La ciberseguridad en Chile dejó de ser un tema voluntario o puramente técnico. Con la Ley 21.663, conocida como Ley Marco de Ciberseguridad, el país estableció una institucionalidad formal, definió obligaciones mínimas para ciertas entidades públicas y privadas, creó un sistema de supervisión y fijó deberes concretos para prevenir, contener, reportar y resolver incidentes.
Para muchas organizaciones, el desafío no está solo en entender la ley, sino en aplicarla sin frenar el negocio. Esa preocupación es válida. Cuando una empresa escucha palabras como fiscalización, estándares, CSIRT, planes de continuidad, reportes obligatorios y sanciones, es normal que imagine procesos más lentos, más controles y más complejidad administrativa. Sin embargo, el verdadero riesgo no es cumplir; el verdadero riesgo es improvisar el cumplimiento y convertirlo en una capa extra de desorden.
La buena noticia es que la propia ley ofrece una lógica razonable. Su enfoque no se limita a castigar, sino a ordenar capacidades mínimas según el tipo de organización, el nivel de exposición y el impacto potencial de un incidente. De hecho, la norma incorpora expresamente el principio de racionalidad y exige que las medidas sean necesarias y proporcionales al grado de exposición al riesgo y al eventual impacto social y económico.
Qué regula realmente la Ley 21.663
La ley tiene un propósito amplio. Su artículo 1 establece que busca estructurar, regular y coordinar las acciones de ciberseguridad, fijar requisitos mínimos para la prevención, contención, resolución y respuesta a incidentes, y definir atribuciones, deberes y mecanismos de control frente a infracciones.
Además, la norma crea la Agencia Nacional de Ciberseguridad, ANCI, como organismo técnico y especializado. Entre sus atribuciones están dictar protocolos y estándares, interpretar administrativamente la normativa, coordinar y supervisar al CSIRT Nacional, crear un Registro Nacional de Incidentes de Ciberseguridad y fiscalizar el cumplimiento de la ley y sus reglamentos.
Esto importa porque el cumplimiento no termina en el texto legal. La ley entrega a la ANCI facultades para emitir instrucciones obligatorias y estándares técnicos, por lo que las empresas sujetas a la norma deben prepararse para un marco vivo, en evolución, no para una checklist estática que se resuelve una vez y se olvida.
A quiénes aplica la ley
Uno de los primeros pasos para cumplir sin afectar la operación es entender si la empresa realmente está dentro del alcance y bajo qué categoría. El artículo 4 señala que la ley aplica a las instituciones que presten servicios calificados como esenciales y a aquellas que sean calificadas como operadores de importancia vital.
Entre los servicios esenciales, la norma incluye organismos de la Administración del Estado y también instituciones privadas que operan en sectores como electricidad, combustibles, agua potable y saneamiento, telecomunicaciones, infraestructura digital, servicios digitales, servicios de TI gestionados por terceros, transporte, banca, servicios financieros, medios de pago, salud, mensajería y producción o investigación farmacéutica. La ANCI, además, puede calificar otros servicios como esenciales mediante resolución fundada cuando su afectación pueda provocar daños graves a la población, la economía, el medioambiente, la seguridad o el funcionamiento de la sociedad.
Esto significa que muchas organizaciones que antes no se veían como “críticas” podrían quedar bajo exigencias formales si su servicio tiene alta dependencia digital o impacto sistémico. Por eso cumplir bien empieza por una evaluación jurídica y operativa seria del rol que tiene la empresa en la continuidad de servicios y cadenas de valor.
La clave es integrar cumplimiento y operación
El error más común sería tratar la ley como un proyecto paralelo manejado solo por el área legal o por el equipo de seguridad. Eso suele generar documentos sin aplicación real, procesos duplicados y controles desconectados del negocio. La ley exige medidas permanentes para prevenir, reportar y resolver incidentes, y esas medidas pueden ser tecnológicas, organizacionales, físicas o informativas.
En otras palabras, el cumplimiento no debería construirse al margen de la operación, sino dentro de ella. Si una empresa ya tiene gestión de continuidad, mesa de ayuda, administración de cambios, gestión de proveedores, inventario de activos o protocolos de crisis, lo más eficiente es aprovechar esas estructuras y alinearlas con la ley, en vez de crear mecanismos totalmente nuevos.
