Ley Marco de Ciberseguridad, ¿está tu empresa preparada?
En abril de 2024 se promulgó en Chile la Ley Marco de Ciberseguridad (Ley N° 21.663), la primera norma de su tipo en Latinoamérica. Esta ley regula la infraestructura crítica de la información y refuerza la seguridad digital del país, marcando un antes y un después en la forma en que las organizaciones deben proteger sus sistemas y datos.
La normativa entró en vigencia el 1 de enero de 2025, fecha en que se crearon la Agencia Nacional de Ciberseguridad (ANCI) y el CSIRT Nacional. A partir del 1 de marzo de 2025, comenzaron a aplicarse las obligaciones críticas: reporte obligatorio de incidentes, fiscalización y régimen de sanciones, con multas que pueden alcanzar los USD 2,5 millones según la gravedad del incumplimiento.
¿A quién aplica esta ley?
La Ley 21.663 establece dos grandes categorías de entidades sujetas a obligaciones:
Prestadores de Servicios Esenciales (PSE): Instituciones públicas o privadas cuya interrupción podría afectar la vida, seguridad, economía o abastecimiento del país. Ejemplos: ministerios, municipalidades, servicios públicos, empresas eléctricas, sanitarias, de transporte, telecomunicaciones, banca, salud, o proveedores tecnológicos.
Importante: la ley no establece un listado cerrado de PSE. Cada organización debe analizar sus funciones y servicios para determinar si se encuentra dentro de las categorías definidas como servicios esenciales según la Ley 21.663. Además, incluso si una empresa no es PSE, sus clientes o socios podrían serlo, lo que implicará exigencias indirectas de cumplimiento y ciberseguridad.
Operadores de Importancia Vital (OIV): Son entidades —públicas o privadas— cuya afectación impactaría la seguridad pública o el funcionamiento del Estado. La ANCI publicó en septiembre de 2025 la nómina preliminar de OIV, actualmente en consulta pública hasta el 16 de octubre, paso previo a su lista definitiva.
Obligaciones generales para entidades reguladas
Registro y notificación de incidentes: Las entidades deben reportar al CSIRT Nacional, bajo la supervisión de la ANCI, todo incidente o ciberataque que pueda afectar la continuidad o seguridad de sus servicios.
Planes de continuidad y recuperación: Deben contar con planes de continuidad operativa y de ciberseguridad para asegurar la prestación de servicios esenciales ante incidentes.
Cooperación con la ANCI y organismos sectoriales: Las organizaciones deben entregar información, someterse a fiscalización y seguir los protocolos que establezca la Agencia Nacional de Ciberseguridad.
Exigencias específicas para los OIV
Ser designado Operador de Importancia Vital implica un mayor nivel de responsabilidad y control, incluyendo:
-Sistema de gestión de la ciberseguridad conforme a los estándares que definirá la ANCI.
-Planes de continuidad y resiliencia con pruebas y revisiones periódicas.
-Ejercicios y simulacros regulares para evaluar la eficacia de las medidas.
-Respuesta inmediata ante incidentes para contener y mitigar impactos.
-Comunicación a la ciudadanía cuando el incidente pueda afectar a terceros, en coordinación con la ANCI.
-Designación de un responsable de ciberseguridad como punto formal de contacto con la Agencia.
Por qué importa estar preparado
Ser OIV no es solo un reconocimiento, sino una obligación regulatoria de alto impacto: requiere inversiones, cumplimiento normativo y capacidad de respuesta continua. Además, aunque tu empresa no sea OIV, si atiendes o provees servicios a una entidad que sí lo es, se te exigirán estándares equivalentes de seguridad y trazabilidad.
La propuesta de Netsus
Netsus 360 es nuestro nuevo servicio diseñado para responder a los desafíos que plantea la Ley Marco de Ciberseguridad. Se trata de una plataforma integral que unifica gestión TI, observabilidad en tiempo real, ciberseguridad gestionada 24/7, compliance y resiliencia operativa en un solo servicio, asegurando que cada dispositivo, usuario y dato estén siempre protegidos y bajo control, con un costo accesible y adaptable a la realidad de cada empresa.