La transformación digital en Chile avanza con fuerza, pero también lo hacen las amenazas informáticas. En los últimos años, distintos sectores —salud, banca, retail, servicios públicos y pymes— han sido víctimas de incidentes que revelan vulnerabilidades críticas. Frente a este escenario, el Estado tomó una decisión histórica: crear un marco normativo obligatorio que regule la ciberseguridad a nivel nacional.
Ese marco es la Ley 21.663, conocida como Ley Marco de Ciberseguridad, publicada en 2024 y puesta en vigencia en 2025. La normativa cambia por completo la forma en que las organizaciones públicas y privadas deben proteger su información y gestionar incidentes tecnológicos. En este artículo te explicamos en detalle qué implica esta ley, cuándo comienza a aplicarse, qué empresas están obligadas a cumplirla y cuáles son las sanciones.
Publicado el 3 de Diciembre de 2025 por Proredes
¿Qué es la nueva Ley Marco de Ciberseguridad?
La Ley 21.663 establece la institucionalidad, responsabilidades y exigencias que deben cumplir entidades públicas y privadas para prevenir, detectar, reportar y responder a incidentes de ciberseguridad.
Su propósito principal es:
- Proteger la infraestructura digital del país.
- Establecer estándares mínimos de seguridad.
- Crear obligación legal de reportar incidentes significativos.
- Imponer multas a quienes incumplan medidas de seguridad.
- Crear organismos dedicados a supervisar y coordinar la respuesta a ciberataques.
Esta ley es la más importante en materia de ciberseguridad que ha existido en Chile y marca el camino hacia una normativa similar a la aplicada en Europa (NIS2) o Estados Unidos (CIRCIA).
¿Cuándo entra en vigencia la Ley?
La implementación ocurre por etapas:
1 de enero de 2025
- Entra en operación la Agencia Nacional de Ciberseguridad (ANCI).
- Se habilita el CSIRT Nacional bajo nueva estructura.
- Comienzan a regir las disposiciones generales.
1 de marzo de 2025
- Comienza la aplicación del régimen sancionatorio.
- Se activan las obligaciones para reportar incidentes.
- Los organismos deben iniciar procesos formales de cumplimiento.
Esto significa que cualquier empresa sujeta a la ley debe, desde 2025, empezar a implementar medidas técnicas, políticas, procesos internos y mecanismos de registro y auditoría.
¿A quién aplica la ley?
No todas las empresas están obligadas a cumplir íntegramente con la ley. El foco está en organizaciones que operan servicios críticos para el país. La norma define dos categorías principales:
Prestadores de Servicios Esenciales (PSE)
Corresponden a entidades que entregan servicios cuya interrupción afecta la vida diaria de la población. Algunos ejemplos:
- Empresas de electricidad, gas y energía.
- Empresas sanitarias (agua potable y alcantarillado).
- Servicios de telecomunicaciones e internet.
- Instituciones financieras y procesadores de pago.
- Operadores de transporte: aeropuertos, metro, ferrocarriles.
- Grandes infraestructuras de salud: clínicas, laboratorios centrales.
- Empresas tecnológicas que proveen plataformas críticas a terceros.
Estas empresas deben implementar medidas de seguridad robustas, controlar riesgos tecnológicos y reportar incidentes significativos.
Operadores de Importancia Vital (OIV)
Es la categoría más crítica. Un OIV es una organización cuya infraestructura, si falla, puede afectar de forma grave:
- La seguridad nacional.
- La economía del país.
- La continuidad de servicios vitales.
- La vida y salud de las personas.
Ejemplos comunes:
- Plantas generadoras eléctricas estratégicas.
- Centros de control del sistema eléctrico nacional.
- Backbone de fibra óptica, NAP e infraestructura troncal de telecomunicaciones.
- Plantas de tratamiento y distribución de agua potable.
- Oleoductos, poliductos y terminales de combustible.
- Sistemas nacionales de salud y registro clínico centralizado.
- Puertos y aeropuertos estratégicos.
- Sistemas de compensación financiera.
Los OIV deben adoptar estándares de seguridad aún más estrictos y están sujetos a las multas más altas.
Obligaciones principales para empresas sujetas a la ley
Las organizaciones clasificadas como PSE u OIV deberán:
1. Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)
- Con políticas formales, roles definidos, análisis de riesgos y controles.
2. Mantener capacitación continua en ciberseguridad
- Todo el personal debe recibir entrenamiento, especialmente quienes acceden a sistemas críticos.
3. Reportar incidentes al CSIRT Nacional
- Cualquier incidente que comprometa servicios esenciales debe ser informado en plazos cortos.
4. Designar un Delegado de Ciberseguridad
- Un responsable con competencias técnicas y autoridad para implementar la normativa.
5. Mantener registro de eventos, logs y auditorías
- La trazabilidad es una obligación legal.
6. Cumplir con instrucciones, alertas y lineamientos de la ANCI
- No seguir estas instrucciones puede escalar a infracción grave o gravísima.