Esta aproximación reduce fricción. También ayuda a evitar un problema frecuente: que los equipos perciban la normativa como una imposición externa en lugar de verla como una forma de ordenar decisiones que igual deberían existir para proteger el negocio.
Qué obligaciones deben priorizarse primero
El artículo 7 establece deberes generales para las instituciones obligadas: aplicar de manera permanente medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Además, estas obligaciones deben implementarse considerando los protocolos y estándares que dicte la ANCI y, cuando corresponda, la regulación sectorial específica.
Para una empresa que quiere cumplir sin desestabilizarse, eso sugiere una secuencia práctica. Primero, identificar activos críticos y servicios esenciales del negocio; segundo, mapear riesgos y dependencias; tercero, revisar si existen controles reales de prevención, detección, respuesta y recuperación. Sin esa línea base, cualquier esfuerzo de cumplimiento será cosmético.
No todas las obligaciones tienen el mismo peso operativo al inicio. Lo más urgente suele ser lo que impacta directamente continuidad y exposición regulatoria: gobernanza, reporte de incidentes, continuidad operacional, inventario crítico, roles claros y evidencia documental mínima.
Los operadores de importancia vital tienen una carga mayor
Si una organización es calificada como operador de importancia vital, el nivel de exigencia aumenta. El artículo 8 obliga a estos operadores a implementar un sistema continuo de gestión de seguridad de la información, mantener un registro de las acciones ejecutadas dentro de ese sistema, elaborar e implementar planes de continuidad operacional y ciberseguridad, someter esos planes a revisiones periódicas y realizar ejercicios, simulacros y análisis continuos.
También deben adoptar medidas oportunas para reducir el impacto y la propagación de incidentes, contar con certificaciones según el artículo 28, informar a potenciales afectados cuando corresponda, tener programas de capacitación continua y designar un delegado de ciberseguridad como contraparte frente a la ANCI.
Esto puede parecer complejo, pero no necesariamente obliga a una transformación abrupta. La forma más inteligente de abordarlo es priorizar procesos con mayor retorno operativo: un sistema de gestión bien diseñado, simulacros útiles, continuidad probada y un delegado con autoridad real suelen ordenar mucho más que una colección dispersa de controles comprados por urgencia.
El deber de reportar exige preparación, no solo buena voluntad
Uno de los puntos más delicados para no afectar la operación es el reporte de incidentes. El artículo 9 obliga a reportar al CSIRT Nacional los ciberataques e incidentes que puedan tener efectos significativos. La alerta temprana debe enviarse dentro de un máximo de tres horas desde que se toma conocimiento; luego debe presentarse una actualización dentro de 72 horas, o dentro de 24 horas si se trata de un operador de importancia vital con afectación de servicios esenciales; finalmente, debe presentarse un informe final dentro de 15 días corridos desde la alerta temprana, o 15 días desde la gestión del incidente si este sigue en curso.
Esto cambia el estándar de respuesta. Muchas empresas todavía manejan incidentes de forma informal, confiando en que el equipo técnico resolverá primero y reportará después. Bajo esta ley, esa lógica puede fallar. Los plazos son lo bastante exigentes como para obligar a tener criterios previos sobre qué se reporta, quién decide, quién recopila evidencia y quién comunica con la autoridad.
La manera de cumplir sin afectar la operación es diseñar ese flujo antes del incidente. No se trata de llenar formularios en medio del caos, sino de tener playbooks simples, responsables definidos y datos mínimos listos para clasificación rápida. Cuando esa preparación existe, el reporte deja de ser una interrupción y se convierte en parte natural de la gestión de crisis.
Cómo evitar que el cumplimiento se vuelva burocracia
La ley exige permanencia, trazabilidad y coordinación, pero eso no significa que todo deba convertirse en un exceso documental. De hecho, una implementación sobredimensionada puede afectar más la operación que la amenaza regulatoria en sí.
La mejor estrategia es trabajar con el principio de evidencia útil. Eso implica documentar lo necesario para demostrar que la empresa conoce sus activos críticos, evalúa riesgos, tiene responsables, mantiene controles, ejecuta revisiones, prepara continuidad y puede reportar incidentes. No hace falta llenar la organización de políticas irrelevantes si nadie las conoce o aplica.
