Blog IT Cotizar
Inicio Blog Ciberseguridad
Ciberseguridad

Ley Marco de Ciberseguridad en Chile (Ley 21.663): qué deben saber las empresas en 2026

A
Equipo Adecua
2 de junio de 2026 7 min de lectura Ciberseguridad · Legislación

El 8 de marzo de 2024, Chile promulgó la Ley 21.663, conocida como la Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. Esta normativa representa un cambio significativo en cómo el Estado chileno aborda la seguridad digital y establece obligaciones concretas para organizaciones tanto públicas como privadas que operan infraestructura crítica. Si tu empresa opera en sectores como banca, salud, energía, telecomunicaciones, agua o transporte, esta ley te afecta directamente.

¿Qué es la Ley Marco de Ciberseguridad?

La Ley 21.663 crea el marco jurídico e institucional necesario para proteger la seguridad en el ciberespacio chileno. Establece principios, obligaciones y una nueva institucionalidad para gestionar los riesgos cibernéticos a nivel nacional.

Su principal objetivo es proteger la infraestructura crítica del país frente a ciberataques, minimizar el impacto de incidentes de seguridad y asegurar la continuidad de los servicios esenciales para la ciudadanía y la economía nacional.

Contexto regional

Chile se convierte así en uno de los primeros países de América Latina en contar con una ley específica y comprehensiva de ciberseguridad, alineándose con estándares internacionales como el marco NIST y la Directiva NIS2 de la Unión Europea.

La Agencia Nacional de Ciberseguridad (ANCI)

Uno de los hitos más importantes de esta ley es la creación de la Agencia Nacional de Ciberseguridad (ANCI), el organismo responsable de:

  • Coordinar la respuesta ante incidentes de ciberseguridad a nivel nacional.
  • Dictar normas técnicas y estándares de seguridad obligatorios.
  • Fiscalizar el cumplimiento de la ley por parte de los operadores de importancia vital.
  • Gestionar el Centro Nacional de Ciberseguridad (CNCS).
  • Aplicar sanciones ante incumplimientos.

La ANCI trabaja en coordinación con el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), que actúa como punto de recepción y análisis de reportes de incidentes.

¿Quiénes están obligados a cumplir la ley?

La ley distingue dos categorías principales de sujetos obligados:

1. Operadores de Importancia Vital (OIV)

Son aquellas organizaciones cuya interrupción o afectación tendría consecuencias graves para el funcionamiento del país. La ley identifica los siguientes sectores:

  • Energía (electricidad, gas, combustibles)
  • Telecomunicaciones y redes digitales
  • Agua potable y saneamiento
  • Banca y servicios financieros
  • Salud (hospitales, redes de atención)
  • Transporte y logística crítica
  • Infraestructura digital del Estado

2. Servicios esenciales

Son servicios cuya interrupción afecta significativamente el normal funcionamiento de la sociedad. Incluyen un espectro más amplio de organizaciones más allá de los OIV.

¿Cómo saber si tu empresa es OIV?

La ANCI publicará en su registro oficial la lista de organizaciones calificadas como OIV. Si operas en los sectores mencionados y tienes dudas, es recomendable consultar con un especialista antes de que se inicien los procesos de fiscalización.

Principales obligaciones para las empresas

Para los Operadores de Importancia Vital, la ley establece las siguientes obligaciones fundamentales:

1

Implementar medidas de seguridad continuas

Adoptar medidas tecnológicas y organizacionales para gestionar los riesgos de ciberseguridad, incluyendo controles de acceso, cifrado, gestión de parches y segmentación de redes.

2

Elaborar planes de continuidad operacional

Desarrollar y mantener actualizados planes de continuidad del negocio que contemplen escenarios de ciberataques y garanticen la recuperación de los servicios críticos.

3

Reportar incidentes de seguridad

Notificar al CSIRT Nacional dentro de los plazos establecidos (generalmente 24-72 horas) cualquier incidente de ciberseguridad significativo que afecte sus sistemas o servicios.

4

Realizar auditorías periódicas

Someterse a auditorías de seguridad realizadas por empresas certificadas, con una periodicidad que definirá la ANCI mediante normas técnicas.

5

Designar un responsable de ciberseguridad

Nombrar formalmente a un responsable o encargado de ciberseguridad dentro de la organización, con atribuciones claras y reporte directo a la alta dirección.

6

Gestión de la cadena de suministro

Extender los requisitos de seguridad a los proveedores y subcontratistas que tengan acceso a sus sistemas críticos o procesen datos sensibles.

Sanciones y régimen sancionatorio

La ley establece un sistema de sanciones gradual según la gravedad del incumplimiento:

Tipo de infracciónDescripciónSanción máxima
LeveIncumplimiento de obligaciones formales o de reporteHasta 5.000 UTM
GraveDeficiencias en medidas de seguridad que faciliten un incidenteHasta 10.000 UTM
GravísimaOcultamiento de incidentes o entorpecimiento de la fiscalizaciónHasta 20.000 UTM

Adicionalmente, la ley contempla la posibilidad de sancionar a los directores y ejecutivos principales de las organizaciones de forma personal, lo que eleva significativamente el nivel de responsabilidad corporativa.

