Ley 21.663

Inicio / Ciberseguridad / Ley 21.663
Cumplimiento Normativo

Ley 21.663
Ley Marco de
Ciberseguridad

La Ley Marco de Ciberseguridad está vigente desde enero de 2025. El régimen sancionatorio rige desde marzo de 2025. Nuestro equipo acompaña a empresas del sur de Chile en la evaluación, documentación y cumplimiento de sus obligaciones ante la ANCI.

Fechas clave
Ene 2025
Vigencia general de la ley y operación de la ANCI
Mar 2025
Obligación de reporte de incidentes y régimen sancionatorio activos
2025–26
Proceso de calificación de OIV en curso por la ANCI
Dic 2026
Vigencia plena Ley 21.719 de protección de datos personales
Abril 2024
Promulgación
La Ley 21.663 se publica en el Diario Oficial. Se crea la ANCI.
Enero 2025
Vigencia general
Entran en vigor las normas generales. La ANCI inicia operaciones.
Marzo 2025 — hoy
Régimen sancionatorio activo
Obligación de reporte de incidentes. Multas aplicables. Calificación de OIV en curso.
Diciembre 2026
Ley 21.719
Vigencia plena de la nueva ley de protección de datos personales.
Qué es la Ley 21.663

Chile tiene por primera vez una ley de ciberseguridad con dientes

La Ley 21.663, conocida como Ley Marco de Ciberseguridad, establece obligaciones concretas de gobernanza, gestión de riesgos y reporte de incidentes para organismos públicos y operadores privados de servicios esenciales. Crea la Agencia Nacional de Ciberseguridad (ANCI), con facultades de fiscalización y sanción equivalentes a las de la CMF en el sector financiero.

La ley diferencia entre dos categorías de obligados: los Prestadores de Servicios Esenciales (PSE), que deben cumplir obligaciones básicas de seguridad y reporte; y los Operadores de Importancia Vital (OIV), una subcategoría más exigente que la ANCI designa en procesos formales de calificación que están en curso durante 2025 y 2026.

Aunque la ley se dirige directamente a PSE y OIV, sus efectos se extienden a toda su cadena de proveedores. Si su empresa presta servicios a un organismo regulado, éste le exigirá estándares de seguridad verificables por vía contractual.

Obligaciones principales para PSE
Política de ciberseguridad
Documento formal aprobado por la dirección que define el marco de gestión de riesgos de la organización.
Delegado de Ciberseguridad
Persona designada formalmente como responsable ante la ANCI. Puede ser interno o externo a la organización.
Controles técnicos verificables
MFA, respaldo documentado, inventario de activos, gestión de parches y cifrado cuando corresponda.
Reporte de incidentes al CSIRT
Alerta temprana en 3 horas. Informe preliminar en 72 horas. Informe final en 15 días tras la contención.
Registro en plataforma ANCI
Inscripción en el portal oficial de la ANCI y designación de un Oficial de Reporte.
¿No sabe si su empresa está obligada?

Evaluamos su situación sin costo en una llamada de 20 minutos y le orientamos sobre su alcance real.

Consultar sin compromiso
¿A quién aplica?

Tres niveles de obligación según el tipo de organización

La ley no aplica igual a todos. Su posición depende del tipo de servicio que presta y de si la ANCI la ha designado formalmente.

Obligación directa máxima
Operadores de Importancia Vital (OIV)
Organizaciones cuya interrupción tendría consecuencias graves para el país. Designadas formalmente por la ANCI. Obligaciones reforzadas: SGSI certificado, auditorías periódicas, simulacros y monitoreo continuo.
  • Empresas energéticas, telco, banca
  • Infraestructura crítica nacional
  • Designación formal en proceso 2025–26
Obligación directa
Prestadores de Servicios Esenciales (PSE)
Organizaciones que proveen servicios cuya interrupción afecta significativamente a la población. Deben implementar controles básicos, designar delegado y reportar incidentes al CSIRT.
  • Salud, transporte, agua potable
  • Servicios financieros regulados
  • Municipios y organismos públicos
Obligación indirecta
Proveedores de PSE y OIV
Empresas que prestan servicios a entidades reguladas. Sin obligación legal directa, pero sus clientes les exigirán estándares mínimos de seguridad por vía contractual para mantener la relación comercial.
  • Proveedores TI de hospitales y municipios
  • Empresas de acuicultura que abastecen PSE
  • Servicios de logística y transporte
Cómo le ayudamos

De la evaluación a la evidencia documentada

Acompañamos a las empresas del sur de Chile en cada etapa del proceso de cumplimiento — desde entender si la ley les aplica hasta contar con la carpeta de evidencia lista para fiscalización.

