Ley Marco de Ciberseguridad en Chile: lo que tu empresa debe saber en 2025

La Ley 21.663 — Ley Marco de Ciberseguridad entró en vigencia en Chile en 2024, estableciendo obligaciones concretas para operadores de infraestructura crítica y servicios esenciales. Si tu empresa opera en sectores como energía, salud, financiero, telecomunicaciones o gobierno, esto te afecta directamente.

¿Qué establece la ley?

La normativa crea la Agencia Nacional de Ciberseguridad (ANCI) y define un marco de obligaciones para los denominados “operadores de importancia vital” (OIV). Entre los requisitos principales:

• Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
• Reportar incidentes de ciberseguridad a la ANCI en plazos definidos
• Realizar evaluaciones de riesgo periódicas
• Contar con planes de continuidad operacional y respuesta a incidentes
• Aplicar controles mínimos de seguridad en infraestructura crítica

¿Quién está obligado?

La ley aplica en primera instancia a los OIV: empresas o entidades cuya interrupción podría afectar gravemente el funcionamiento del país. Sin embargo, cualquier empresa que procese datos de clientes o opere sistemas en red debe considerar buenas prácticas de ciberseguridad como parte de su operación normal.

¿Cómo prepararse?

Desde OpenIT recomendamos comenzar con una evaluación de madurez basada en el NIST Cybersecurity Framework 2.0, que se alinea directamente con los requerimientos de la ley chilena. Los pasos iniciales:

1. Inventario de activos críticos y datos sensibles
2. Evaluación de riesgos actuales
3. Definición de controles prioritarios (MFA, segmentación, backups, EDR)
4. Plan de respuesta a incidentes documentado
5. Capacitación del equipo

¿Necesitas apoyo para evaluar tu situación actual? Contáctanos — realizamos diagnósticos de ciberseguridad alineados a la normativa chilena.