Plazos de implementación

La ley entró en vigencia progresivamente. Los plazos clave a considerar en 2026 son:

  • ANCI operativa: La agencia inició sus operaciones durante el primer semestre de 2025.
  • Identificación de OIV: La ANCI publica y actualiza el registro de Operadores de Importancia Vital.
  • Normas técnicas: La ANCI emite instrucciones y normas técnicas sectoriales con plazos específicos de cumplimiento.
  • Fiscalización activa: Los procesos de fiscalización y auditoría comenzaron a operar desde 2026.
No esperes para actuar

Muchas organizaciones subestiman el tiempo que toma implementar controles de ciberseguridad adecuados. Un diagnóstico inicial, la elaboración de un plan de seguridad y la implementación de medidas técnicas pueden tomar varios meses. Iniciar cuanto antes reduce el riesgo de sanciones.

¿Cómo preparar tu empresa paso a paso?

Independientemente de si tu empresa es un OIV o no, adoptar buenas prácticas de ciberseguridad es una decisión estratégica que protege tu operación y tu reputación. Aquí te compartimos una hoja de ruta práctica:

  1. Diagnóstico inicial: Evalúa el estado actual de seguridad de tus sistemas, identifica activos críticos y mapea las vulnerabilidades existentes.
  2. Identificación de brechas: Compara tu estado actual con los requisitos de la ley y las mejores prácticas internacionales (ISO 27001, NIST CSF).
  3. Plan de remediación: Define prioridades, responsables, plazos y presupuesto para cerrar las brechas identificadas.
  4. Implementación de controles: Despliega las medidas técnicas y organizacionales necesarias: firewall, antivirus corporativo, gestión de identidades, MFA, cifrado, backups.
  5. Capacitación: Entrena a todo el personal en conciencia de ciberseguridad, con especial énfasis en phishing y contraseñas seguras.
  6. Pruebas y auditoría: Realiza pruebas de penetración y auditorías periódicas para validar la efectividad de los controles implementados.
  7. Plan de respuesta a incidentes: Documenta y practica el protocolo de acción ante un ciberataque, incluyendo los plazos de notificación a la ANCI.

Resumen clave para recordar

  • La Ley 21.663 crea la ANCI como organismo rector de la ciberseguridad en Chile.
  • Los Operadores de Importancia Vital tienen obligaciones específicas y sanciones mayores.
  • Las sanciones pueden alcanzar hasta 20.000 UTM y afectar a directivos personalmente.
  • La preparación temprana reduce el riesgo y el costo del cumplimiento.
  • Todas las empresas, aunque no sean OIV, deben adoptar buenas prácticas de seguridad.

Conclusión

La Ley Marco de Ciberseguridad marca un antes y un después en la forma en que Chile aborda la seguridad digital. Para las empresas, especialmente las que operan en sectores críticos, esta ley no es simplemente un trámite burocrático: es una oportunidad para fortalecer su postura de seguridad, proteger sus activos y ganarse la confianza de sus clientes y socios.

En Adecua, acompañamos a las empresas en su camino hacia el cumplimiento normativo. Desde el diagnóstico inicial hasta la implementación de controles técnicos y la elaboración de planes de respuesta a incidentes, nuestro equipo tiene la experiencia para ayudarte a cumplir con la ley sin que se convierta en una carga operativa.

¿Necesitas evaluar el nivel de cumplimiento de tu empresa?

Contáctanos para un diagnóstico inicial de ciberseguridad. Te ayudamos a identificar brechas y definir un plan de acción concreto.

Solicitar diagnóstico gratuito
Ley 21.663 Ciberseguridad ANCI Chile Legislación TI OIV Infraestructura Crítica
Compartir:
A
Equipo Adecua
Especialistas en Tecnología e Información

Adecua es una empresa chilena de servicios informáticos con experiencia en soporte IT, desarrollo web, ciberseguridad y asesoría tecnológica para empresas de distintos rubros.

Más artículos sobre ciberseguridad y normativa

Seguridad

5 buenas prácticas para proteger el correo corporativo

El phishing sigue siendo el ataque más común. Aprende a proteger tu organización con configuraciones efectivas.

Legislación TI

Ley de Protección de Datos Personales en Chile

Obligaciones, sanciones y cómo cumplir con la Ley 19.628 y sus modificaciones recientes.

Soporte IT

¿Por qué tu empresa necesita una mesa de ayuda IT?

Cómo un sistema de ticketing y SLA transforma la operación tecnológica de tu negocio.

© 2026 Adecua SpA · adecua.cl · nexusdesk.cl