Ley 21.663 de Ciberseguridad en Chile: ¿Qué es y cómo afecta a las empresas?

Chile ha dado un gran paso con la promulgación de la Ley N° 21.663, también conocida como Ley Marco de Ciberseguridad. Esta normativa, publicada el 8 de abril de 2024, busca estructurar y fortalecer la seguridad digital en el país, estableciendo obligaciones para empresas y organismos públicos. Uno de los aspectos clave de la ley es la creación de la Agencia Nacional de Ciberseguridad de Chile, junto con la regulación de infraestructuras críticas y la obligación de reportar incidentes al CSIRT Chile. A continuación, te explicamos de manera sencilla los puntos esenciales de esta ley, cómo afectará a tu empresa y qué pasos puedes seguir para estar preparado.

La Ley 21.663 tiene como propósito principal establecer un marco regulatorio claro para la ciberseguridad en Chile. Su objetivo es garantizar la protección de infraestructuras críticas de la información (ICI) y mejorar la capacidad de respuesta ante incidentes de ciberseguridad en empresas y entidades gubernamentales.

Entre sus puntos clave están:

• La creación de la Agencia Nacional de Ciberseguridad, encargada de supervisar, coordinar y fiscalizar el cumplimiento.
• Obligar a empresas estratégicas a informar incidentes al CSIRT Nacional de forma ágil y coordinada.
• Aplicar sanciones ante incumplimientos en materia de seguridad digital.
• Esta ley se alinea con estándares internacionales como ISO 27001 y marcos de referencia como NIST, obligando a empresas de sectores estratégicos a reforzar sus medidas de protección digital.

La Ley 21.663 en Chile impacta tanto al sector público como al sector privado. Las empresas que operan en infraestructuras críticas estarán obligadas a implementar medidas de ciberseguridad más estrictas.

Algunos sectores clave afectados por la ley incluyen:

• Banca y servicios financieros.
• Telecomunicaciones y tecnología.
• Energía y utilities.
• Salud y servicios sanitarios.
• Transporte y logística.

Las organizaciones en estos sectores deben cumplir con normativas de seguridad, reportar incidentes de ciberseguridad al CSIRT Chile y someterse a auditorías periódicas para evaluar el cumplimiento de la normativa.

Después de evaluar los riesgos, la norma propone diversas estrategias para tratarlos:

1. Evitar el riesgo: Dejar de realizar la actividad que genera el riesgo.
2. Reducir el riesgo: Implementar controles de seguridad para disminuir la probabilidad o impacto del riesgo.
3. Compartir el riesgo: Transferir parte del riesgo a un tercero, como mediante seguros o contratos con proveedores.
4. Aceptar el riesgo: En algunos casos, el costo de mitigar el riesgo es mayor que el impacto de su materialización, por lo que se decide aceptarlo.

Monitoreo y mejora continua como eje central

El ciclo de vida del riesgo no finaliza una vez que se ha tratado. La norma subraya la importancia de un monitoreo constante y una mejora continua para asegurar que los controles de seguridad sigan siendo efectivos frente a nuevas amenazas que puedan surgir.

Para ello, se recomienda:

•  Revisar los riesgos de manera periódica.
•  Evaluar el impacto de los cambios en el contexto organizacional.
•  Ajustar los controles según sea necesario para mantener la seguridad.

• Creación de la Agencia Nacional de Ciberseguridad

Este organismo será el encargado de supervisar, coordinar y fiscalizar el cumplimiento de la Ley de Ciberseguridad en Chile. Su función principal será garantizar la aplicación de buenas prácticas en seguridad digital en sectores críticos.

• Infraestructuras críticas de la información (ICI)

Se definen sectores estratégicos que deben implementar medidas de protección obligatorias, con controles de acceso, monitoreo de seguridad y planes de respuesta ante incidentes.

• Obligación de reportar Incidentes al CSIRT Chile

El CSIRT Nacional es la entidad encargada de recibir notificaciones sobre ciberataques e incidentes de seguridad. Empresas y organismos regulados deben reportar brechas de seguridad en un plazo determinado, asegurando una respuesta coordinada y eficaz.

