La Ley Marco de Ciberseguridad (Ley 21.663) se publicó en abril de 2024 y desde el 1 de marzo de 2025 ya tiene régimen sancionatorio activo. No es una ley que viene. Es una ley que está operando. Y la Agencia Nacional de Ciberseguridad (ANCI) ya tiene facultades para fiscalizar y multar.

Las multas van desde 1.000 UTM para infracciones leves hasta 40.000 UTM (~$2.560 millones de pesos) para infracciones gravísimas en Operadores de Importancia Vital. No es teoría: el régimen sancionatorio lleva operando desde marzo de 2025.

¿A quién le aplica esto realmente?

La ley no aplica igual a todos. Hay que entender tres categorías, porque la confusión aquí es cara.

Los Operadores de Importancia Vital (OIV) son el grupo con más obligaciones. La ANCI publicó en diciembre de 2025 la nómina final con 915 organizaciones: 413 empresas de servicios digitales, 147 eléctricas, 114 prestadores de salud, 34 bancarias y medios de pago, 29 de telecomunicaciones. Si tu empresa aparece ahí, ya sabes lo que te toca.

Pero hay un caso que muchas pymes ignoran: si eres proveedor TI de un OIV —y en Chile hay miles de empresas en esa situación— ese OIV te va a exigir que cumplas estándares equivalentes. El efecto cascada ya está ocurriendo en licitaciones y contratos.

¿Tu empresa es proveedor de servicios TI para hospitales, bancos, distribuidoras eléctricas o empresas de telecomunicaciones? Verifica si tu cliente está en la nómina de OIV. Si lo está, el estándar de ciberseguridad que te van a exigir sube considerablemente.

La obligación que más duele: 3 horas para reportar

El punto técnico más crítico de la ley es el sistema de notificación de incidentes. Y la mayoría de las empresas no está preparada para cumplirlo.

Cuando ocurre un incidente de ciberseguridad, el sistema de reporte al CSIRT Nacional tiene tres etapas:

  1. 3 horas desde que se conoce el incidente: alerta temprana al CSIRT Nacional.
  2. 72 horas desde la alerta: actualización con evaluación inicial, gravedad, impacto e indicadores de compromiso.
  3. 15 días corridos: informe final completo con el análisis y las medidas adoptadas.

Tres horas. Piénsalo bien. En muchas empresas, tres horas no alcanzan para que el problema llegue al gerente, mucho menos para tener un reporte estructurado listo para enviar a la ANCI. Eso implica que no basta con tener buena tecnología: necesitas un procedimiento documentado y gente que sepa ejecutarlo bajo presión.

Qué obligaciones concretas tienen los OIV

Si tu empresa califica como OIV, la ley es bastante exigente en lo técnico:

  • Implementar un Sistema de Gestión de Seguridad de la Información (SGSI), equivalente a ISO 27001.
  • Elaborar e implementar planes de continuidad operacional y de ciberseguridad.
  • Realizar ejercicios, simulacros y análisis periódicos de redes y sistemas (pentesting, red team).
  • Adoptar medidas para reducir el impacto de los incidentes en la cadena de suministro.
  • Obtener certificaciones de ciberseguridad reconocidas por la ANCI.
  • Designar un Delegado de Ciberseguridad ante la ANCI.
  • Informar al CSIRT Nacional sobre las medidas de seguridad implementadas.

Y si no soy OIV, ¿puedo relajarme?

No exactamente. La ley establece obligaciones generales para todos los prestadores de servicios esenciales, aunque no sean OIV: mantener medidas de seguridad continuas, llevar un registro de incidentes, reportar al CSIRT Nacional cuando corresponda y tener programas de capacitación en ciberseguridad para los trabajadores.

Además, aunque hoy no seas un prestador de servicios esenciales, la ley fija el estándar que el mercado chileno va a empezar a exigir. Los clientes corporativos ya están pidiendo evidencia de controles de seguridad antes de firmar contratos. Eso es un hecho.

Por dónde empezar si estás en terreno desconocido

Sin entrar en tecnicismos de consultoría, hay siete acciones concretas que toda empresa debería ejecutar ahora:

  1. Verificar si apareces en la nómina de OIV de la ANCI (Resolución Exenta N°87, diciembre 2025).
  2. Levantar un inventario de activos digitales críticos: sistemas, bases de datos, infraestructura de red.
  3. Documentar un procedimiento de respuesta a incidentes que permita cumplir el plazo de 3 horas.
  4. Implementar monitoreo básico de incidentes o contratar un servicio gestionado de ciberseguridad.
  5. Ejecutar un programa de capacitación para todos los empleados al menos una vez al año.
  6. Si eres proveedor de OIV, revisar tus contratos e iniciar la adecuación antes de que te la exijan.
  7. Iniciar el camino hacia ISO 27001 o un marco equivalente si operas en sectores regulados.

El primer paso real no es contratar tecnología cara: es documentar lo que tienes y lo que te falta. Un diagnóstico de brechas bien hecho te ahorra meses de trabajo desordenado.

La Ley 21.663 llegó para quedarse y el ritmo de fiscalización va a aumentar. Las empresas que empiecen ahora van a tener ventaja sobre las que esperen a que los problemas lleguen solos.