Evaluación de brechas (Gap Assessment)
Análisis del estado actual de su organización frente a los requisitos de la Ley 21.663. Identifica qué controles ya cumple, cuáles faltan y cuáles requieren ajuste.
  • Determinación de alcance (PSE, OIV o proveedor)
  • Revisión de controles técnicos y organizacionales
  • Informe de brechas con prioridades claras
  • Plan de remediación con hitos y plazos
Documentación de políticas y controles
Elaboración de los documentos que la ANCI puede solicitar como evidencia de cumplimiento: políticas, procedimientos, actas y registros.
  • Política de ciberseguridad corporativa
  • Acta de designación del Delegado de Ciberseguridad
  • Registro de riesgos y matriz de control
  • Procedimiento de gestión y reporte de incidentes
Implementación de controles técnicos
Configuración de los controles técnicos que la ANCI considera evidencia mínima exigible, con registro fechado de cada acción ejecutada.
  • MFA para todos los accesos críticos
  • Sistema de respaldo documentado y probado
  • Inventario de activos actualizado
  • Gestión de parches con trazabilidad
Protocolo de respuesta a incidentes
Diseño e implementación del protocolo de notificación al CSIRT Nacional en los plazos que exige la ley: alerta de 3 horas e informe preliminar de 72 horas.
  • Plantillas de reporte al CSIRT Nacional
  • Flujo de escalamiento interno ante incidentes
  • Registro de incidentes y lecciones aprendidas
  • Simulacro de respuesta (tabletop exercise)
Evidencia y sanciones

Qué necesita tener listo si la ANCI fiscaliza

1
Acta de designación del Delegado
Documento firmado por la dirección que designa formalmente a la persona responsable de ciberseguridad ante la ANCI, con descripción de sus funciones y autoridad.
2
Registro de riesgos actualizado
Inventario de riesgos de ciberseguridad identificados, evaluados y con controles asignados. Debe mostrar fecha de última revisión y responsable.
3
Política de incidentes operativa
Procedimiento documentado que describe cómo la empresa detecta, clasifica, escala y reporta incidentes de ciberseguridad dentro de los plazos legales.
4
Controles técnicos con trazabilidad
Registros fechados que demuestren la operación de controles: logs de MFA, informes de respaldo, inventario de dispositivos, historial de parches aplicados.
5
Registro en plataforma ANCI
Inscripción completada en el portal oficial de la ANCI (portal.anci.gob.cl), con Oficial de Reporte designado y habilitado para notificar incidentes.
Régimen de sanciones — Ley 21.663
Infracción leve — PSE
Hasta 5.000 UTM
~$350M CLP
Infracción leve — OIV
Hasta 10.000 UTM
~$700M CLP
Infracción grave — PSE
Hasta 10.000 UTM
~$700M CLP
Infracción grave — OIV
Hasta 20.000 UTM
~$1.400M CLP
Infracción gravísima — PSE
Hasta 20.000 UTM
~$1.400M CLP
Infracción gravísima — OIV
Hasta 40.000 UTM
~$2.800M CLP
Valor UTM de referencia: ~$70.000 CLP (junio 2026). Las multas se aplican según los criterios definidos en el Título VII de la Ley 21.663. Las infracciones gravísimas incluyen no reportar incidentes deliberadamente o entregar información falsa a la ANCI.

¿Su empresa tiene la evidencia lista si la ANCI fiscaliza hoy?

La mayoría de las PYMES no. Nuestro equipo realiza una evaluación de brechas inicial y le muestra exactamente qué falta — sin costo, sin compromiso.

O escríbanos a contacto@prociber.cl

prociberlogo
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.

ProCiber

En linea

Hola! Dejenos su nombre y mensaje y le respondemos a la brevedad.
ahora

Mensaje recibido

Hemos recibido su consulta y le contactaremos a la brevedad. Haga clic en el boton de WhatsApp para continuar la conversacion.