• Evaluación de vulnerabilidades y seguridad mínima

Las organizaciones deberán realizar evaluaciones de vulnerabilidades en sus sistemas informáticos para detectar y mitigar riesgos antes de que se conviertan en incidentes graves.

• Régimen de fiscalización y sanciones

El incumplimiento de la ley puede derivar en multas y sanciones económicas, lo que hace que la implementación de estrategias de ciberseguridad sea una prioridad para las empresas.

4. Impacto de la Ley 21.663 en la Seguridad de las Empresas

La entrada en vigor de la Ley Marco de Ciberseguridad en Chile obliga a las empresas a evolucionar hacia una gestión integral y proactiva de la seguridad digital. Ya no basta con medidas aisladas o correctivas: es imprescindible establecer un sistema estructurado, auditable y alineado con estándares internacionales.

Medidas clave que exige la ley:

✅ Implantar un Sistema de Gestión de Seguridad de la Información (SGSI) basado en ISO 27001 para controlar, mantener y mejorar la seguridad de forma continua.

✅ Integrar la gestión de continuidad del negocio con planes BCP/DRP que aseguren la recuperación ante incidentes críticos.

✅ Capacitar continuamente al personal en ciberseguridad, generando cultura de seguridad y fortaleciendo el eslabón humano.

✅ Automatizar la gestión y el monitoreo de la ciberseguridad, permitiendo visibilidad en tiempo real y capacidad de respuesta inmediata.

Las empresas que apuesten por una plataforma GRC como GlobalSuite® podrán:

• Centralizar políticas, riesgos, controles y evidencias.
• Monitorizar el cumplimiento y generar reportes ante auditorías o requerimientos del CSIRT.
• Coordinar la gestión de incidentes con workflows automatizados y alertas.
• Fortalecer la resiliencia organizativa frente a amenazas crecientes.

Para garantizar el cumplimiento de la Ley 21.663, las organizaciones tendrán que adoptar un enfoque integral de ciberseguridad. Algunas estrategias clave incluyen:

• Implantar un Sistema de Gestión de Seguridad de la Información (SGSI): basado en ISO/IEC 27001, permite establecer políticas, roles, controles y planes de acción que garanticen la protección de la información y el cumplimiento normativo.
• Desarrollar un plan de continuidad operativa y recuperación ante incidentes (BCP/DRP): fundamental para asegurar la resiliencia del negocio ante ciberataques, caídas tecnológicas o interrupciones de servicio.
• Capacitación continua en ciberseguridad: los empleados deben conocer su papel en la protección de los activos digitales. La concienciación es una de las barreras más efectivas frente a amenazas internas y externas.
• Utilizar soluciones GRC para automatizar el cumplimiento: contar con una plataforma especializada como GlobalSuite® permite digitalizar controles, gestionar auditorías, centralizar evidencias, automatizar reportes al CSIRT Chile y mantener trazabilidad completa del cumplimiento.

La Ley 21.663 de Ciberseguridad en Chile marca un antes y un después en la protección de infraestructuras digitales. Empresas de sectores estratégicos deberán ajustar sus políticas y procesos, implementar evaluaciones de vulnerabilidades y garantizar la notificación de incidentes al CSIRT Chile.

El cumplimiento de esta normativa no solo evitará sanciones, sino que fortalecerá la seguridad digital en un entorno donde las amenazas cibernéticas son cada vez más sofisticadas.

¿Tu empresa está preparada para la Ley 21.663?

Como hemos visto la Ley 21.663 o Ley Marco de Ciberseguridad, establece nuevas obligaciones para empresas que operan en infraestructuras críticas de la información. Su incumplimiento puede traducirse en sanciones económicas, riesgos operativos y daños reputacionales.

GlobalSuite Solutions ofrece una plataforma GRC integral que simplifica y automatiza el cumplimiento de la Ley 21.663, optimizando la gestión de riesgos y la seguridad corporativa.

• Reduce costos operativos y evita sanciones con una gestión centralizada.
• Refuerza la seguridad de tus infraestructuras críticas con monitoreo en tiempo real.
• Asegura el cumplimiento normativo sin fricciones con auditorías automatizadas.

Convierte la ciberseguridad en una ventaja competitiva. Solicita una demo hoy.