analizar sus funciones y servicios para determinar si se encuentra dentro de las categorías definidas como servicios esenciales según la Ley 21.663. Además, incluso si una empresa no es PSE, sus clientes o socios podrían serlo, lo que implicará exigencias indirectas de cumplimiento y ciberseguridad.

Operadores de Importancia Vital (OIV): Son entidades —públicas o privadas— cuya afectación impactaría la seguridad pública o el funcionamiento del Estado. La Agencia Navional de Ciberseguridad (ANCI) publicó en diciembre de 2025 la nómina definitiva de OIV.

Obligaciones generales para entidades reguladas

Registro y notificación de incidentes: Las entidades deben reportar al CSIRT Nacional, bajo la supervisión de la ANCI, todo incidente o ciberataque que pueda afectar la continuidad o seguridad de sus servicios.

Planes de continuidad y recuperación: Deben contar con planes de continuidad operativa y de ciberseguridad para asegurar la prestación de servicios esenciales ante incidentes.

Cooperación con la ANCI y organismos sectoriales: Las organizaciones deben entregar información, someterse a fiscalización y seguir los protocolos que establezca la Agencia Nacional de Ciberseguridad.

Exigencias específicas para los OIV

Ser designado Operador de Importancia Vital implica un mayor nivel de responsabilidad y control, incluyendo:

-Sistema de gestión de la ciberseguridad conforme a los estándares que definirá la ANCI.

-Planes de continuidad y resiliencia con pruebas y revisiones periódicas.

-Ejercicios y simulacros regulares para evaluar la eficacia de las medidas.

-Respuesta inmediata ante incidentes para contener y mitigar impactos.

-Comunicación a la ciudadanía cuando el incidente pueda afectar a terceros, en coordinación con la ANCI.

-Designación de un responsable de ciberseguridad como punto formal de contacto con la Agencia.

Por qué importa estar preparado

Ser OIV no es solo un reconocimiento, sino una obligación regulatoria de alto impacto: requiere inversiones, cumplimiento normativo y capacidad de respuesta continua. Además, aunque tu empresa no sea OIV, si atiendes o provees servicios a una entidad que sí lo es, se te exigirán estándares equivalentes de seguridad y trazabilidad.

La propuesta de Netsus

Netsus 360 es nuestro nuevo servicio diseñado para responder a los desafíos que plantea la Ley Marco de Ciberseguridad. Se trata de una plataforma integral que unifica gestión TI, observabilidad en tiempo real, ciberseguridad gestionada 24/7, compliance y resiliencia operativa en un solo servicio, asegurando que cada dispositivo, usuario y dato estén siempre protegidos y bajo control, con un costo accesible y adaptable a la realidad de cada empresa. .

Ley Marco de Ciberseguridad 21.663 ¿está tu empresa preparada?

Ley Marco de Ciberseguridad 21.663 ¿está tu empresa preparada?

¿Qué es la Ley 21.663?

¿A quién aplica esta ley?

Obligaciones generales para entidades reguladas

Exigencias específicas para los OIV

Por qué importa estar preparado

La propuesta de Netsus

Conoce Netsus 360 aquí y agenda una asesoría

Tabla de contenidos

Ciberataques en Chile aumentan 9% en enero de 2026: cómo proteger la continuidad de tu empresa

Disaster Recovery: qué es y por qué es fundamental para la continuidad de las empresas

¿Tu soporte TI puede crecer al ritmo de tu negocio?

Leave a Comment Cancelar la respuesta

Netsus.com

Servicios

Productos

Legal

Ciberseguridad

Información de contacto

Métodos de pago