Ley de Ciberseguridad en Chile 2026: Guía práctica para empresas

Chile acaba de dar uno de los saltos regulatorios más importantes de la región. La Ley N° 21.663, conocida como Ley Marco de Ciberseguridad, publicada en el Diario Oficial en 2024 y en plena entrada en vigencia durante 2025-2026, establece el primer marco integral de seguridad digital para el país. No es una recomendación: es una norma con obligaciones concretas, plazos definidos y un régimen sancionatorio que puede costarle a tu empresa hasta UF 5.000 (aproximadamente $180 millones de pesos chilenos).

En este artículo te explicamos, en lenguaje directo y sin tecnicismos innecesarios, qué dice la ley, a quién afecta y qué acciones concretas puedes tomar hoy para cumplirla sin perder el sueño.

¿Qué es la Ley 21.663?

Es la primera ley chilena que regula de forma sistemática la ciberseguridad a nivel nacional. Su objetivo es proteger la infraestructura crítica de información, asegurar la continuidad de servicios esenciales y establecer un modelo de gobernanza digital con responsabilidades claras.

La ley crea la Agencia Nacional de Ciberseguridad (ANCI), entidad encargada de supervisar, fiscalizar y coordinar la respuesta ante incidentes de seguridad. Bajo su mando opera el CSIRT Nacional, un equipo de respuesta que monitorea amenazas las 24 horas del día.

La ciberseguridad dejó de ser un tema de "informática" para convertirse en un tema de mesa directiva. La ley exige que la alta dirección asuma responsabilidad directa sobre el riesgo digital.

¿A quién afecta?

La ley distingue tres grupos con obligaciones diferentes:

• Operadores de Importancia Vital (OIV): empresas cuya paralización afectaría la seguridad nacional o servicios esenciales. Incluyen energía, telecomunicaciones, banca, salud, transporte y agua. Tienen las obligaciones más estrictas.
• Prestadores de Servicios Esenciales (PSE): entidades que prestan servicios digitales críticos pero no califican como OIV. Deben cumplir estándares técnicos definidos por la ANCI.
• Empresas en general: aunque no seas OIV ni PSE, la ley establece estándares mínimos de seguridad que aplican a cualquier organización. Además, las cadenas de suministro de los OIV y PSE se verán auditadas, lo que significa que si vendes a estos sectores, terminarás siendo evaluado indirectamente.

5 obligaciones que debes cumplir

1. Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)

La ley exige contar con un sistema formal para identificar, evaluar y mitigar riesgos de ciberseguridad. No se trata de comprar un antivirus caro: se trata de documentar procesos, asignar responsabilidades y demostrar que gestionas el riesgo de forma activa. La referencia internacional es la norma ISO/IEC 27001.

2. Designar un responsable de ciberseguridad

La ley establece la figura del Oficial de Ciberseguridad (función similar a un CISO). Esta persona debe tener autoridad real dentro de la organización para tomar decisiones, asignar recursos y reportar directamente a la alta dirección. No sirve que "se encargue el de informática entre otras cosas".

3. Evaluación de riesgos y continuidad operativa

Debes realizar evaluaciones de riesgo periódicas y mantener planes de continuidad operativa documentados. Esto incluye procedimientos de respaldo de información, recuperación ante desastres y definición de RTO (tiempo objetivo de recuperación) y RPO (punto objetivo de recuperación). Los planes deben probarse periódicamente, no solo existir en un PDF olvidado.

4. Reporte de incidentes en plazos estrictos

Si sufres un incidente de ciberseguridad significativo —un ransomware, una filtración de datos o una intrusión no autorizada— debes reportarlo a la ANCI dentro de plazos definidos:

• 3 horas: para incidentes de impacto significativo que afecten OIV o PSE.
• 72 horas: para incidentes graves que afecten infraestructura crítica.

Esto implica que debes tener capacidad de detectar y clasificar incidentes rápidamente. Si te enteras del ataque cuando ya lleva una semana, estás en problemas.

5. Medidas técnicas mínimas y auditorías

La ley enumera medidas técnicas básicas obligatorias: autenticación robusta (MFA), cifrado de datos sensibles, gestión de accesos con principio de mínimo privilegio, monitoreo de seguridad y —explícitamente— sistemas de respaldo de información. Los OIV deben someterse a auditorías periódicas realizadas por terceros certificados.

Plazos reales: ¿cuándo empieza a aplicar?

La ley ya está en vigencia desde el 1 de enero de 2025, y las obligaciones específicas para PSE y OIV comenzaron el 1 de marzo de 2025. Sin embargo, la ANCI tiene un plazo de hasta 18 meses para dictar los reglamentos técnicos específicos. Esto significa que 2025-2026 es el período de implementación y adaptación.

El error más común es esperar. Implementar un SGSI, capacitar al equipo, documentar procesos y desplegar controles técnicos lleva meses. Las empresas que comiencen ahora llegarán preparadas cuando la fiscalización sea estricta. Las que esperen llegarán tarde.

La Ley 21.719 de Protección de Datos: la otra mitad del mapa

Paralelamente, Chile aprobó la Ley N° 21.719 de Protección de Datos Personales, publicada en diciembre de 2024. Esta norma moderniza la antigua Ley 19.628 y alinea a Chile con estándares internacionales como el GDPR europeo.

Entre sus puntos clave:

• Fortalece los derechos ARCO+P (Acceso, Rectificación, Cancelación, Oposición y Portabilidad).
• Exige que el tratamiento de datos se base en principios de licitud, finalidad específica, proporcionalidad y transparencia.
• Crea la figura del Delegado de Protección de Datos (DPD) para organizaciones que procesan datos masivamente.
• Establece multas de hasta el 4% de la facturación anual global para infracciones graves.

Esta ley tiene una vacancia legal de 24 meses, por lo que su aplicación plena de sanciones comenzará en torno a 2026.

¿Cómo preparar tu empresa hoy?

No necesitas un departamento de seguridad de 20 personas para empezar. Estas son las acciones concretas que puedes tomar esta semana:

• Diagnóstico inicial: haz un gap analysis para identificar qué controles ya tienes y cuáles te faltan.
• Inventario de activos: lista tus servidores, bases de datos, aplicaciones y quién tiene acceso a cada uno.
• Backup 3-2-1: mantén 3 copias de tus datos, en 2 medios diferentes, con 1 fuera de sitio. Y prueba la restauración.
• Autenticación multifactor (MFA): activa MFA en todos los accesos críticos (email, servidores, nube, banca).
• Capacitación del equipo: el 80% de los incidentes comienza con un error humano. Entrena a tu equipo en phishing y buenas prácticas.
• Documenta todo: políticas, procedimientos, inventarios y planes de contingencia deben existir por escrito.

Recuerda: la ley no busca perfección técnica inalcanzable. Busca gestión activa y demostrable del riesgo.