Contego

Ley 21.663 · Ley Marco de Ciberseguridad

La Ley 21.663 establece el marco nacional de ciberseguridad en Chile. Su objetivo es mejorar la prevención, gestión y recuperación ante incidentes, reforzando la coordinación y la continuidad operacional, especialmente para entidades cuyo funcionamiento es crítico para la sociedad y la economía.

A quién aplica (en términos prácticos)

El alcance depende del tipo de entidad y del impacto que su operación tiene en la continuidad de servicios esenciales. La ley contempla obligaciones generales y un régimen reforzado para organizaciones calificadas como Operadores de Importancia Vital (OIV).

  • Entidades alcanzadas: deben implementar medidas de gestión de ciberseguridad y reportabilidad, según su categoría.
  • OIV: están sujetas a exigencias reforzadas y mayor nivel de evidencias, controles y tiempos de respuesta.

Qué busca asegurar

En la práctica, esta ley empuja a pasar de “proteger” a “operar con resiliencia”: prevenir, detectar, responder y recuperar con procedimientos claros y evidencias verificables.

  • Continuidad operacional y capacidad de recuperación ante eventos severos.
  • Respuesta coordinada y trazable, con comunicaciones y escalamiento definidos.
  • Gobierno de ciberseguridad: roles, responsables, políticas y controles medibles.

Gestión y reportes de incidentes

La exigencia principal no es solamente “avisar”, sino operar un proceso: detección, clasificación, contención, recuperación y reporte, con tiempos y responsables definidos. Para organizaciones críticas, la reportabilidad suele ser progresiva (alerta inicial, actualización y reporte final).

  • Definir qué es un incidente relevante para tu operación y cómo se clasifica (impacto, alcance, criticidad).
  • Mantener un registro de incidentes con línea de tiempo (qué pasó, cuándo, quién decidió, qué se ejecutó).
  • Asegurar comunicaciones internas y externas: quién informa, a quién, y con qué mensajes aprobados.

Obligaciones que requieren evidencia

En auditorías o revisiones, el punto crítico suele ser la evidencia: políticas, procedimientos ejecutados, reportes y resultados de pruebas.

  • Políticas y procedimientos de respuesta a incidentes, continuidad y comunicaciones.
  • Roles y responsabilidades (RACI), turnos de respuesta y escalamiento.
  • Pruebas de continuidad y ejercicios de respuesta con lecciones aprendidas.
  • Controles técnicos aplicados a sistemas críticos: acceso, monitoreo, respaldos, segmentación.
  • Gestión de terceros críticos: dependencias, acuerdos y medidas de continuidad.

Sanciones por no cumplimiento

El régimen sancionatorio se estructura por gravedad de la infracción (leves, graves y gravísimas). El monto final puede depender del tipo de entidad, reincidencia y el impacto generado.

  • Infracciones leves, graves y gravísimas, con multas crecientes.
  • Mayores exigencias para organizaciones clasificadas como OIV.

En implementación práctica, reducir riesgo sancionatorio se logra con evidencias: procesos definidos, pruebas, bitácoras y un plan de mejora continua.

¿Quieres un assessment con entregables verificables?

Diagnóstico de brechas, plan priorizado y evidencias listas para auditoría interna y gobernanza.

Ver asesoría Ley 21.663 Solicitar reunión