También conviene usar marcos que ya ordenan ese trabajo, como SGSI, gestión de continuidad o controles basados en riesgo, pero siempre adaptándolos al tamaño y a la complejidad de la empresa. La propia ley indica que la Agencia deberá establecer medidas diferenciadas según el tipo de organización, considerando especialmente las características y posibilidades de las pequeñas y medianas empresas.
El delegado de ciberseguridad no debe ser una figura decorativa
Entre las obligaciones para operadores de importancia vital está la designación de un delegado de ciberseguridad. Esta persona actúa como contraparte de la ANCI e informa a la autoridad superior o a la dirección ejecutiva correspondiente.
Ese rol es crítico para cumplir sin entorpecer el negocio. Si el delegado solo existe en el organigrama, sin acceso a la gerencia, sin capacidad de coordinación y sin visibilidad sobre operaciones, el cumplimiento se fragmenta. En cambio, cuando esa figura articula legal, TI, operaciones, continuidad, riesgo y comunicaciones, la empresa gana velocidad y coherencia.
No siempre se necesita crear un cargo nuevo. En algunas organizaciones, el rol puede recaer en un responsable existente con suficiente autoridad y apoyo transversal. Lo importante es que tenga mandato claro, tiempos definidos y capacidad real para escalar decisiones.
La continuidad operacional debe verse como inversión, no costo
La ley incorpora una visión moderna de resiliencia. Define resiliencia como la capacidad de las redes y sistemas para seguir operando tras un incidente, aunque sea en estado degradado o segmentado, y para recuperar sus funciones después. También exige, en ciertos casos, planes de continuidad operacional y ciberseguridad con revisiones periódicas.
Esta parte es clave para compatibilizar cumplimiento y operación. Una empresa que diseña continuidad solo para “aprobar la ley” perderá tiempo y dinero. En cambio, una que identifica procesos críticos, define prioridades de recuperación, ensaya escenarios y asegura respaldos realmente utilizables estará cumpliendo y, al mismo tiempo, protegiendo ingresos, clientes y reputación.
Por eso la continuidad no debe recaer solo en TI. Debe involucrar operaciones, finanzas, atención al cliente, proveedores, comunicaciones y dirección. La ley empuja precisamente en esa dirección: menos enfoque aislado en tecnología y más capacidad de sostener el servicio cuando algo falla.
Qué pasa si no se cumple
La ley contempla mecanismos de fiscalización y sanción. Según el texto legal, las infracciones pueden ser leves, graves o gravísimas, y las multas van entre 5.000 y 40.000 UTM según su gravedad. Además, la ANCI puede fiscalizar, instruir auditorías, requerir información, exigir pruebas sobre implementación de planes de continuidad y solicitar acceso a información necesaria para prevenir o gestionar incidentes, dentro del marco legal establecido.
Sin embargo, enfocar toda la conversación en la multa sería un error. El verdadero costo del incumplimiento suele aparecer antes: interrupciones operativas, fallas de coordinación, reportes tardíos, mala gestión de crisis y pérdida de confianza de clientes o contrapartes.
Cumplir, entonces, no es solo evitar sanciones. Es evitar que un incidente técnico se transforme en una crisis de negocio mal administrada.
Cómo cumplir sin frenar el negocio
La mejor hoja de ruta es gradual. Primero, determinar si la organización está dentro del alcance y con qué nivel de obligación. Segundo, crear un mapa de activos, procesos y dependencias críticas. Tercero, revisar el flujo de gestión de incidentes y adaptarlo a los plazos legales de reporte.
Cuarto, consolidar un modelo simple de gobernanza: responsable claro, comité funcional, criterios de escalamiento y evidencia mínima. Quinto, fortalecer continuidad con foco práctico, no solo documental. Sexto, capacitar a las áreas que realmente tomarán decisiones bajo presión, no solo al equipo técnico.
La Ley 21.663 no obliga a sacrificar agilidad; obliga a reemplazar la improvisación por disciplina. Las empresas que la implementen con enfoque de riesgo, prioridades operativas y gobernanza simple no solo podrán cumplir mejor, sino también operar con más estabilidad en un entorno donde la ciberseguridad ya es parte inseparable de la continuidad del negocio.