El cumplimiento en ciberseguridad ya no es opcional.

Ley 21.663

Ámbito de aplicación: ¿Quiénes deben cumplir?

La Ley 21.663 establece una nueva estructura legal para fortalecer la ciberseguridad en Chile, y dentro de este marco introduce dos categorías clave: los Prestadores de Servicios Esenciales (PSE) y los Operadores de Importancia Vital (OIV). Los PSE son aquellas entidades, tanto públicas como privadas, que operan en sectores estratégicos para el funcionamiento del país. Entre estos sectores se incluyen la energía, los combustibles, el agua potable, las telecomunicaciones, el transporte, la salud, los servicios financieros, la tecnología de la información y los servicios postales. Son organizaciones cuya continuidad operativa resulta indispensable para mantener la estabilidad social, económica y funcional del país.

Dentro de los PSE, la ley distingue a un subconjunto más crítico: los Operadores de Importancia Vital (OIV). Se trata de entidades que, además de prestar servicios esenciales, gestionan sistemas cuya interrupción o alteración podría generar impactos graves en la seguridad nacional, el orden público, la salud de la población o la economía del país. La identificación formal de los OIV no es automática, sino que se realiza mediante resolución emitida por la Agencia Nacional de Ciberseguridad (ANCI), a partir de criterios técnicos que evalúan la criticidad de los activos tecnológicos y operativos de cada entidad.

¡Protege tu empresa cumpliendo con la Ley de Ciberseguridad 21.663!

Cumple con la Ley 21.663 y fortalece la seguridad digital de tu organización frente a las amenazas actuales. Estamos aquí para ayudarte a proteger lo que más importa.

Nueva institucionalidad y gobernanza

CSIRT Nacional: equipo especializado responsable de coordinar la respuesta ante incidentes de alta relevancia.

Agencia Nacional de Ciberseguridad (ANCI): autoridad técnica descentralizada con poder normativo, fiscalizador y sancionatorio; definirá estándares, certificaciones y clasificaciones de PSE/OIV.

La ley refuerza el ecosistema institucional en ciberseguridad:

Órganos de coordinación: Consejo Multisectorial, Comité Interministerial y CSIRT sectoriales, que facilitan una estrategia nacional alineada. Forma

Seguridad y privacidad por defecto y desde el diseño

Principios rector y obligaciones generales

Las entidades reguladas deben aplicar los siguientes principios:

Coordinación con autoridades, respuesta responsable, control de daños y racionalidad en las acciones

Deberes generales (PSE y OIV):

Reporte al CSIRT Nacional de incidentes con impacto significativo, en un plazo máximo de 3 horas desde su detección.

Adopción continua de medidas preventivas: cifrado, control de acceso, backup, 2FA, auditorías y capacitación.

Deberes específicos (OIV):

Implementación de un Sistema de Gestión de Seguridad de la Información (SGSI) según estándares internacionales.

Diseño e implementación de planes de continuidad operativa, resiliencia digital, así como simulacros y auditorías periódicas.

Obtención de certificaciones de ciberseguridad autorizadas por la ANCI.

Programas de formación y campañas de ciberhigiene para todo el personal

Requisitos específicos para OIV

Implementar un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con ISO/IEC 27001.

Contar con planes de continuidad operativa y resiliencia digital.

Realizar simulacros, auditorías y evaluaciones periódicas.

Obtener certificaciones oficiales definidas por la ANCI.

Capacitar a su personal y fomentar una cultura organizacional de ciberseguridad.

Beneficios de cumplir con la ley

Mayor resiliencia operativa y reducción de ciber-riesgos

Confianza de clientes, inversionistas y reguladores

Acceso a mercados internacionales con requisitos exigentes

Cumplimiento normativo que evita multas y sanciones

Mejora de reputación y consolidación de cultura de ciberseguridad

Nuestras Oficinas

Santiago

Centro El Alba, Camino El Alba 9500, Oficina 323, Torre BLas Condes, Santiago de Chile.