La ciberseguridad ahora es ley: ¿está tu empresa preparada?
En abril de 2024 se promulgó en Chile la Ley Marco de Ciberseguridad (Ley N° 21.663), la primera norma de su tipo en Latinoamérica. Esta ley regula la infraestructura crítica de la información y refuerza la seguridad digital del país, marcando un antes y un después en la forma en que las organizaciones deben proteger sus sistemas y datos.
La normativa entró en vigencia el 1 de enero de 2025, fecha en que se crearon la Agencia Nacional de Ciberseguridad (ANCI) y el CSIRT Nacional. A partir del 1 de marzo de 2025, comenzaron a aplicarse las obligaciones críticas: reporte obligatorio de incidentes, fiscalización y régimen de sanciones, con multas que pueden alcanzar los USD 2,5 millones según la gravedad del incumplimiento.
¿A quién aplica esta ley?
La Ley 21.663 establece dos grandes categorías de entidades sujetas a obligaciones:
Prestadores de Servicios Esenciales (PSE): Instituciones públicas o privadas cuya interrupción podría afectar la vida, seguridad, economía o abastecimiento del país. Ejemplos: ministerios, municipalidades, servicios públicos, empresas eléctricas, sanitarias, de transporte, telecomunicaciones, banca, salud, o proveedores tecnológicos.
Importante: la ley no establece un listado cerrado de PSE. Cada organización debe analizar sus funciones y servicios para determinar si se encuentra dentro de las categorías definidas como servicios esenciales según la Ley 21.663. Además, incluso si una empresa no es PSE, sus clientes o socios podrían serlo, lo que implicará exigencias indirectas de cumplimiento y ciberseguridad.
Operadores de Importancia Vital (OIV): Son entidades —públicas o privadas— cuya afectación impactaría la seguridad pública o el funcionamiento del Estado. La ANCI publicó en septiembre de 2025 la nómina preliminar de OIV, actualmente en consulta pública hasta el 16 de octubre, paso previo a su lista definitiva.
Obligaciones generales para entidades reguladas
Registro y notificación de incidentes: Las entidades deben reportar al CSIRT Nacional, bajo la supervisión de la ANCI, todo incidente o ciberataque que pueda afectar la continuidad o seguridad de sus servicios.
Planes de continuidad y recuperación: Deben contar con planes de continuidad operativa y de ciberseguridad para asegurar la prestación de servicios esenciales ante incidentes.
Cooperación con la ANCI y organismos sectoriales: Las organizaciones deben entregar información, someterse a fiscalización y seguir los protocolos que establezca la Agencia Nacional de Ciberseguridad.
Exigencias específicas para los OIV
Ser designado Operador de Importancia Vital implica un mayor nivel de responsabilidad y control, incluyendo:
- Sistema de gestión de la ciberseguridad conforme a los estándares que definirá la ANCI.
- Planes de continuidad y resiliencia con pruebas y revisiones periódicas.
- Ejercicios y simulacros regulares para evaluar la eficacia de las medidas.
- Respuesta inmediata ante incidentes para contener y mitigar impactos.
- Comunicación a la ciudadanía cuando el incidente pueda afectar a terceros, en coordinación con la ANCI.
- Designación de un responsable de ciberseguridad como punto formal de contacto con la Agencia.
Por qué importa estar preparado
Ser OIV no es solo un reconocimiento, sino una obligación regulatoria de alto impacto: requiere inversiones, cumplimiento normativo y capacidad de respuesta continua.
Además, aunque tu empresa no sea OIV, si atiendes o provees servicios a una entidad que sí lo es, se te exigirán estándares equivalentes de seguridad y trazabilidad.
La propuesta de Netsus
Netsus 360 es nuestro nuevo servicio diseñado para responder a los desafíos que plantea la Ley Marco de Ciberseguridad. Se trata de una plataforma integral que unifica gestión TI, observabilidad en tiempo real, ciberseguridad gestionada 24/7, compliance y resiliencia operativa en un solo servicio, asegurando que cada dispositivo, usuario y dato estén siempre protegidos y bajo control, con un costo accesible y adaptable a la realidad de cada empresa.
Con Netsus 360 entregamos una solución que combina:
🔍 Visibilidad total y control centralizado
Muchas empresas gestionan su tecnología a ciegas, reaccionando solo cuando ocurre una falla. Con Netsus 360 te entregamos visibilidad total en tiempo real, con auditorías automatizadas y reportes claros que eliminan la incertidumbre y devuelven el control de tu infraestructura a tu negocio.
🛡️ Seguridad avanzada
Los ciberataques no descansan, y tu empresa tampoco debería hacerlo. En Netsus protegemos tu infraestructura día y noche a través de nuestro SOC como servicio, antivirus y protección avanzada EDR, gestión de vulnerabilidades y hacking ético automatizado, para que siempre estés un paso adelante de los atacantes.
📜 Compliance y Normativas
La Ley Marco de Ciberseguridad y los estándares internacionales ya no son opcionales. Con Netsus 360 automatizamos controles, centralizamos evidencias y generamos reportes auditables alineados a ISO 27001, NIST y CIS, facilitando el cumplimiento frente a fiscalizaciones y auditorías.
🧠 Cultura y Concientización en Ciberseguridad
La tecnología sola no basta: el factor humano sigue siendo la mayor brecha de seguridad. Con Netsus 360 fortalecemos a tus equipos mediante simulaciones de phishing, entrenamientos prácticos y reportes claros que convierten a cada colaborador en la primera línea de defensa.
⚙️ Continuidad operativa Garantizada
Un ciberataque o una falla no deberían detener tu negocio. En Netsus aseguramos la continuidad de tu operación con nuestro Backup as a Service y planes probados de recuperación, cumpliendo RTO y RPO definidos incluso en los escenarios más críticos.