Ley 21.663
— ANCI
La Agencia Nacional de Ciberseguridad ya está operando. Las empresas de servicios esenciales e infraestructura crítica tienen obligaciones legales específicas — y el primer paso es determinar si su empresa está dentro del alcance.
¿A quién aplica la Ley 21.663?
La ley establece dos categorías de obligados. Determinar en cuál de ellas cae su empresa es el punto de partida — y es lo que hacemos en nuestro diagnóstico inicial gratuito.
Servicios Esenciales (PSE)
PSEEmpresas que prestan servicios de los cuales depende el funcionamiento continuo de actividades críticas para la sociedad o la economía.
Infraestructura de Importancia Vital (OIV)
OIVOperadores cuya afectación significativa puede tener un impacto grave en la prestación de servicios esenciales o en la seguridad nacional.
¿No está seguro si la ley le aplica?
La mayoría de las empresas no tienen claridad sobre su clasificación. ProCiber realiza la evaluación de alcance como primera parte del diagnóstico inicial.
Evaluar si me aplica →¿Por qué importa saber esto ahora?
Aunque su empresa no sea PSE u OIV, la Ley 21.663 establece estándares de ciberseguridad que se están convirtiendo en requisito de facto para proveedores de empresas reguladas, contratos públicos y licitaciones. Anticiparse hoy es una ventaja competitiva real.
¿Qué exige la ley concretamente?
Las Instrucciones Generales 1–4 de la ANCI establecen los mínimos exigibles. ProCiber traduce estas obligaciones en acciones concretas y documentación lista para presentar.
Mínimos Razonables de Seguridad
Instrucciones Generales 1–4La ANCI define los controles técnicos y organizacionales mínimos que toda empresa regulada debe implementar y mantener operativos.
- Inventario de activos críticos
- Política de control de acceso
- Gestión de vulnerabilidades activa
- Capacitación anual en ciberseguridad
- Respaldo y recuperación de datos
Responsable de Ciberseguridad
Artículo 31Las empresas reguladas deben designar formalmente un Responsable de Ciberseguridad que actúe como punto de contacto ante la ANCI y coordine la estrategia interna.
- Designación formal documentada
- Coordinación con ANCI y CSIRT
- Reporte trimestral al directorio
- Supervisión del plan de seguridad
- ProCiber puede asumir este rol (vCISO)
Plan de Continuidad y Recuperación
Artículo 8Toda empresa regulada debe contar con planes documentados de continuidad operacional y recuperación ante incidentes de ciberseguridad.
- Plan de Continuidad de Negocio (cyber)
- Plan de Recuperación ante Desastres
- Pruebas periódicas documentadas
- Protocolos de comunicación de crisis
- Roles y responsabilidades definidos
Los tres plazos que no puede perder
Ante un incidente de ciberseguridad significativo, la ley establece tres obligaciones de reporte escalonadas. El incumplimiento es sancionable.
Desde la detección del incidente, tiene 3 horas para notificar a la ANCI con la información disponible en ese momento.
- Notificación inicial al CSIRT Nacional
- Descripción preliminar del incidente
- Sistemas y servicios afectados
- Medidas de contención adoptadas
Dentro de las 72 horas siguientes, debe presentar un informe técnico detallado con el análisis del incidente.
- Cronología completa del incidente
- Causa raíz identificada
- Impacto en servicios y usuarios
- Plan de contención y recuperación
A los 15 días desde el incidente, se requiere el informe final con lecciones aprendidas y acciones correctivas implementadas.
- Análisis forense completo
- Lecciones aprendidas documentadas
- Medidas correctivas implementadas
- Plan de mejora de controles
La improvisación no es una opción
Cumplir estos plazos durante una crisis real requiere tener los protocolos diseñados y probados con anticipación. ProCiber diseña estos procedimientos y entrena a su equipo para que funcionen bajo presión real.
Del diagnóstico a la documentación lista
No entregamos informes genéricos. Cada proyecto de cumplimiento 21.663 produce documentación específica a su empresa, lista para presentar ante la ANCI sin modificaciones adicionales.
Opinión de Clasificación
Memo ejecutivo determinando si aplica PSE, OIV, o ninguna categoría — con argumentación legal.
Reporte de Madurez (14 Dominios)
Evaluación completa con heatmap visual y hoja de ruta de remediación priorizada por riesgo.
Biblioteca de Políticas ANCI
Todas las políticas y procedimientos obligatorios, personalizados para su empresa y sector.
Protocolos 3h / 72h / 15d
Procedimientos completos con roles asignados, plantillas de reporte y lista de contactos de emergencia.
Ejercicio de Simulación
Tabletop exercise para probar los procedimientos con su equipo antes de que ocurra un incidente real.
vCISO — Responsable de Ciberseguridad Externo
Si su empresa no tiene un profesional de seguridad interno, ProCiber puede asumir el rol de Responsable de Ciberseguridad como servicio externo — cumpliendo el requisito legal del Artículo 31 a una fracción del costo de una contratación directa.
- Designación formal ante la ANCI
- Revisión mensual de postura de seguridad
- Punto de contacto ante el CSIRT Nacional
- Reporte trimestral para el directorio
- Asesoría ante contingencias e incidentes
- Actualización ante nuevas instrucciones ANCI
¿Está su empresa preparada para la ANCI?
El primer paso es determinar qué obligaciones le aplican. Lo hacemos sin costo — con un diagnóstico ejecutivo entregado en 48 horas hábiles.