¿Qué es Ley Marco de Ciberseguridad (Ley N° 21.663).?
La Ley N° 21.663 es una normativa de vanguardia que crea un marco institucional robusto para la gobernanza de la seguridad informática en Chile. Su núcleo central es la creación de la Agencia Nacional de Ciberseguridad (ANIP), entidad con facultades normativas, fiscalizadoras y sancionatorias. La ley clasifica a ciertas organizaciones como Operadores de Importancia Vital (OIV) e Infraestructura Crítica de la Información, estatus que incluye directamente al sistema bancario, pasarelas de pago y a grandes proveedores de software de gestión financiera (ERP) que sostienen la economía. Estas entidades están obligadas legalmente a implementar sistemas de gestión de seguridad de la información, realizar auditorías continuas y, fundamentalmente, reportar cualquier incidente de ciberseguridad crítico a la ANIP en plazos que se miden en pocas horas. El incumplimiento de estas directrices, la ocultación de hackeos o la negligencia en el resguardo de las conexiones automatizadas conlleva multas millonarias y responsabilidades legales para directores y administradores de tecnología.
Ejemplo:
Un banco comercial actualiza sus políticas de cifrado perimetral para cumplir con los estándares técnicos mínimos dictados por la nueva agencia de ciberseguridad estatal.
Consejos de aplicación
Revisa los contratos de nivel de servicio (SLA) con tus proveedores de software de cobranza e integradores de API bancaria, asegurando cláusulas donde se obliguen mutuamente a notificar incidentes de seguridad de forma inmediata para dar cumplimiento a las exigencias de reporte de la ley.Diferencias relevantes
La Ley N° 21.663 se enfoca en la resiliencia operativa de los sistemas y la protección de la infraestructura tecnológica contra ciberataques generalizados, mientras que la Ley N° 19.628 se limita estrictamente a la privacidad, el consentimiento y el uso correcto de los datos de carácter personal.Normativas asociadas
Ley N° 21.663 (Ley Marco de Ciberseguridad): Es el cuerpo legal matriz que institucionaliza la seguridad informática en Chile. Establece los principios rectores de la ciberseguridad, define las obligaciones para los organismos del Estado y las empresas privadas catalogadas como "Servicios Esenciales" u "Operadores de Importancia Vital", y crea la arquitectura regulatoria para la prevención, contención y persecución de incidentes cibernéticos. Decreto con Fuerza de Ley que fija la estructura de la Agencia Nacional de Ciberseguridad (ANCI): Dictado en virtud de las facultades delegadas por la Ley N° 21.663, este reglamento define la organización interna, planta de personal y atribuciones fiscalizadoras de la ANCI. Regula cómo el Director Nacional ejercerá la potestad sancionatoria frente a las empresas negligentes y cómo coordinará el funcionamiento del CSIRT Nacional (Equipo de Respuesta a Incidentes de Seguridad Informática). Ley N° 21.459 (Ley de Delitos Informáticos): Actúa de forma complementaria en el plano penal. Sanciona penalmente las conductas que atentan contra la confidencialidad, integridad y disponibilidad de los sistemas informáticos y datos (como el acceso ilícito, interceptación indebida, ataque a la integridad del sistema y el fraude informático), tipificando los delitos que las medidas de seguridad de la Ley N° 21.663 buscan prevenir.Preguntas frecuentes
¿Qué rol cumple la ANIP bajo esta nueva Ley de Ciberseguridad?
La Agencia Nacional de Ciberseguridad (ANIP) es el órgano rector encargado de dictar las normas técnicas, supervisar el cumplimiento de las empresas obligadas, coordinar la respuesta ante ciberataques a nivel nacional y aplicar las multas en caso de infracciones.
¿Un software o ERP contable puede ser sancionado directamente por esta ley?
Sí, si la empresa proveedora del software o ERP es calificada por la autoridad como un Operador de Importancia Vital debido a la cantidad de datos financieros que maneja o las empresas estratégicas a las que presta servicios informáticos de integración.
¿Cuáles son los plazos legales para reportar un hackeo que afecte las integraciones de mi empresa?
Los plazos específicos quedan fijados por los reglamentos de la ANIP, pero la ley establece que todo incidente que altere significativamente el servicio o vulnere datos financieros debe ser reportado de la manera más expedita posible, habitualmente dentro de un margen máximo de 3 horas desde su confirmación.
Ver video demos