7. Garantizar la continuidad operacional ante ciberataques
- Con planes de contingencia, respaldo, redundancia y pruebas regulares.
Régimen de multas: cuánto arriesgan las empresas
La ley establece tres niveles de infracciones, con multas que pueden llegar a cifras históricas para Chile.
Infracciones leves
- Hasta 5.000 UTM
- Para OIV: hasta 10.000 UTM
Ejemplos:
- No tener un programa de capacitación.
- No mantener registro de acciones de seguridad
Infracciones graves
- Hasta 10.000 UTM
- Para OIV: hasta 20.000 UTM
Ejemplos:
- No reportar incidentes al CSIRT.
- No implementar un SGSI conforme a estándares mínimos.
Infracciones gravísimas
- Hasta 20.000 UTM
- Para OIV: hasta 40.000 UTM
Ejemplos:
- Incumplir instrucciones de la ANCI durante una crisis crítica.
- No entregar información requerida durante un incidente.
Con el valor UTM cercano a $70.000 CLP, una multa gravísima podría superar fácilmente los $2.800 millones de pesos.
Qué significa esta ley para las empresas en Chile
Aunque no todas las empresas son PSE u OIV, la nueva ley producirá efectos en toda la industria:
1. Subirá el estándar mínimo de ciberseguridad en el país
Las organizaciones deberán fortalecer su infraestructura, procesos y cultura interna.
2. Se exigirá mayor madurez digital
Backups, monitoreo 24/7, gestión de vulnerabilidades, políticas claras y controles medibles.
3. Aumentará la demanda de servicios especializados
Auditorías, pentesting, compliance, monitoreo preventivo, respuesta a incidentes, consultoría SGSI, firewalling avanzado, etc.
4. Habrá más transparencia y control
Las empresas ya no podrán ocultar incidentes graves: deben reportarlos y activar protocolos.
5. Mejorará la resiliencia tecnológica del país
La ciudadanía estará más protegida frente a filtraciones masivas, interrupciones críticas o ataques de ransomware.
¿Afecta esta ley a las pymes?
Depende.
La mayoría de las pymes no son PSE ni OIV, por lo que no están obligadas directamente al cumplimiento completo.
Sin embargo:
- Si una pyme provee servicios a una empresa PSE, puede recibir exigencias contractuales.
- Si gestiona datos sensibles o infraestructura relevante, deberá aplicar controles mínimos.
- Si quiere trabajar con entidades reguladas, deberá acreditar niveles de seguridad.
Por lo tanto, aunque la ley no las incluya explícitamente, impacta indirectamente al ecosistema completo.
Importancia para profesionales y empresas TI
Para empresas tecnológicas —como integradores, consultoras, soporte TI, servicios gestionados o proveedores de infraestructura— la ley genera un nuevo panorama:
- Se exigirá más documentación técnica, trazabilidad y protocolos de respuesta.
- Los clientes pedirán asesorías relacionadas con ciberseguridad.
- Habrá oportunidades para ampliar servicios en monitoreo, mejoras de seguridad y continuidad operacional.
- Los proveedores serán evaluados como parte del riesgo digital de un PSE o un OIV.
Esto significa que el rol de soporte TI deja de ser solo técnico: pasa a ser estratégico y normativo.
Conclusiones: un antes y después para la ciberseguridad en Chile
a Ley Marco de Ciberseguridad representa un cambio profundo en la forma en que el país enfrenta amenazas digitales. Más allá de multas y obligaciones, la ley busca elevar la madurez tecnológica de Chile y fortalecer su resiliencia frente a ataques cada vez más complejos.
Aunque el perfil de empresas afectas a esta ley no coincide necesariamente con el cliente típico de ProRedes, el contenido informativo es de alto valor SEO y posiciona a la marca como referente en temas de TI y ciberseguridad.
Para quienes operan infraestructura crítica, trabajan con servicios esenciales o dependen de sistemas tecnológicos para su operación diaria, esta ley no es opcional: es una obligación inmediata.
Preguntas frecuentes sobre la Ley de Ciberseguridad en Chile (2024–2025)
¿Qué es la Ley de Ciberseguridad y por qué se creó en Chile?
Es una normativa que busca proteger la infraestructura digital del país, elevar los estándares de seguridad y obligar a empresas críticas a reportar y gestionar incidentes de ciberseguridad. Surge tras el aumento de ataques a organismos públicos y privados.
¿Cuándo entra completamente en vigencia la Ley de Ciberseguridad?
La ley comienza a aplicarse desde enero de 2025, pero las obligaciones operativas, sanciones y reportes al CSIRT Nacional se vuelven exigibles desde marzo de 2025.
¿Qué tipo de empresas están obligadas a cumplir esta ley?
Principalmente Prestadores de Servicios Esenciales (PSE) y Operadores de Importancia Vital (OIV), como energía, agua, telecomunicaciones, puertos, bancos, transporte, salud y proveedores tecnológicos de infraestructura crítica.
