Romina Cáceres (Chile). Promulgada el 26 de marzo de 2024 y publicada en el Diario Oficial el 8 de abril de 2024, la Ley 21.663 establece un marco integral para institucionalizar, regular, y coordinar la ciberseguridad en Chile Su objetivo es proteger los activos informáticos, garantizar la continuidad de servicios críticos y salvaguardar la seguridad nacional y de las personas frente a amenazas digitales mediante controles estrictos.
Infraestructura institucional
La ley crea varios organismos clave:
- Agencia Nacional de Ciberseguridad (ANCI): entidad descentralizada, con funciones fiscales, normativas y sancionadoras
- Consejo Multisectorial y Comité Interministerial: articulan políticas y coordinación entre ministerios
- Red de Conectividad Segura del Estado: protege infraestructuras públicas
- CSIRT Nacional y sectoriales: gestionan respuesta a incidentes de seguridad informática
Ámbito de aplicación
Aplica a todos los servicios esenciales (estales y concesionados), como energía, telecomunicaciones, salud, transporte, agua, banca, entre otros. La ANCI también puede identificar otros sectores como críticos.
Obligaciones principales
- Gestión de riesgos y seguridad informática: estarán alineadas con estándares internacionales (ej. ISO/IEC 27001:2022); los “operadores de importancia vital” deben implementar sistemas formales de gestión.
- Notificación de incidentes: los eventos con impacto significativo deben informar al CSIRT en plazo de 3 horas desde su conocimiento.
- Auditorías y trazabilidad: realización obligatoria de auditorías de seguridad, certificaciones, registros y protocolos documentados .
Régimen sancionatorio
- Infracciones leves: multas hasta 5.000 UTM para servicios esenciales y 10.000 UTM para operadores críticos.
- Graves: hasta 10.000 UTM y 20.000 UTM, respectivamente.
- Gravísimas: multas de 20.000 UTM a 40.000 UTM, según el tipo de operador.
(Remisión de multas desde ~CLP 325 M a ~CLP 2.6 B según UTM vigente.)
Puesta en marcha
Tras su publicación en abril 2024, comenzó a regir el 1 de enero de 2025. Luego, se activaron obligaciones específicas, como la clasificación de los operadores vitales, nombramiento de delegados de ciberseguridad y reportes de incidentes. Para fines de 2025, todas las entidades deberán estar completamente alineadas con los estándares ANCI.
Relevancia para la “calidad”
La Ley 21.663 impulsa un enfoque de calidad digital:
- Introduce procesos sistemáticos de evaluación, monitoreo y mejora continua.
- Exige gobernanza formal y cultura organizacional orientada a la seguridad.
- Resalta la transparencia y rendición de cuentas frente a incidentes y fallos.
Este nuevo enfoque posiciona a Chile como referente regional, alineado con normas europeas y estándares internacionales.
Conclusión
La Ley Marco de Ciberseguridad 21.663 marca un antes y un después en la calidad de la gestión digital en Chile. No sólo fortalece la protección de infraestructuras críticas, sino que fomenta una cultura de gobierno, gestión de riesgo y mejora continua. Para las organizaciones, significa integrarse en un sistema de gestión de calidad digital robusto, donde la seguridad es medible, auditable y mejorable.