¿Qué pasa si una empresa no cumple las medidas de seguridad exigidas?
Pueden aplicarse multas que van desde 5.000 hasta 40.000 UTM según la gravedad de la infracción, además de sanciones adicionales y la obligación de corregir procesos internos.
¿Las pymes deben cumplir la Ley de Ciberseguridad?
La mayoría no entra en la categoría PSE u OIV, pero si prestan servicios a empresas críticas o manejan datos sensibles, sí deberán cumplir exigencias contractuales y técnicas.
¿Qué es un incidente de ciberseguridad según la ley?
Cualquier evento que comprometa la disponibilidad, integridad o confidencialidad de un sistema. Incluye ransomware, accesos no autorizados, fallas críticas o interrupciones significativas.
¿Qué debe reportarse al CSIRT Nacional?
Todos los incidentes que afecten la continuidad de un servicio esencial, provoquen interrupciones masivas o representen un riesgo sistémico para el país.
¿Qué obligaciones concretas deben cumplir los PSE y OIV?
Implementar un SGSI, registrar eventos, realizar análisis de riesgo, capacitar al personal, mantener continuidad operativa y seguir instrucciones de la Agencia Nacional de Ciberseguridad.
¿Qué diferencia existe entre un PSE y un OIV?
Los PSE entregan servicios esenciales a la población. Los OIV operan infraestructura crítica cuya falla puede afectar la seguridad nacional o la economía del país.
¿Cómo afecta esta ley a proveedores tecnológicos o empresas TI?
Deben mejorar sus controles, demostrar cumplimiento técnico, auditar infraestructura y fortalecer la continuidad operativa, sobre todo si trabajan con clientes clasificados como PSE u OIV.
¿Qué multas contempla la Ley de Ciberseguridad?
Infracciones leves: hasta 5.000 UTM. Graves: hasta 10.000 UTM. Gravísimas: hasta 20.000 UTM. Para los OIV, estos montos se duplican.
¿Es obligatorio tener un delegado de ciberseguridad?
Sí. Las empresas reguladas deben designar un responsable con competencias técnicas para gestionar cumplimiento, incidentes y reportes oficiales.
¿La ley exige auditorías o controles periódicos?
Sí. Los organismos críticos deben presentar auditorías, evidencias de cumplimiento, reportes y planes de mejora continua.
¿Qué pasa si un incidente se oculta o no se reporta?
Constituye infracción grave o gravísima, con multas millonarias y sanciones adicionales por obstaculizar la supervisión.
¿La Ley de Ciberseguridad protege datos personales?
Indirectamente sí, pero su foco principal es la continuidad, integridad y seguridad de los servicios esenciales. La protección de datos se regulará de forma adicional con la futura Ley de Datos Personales.
Glosario de términos sobre la Ley de Ciberseguridad en Chile
Agencia Nacional de Ciberseguridad (ANCI)
Organismo creado por la ley para supervisar, fiscalizar y coordinar la seguridad digital del país. Tiene facultades de instrucción y sanción.
CSIRT Nacional
Equipo encargado de recibir reportes, coordinar respuestas y analizar incidentes de ciberseguridad a nivel país.
Prestador de Servicios Esenciales (PSE)
Entidad que ofrece servicios esenciales para la población, como energía, agua, telecomunicaciones, banca o salud.
Operador de Importancia Vital (OIV)
Organización que opera infraestructura crítica, cuya falla puede afectar la seguridad nacional o la estabilidad económica.
SGSI (Sistema de Gestión de Seguridad de la Información)
Marco formal de políticas, controles y procesos para gestionar riesgos, vigilar sistemas y garantizar la seguridad digital.
Incidente de ciberseguridad
Evento que afecta la disponibilidad, integridad o confidencialidad de sistemas y datos. Incluye ataques, fallas técnicas y brechas.
Multas UTM
Sistema de sanciones económicas expresado en Unidades Tributarias Mensuales. Las multas pueden superar los miles de millones de pesos.
Continuidad operativa
Capacidad de mantener funciones críticas durante incidentes, ataques o fallas de infraestructura.
Delegado de ciberseguridad
Responsable técnico designado por la organización para implementar la ley, gestionar controles y reportar incidentes.
Análisis de riesgo
Proceso que identifica amenazas, vulnerabilidades e impactos, clave para priorizar medidas de seguridad.
Infraestructura crítica
Instalaciones o sistemas esenciales cuyo mal funcionamiento afecta la seguridad o continuidad del país.
Reporte obligatorio de incidentes
Obligación legal para que PSE y OIV informen incidentes relevantes al CSIRT Nacional en plazos definidos.
Auditoría de ciberseguridad
Evaluación técnica para revisar cumplimiento, evidencias, registros y controles exigidos por la ley.
Medidas mínimas de seguridad
Conjunto de controles técnicos, administrativos y operacionales obligatorios para entidades reguladas.
Resiliencia digital
Capacidad de una organización para resistir ataques, recuperarse rápidamente y mantener operaciones sin afectación grave.
