Ley Marco de Ciberseguridad Chile: qué es y a quién afecta

Información verificada · Actualizado 2026

La ley marco de ciberseguridad en Chile establece por primera vez un conjunto de obligaciones legales para proteger la infraestructura digital del país. Si tienes una empresa o trabajas en un sector regulado, esta ley te afecta directamente.

⚖️ Ley 21.663 🇨🇱 Vigente en Chile 🏢 Empresas reguladas 📋 Actualizado 2026

Chile promulgó en 2024 la Ley 21.663, conocida como la ley marco de ciberseguridad, con el objetivo de proteger las redes, sistemas y datos de los operadores que gestionan servicios esenciales para el país. Esta norma crea la Agencia Nacional de Ciberseguridad (ANCI) y establece un marco de obligaciones para los llamados operadores de importancia vital.

La ley no aplica de igual forma a todas las empresas. Se centra en los sectores que, si sufrieran un ciberataque, podrían generar un impacto grave en la sociedad: energía, agua, telecomunicaciones, salud, servicios financieros y transporte, entre otros. Si tu empresa opera en uno de estos sectores, probablemente tengas obligaciones concretas que cumplir.

En esta guía explicamos qué dice la ley, a quién afecta, qué debes implementar y cuáles son las consecuencias de no cumplir. Si tienes dudas sobre cómo aplica a tu caso, revisa nuestra guía sobre ethical hacking en Chile, que explica cómo las auditorías de seguridad ayudan a cumplir este tipo de normativas.

Sobre este artículo

HC
✍ Autor y editor

Equipo HackingChile

Especialistas en ciberseguridad y normativa digital en Chile. Contenido verificado con fuentes primarias y actualizado a junio de 2026.

¿Qué es la ley marco de ciberseguridad en Chile?

La Ley 21.663 es la primera norma chilena que establece un marco legal específico para la ciberseguridad a nivel nacional. Fue promulgada en enero de 2024 y entró en vigencia de forma progresiva durante ese mismo año.

Sus objetivos principales son tres. Primero, proteger las redes y sistemas de información de los servicios esenciales del país. Segundo, establecer un organismo público especializado — la Agencia Nacional de Ciberseguridad (ANCI) — con facultades para fiscalizar y sancionar. Tercero, definir obligaciones concretas para los operadores que gestionan infraestructura crítica.

La ley también crea el CSIRT Nacional (Computer Security Incident Response Team), encargado de coordinar la respuesta ante incidentes de ciberseguridad que afecten al país. Este organismo actúa como punto central de coordinación entre el sector público y privado ante ciberataques de gran escala.

Resumen clave

  • Nombre: Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información
  • Número: Ley 21.663
  • Promulgación: enero de 2024
  • Organismo regulador: Agencia Nacional de Ciberseguridad (ANCI)
  • Aplica a: operadores de importancia vital en sectores críticos
  • Sanciones: hasta 40.000 UTM para infracciones graves

¿A quién afecta la ley?

La ley distingue entre dos categorías de sujetos obligados: los operadores de importancia vital (OIV) y los organismos públicos. Los OIV son aquellas empresas o entidades cuya interrupción o compromiso causaría un impacto significativo en la sociedad, la economía o la seguridad nacional.

La ANCI es quien determina qué organizaciones califican como OIV mediante resolución fundada. Sin embargo, la ley señala los sectores que prioritariamente estarán bajo esta categoría:

Energía

Generación, transmisión y distribución eléctrica. Empresas de gas y combustibles.

🏥
Salud

Hospitales, clínicas y prestadores de salud que gestionen datos críticos de pacientes.

📡
Telecomunicaciones

Operadores de redes de comunicaciones e internet de escala nacional.

🏦
Servicios financieros

Bancos, compañías de seguros y entidades supervisadas por la CMF.

🚰
Agua y saneamiento

Empresas sanitarias y operadores de agua potable.

🚢
Transporte

Puertos, aeropuertos y operadores logísticos de escala nacional.

Si tu empresa no pertenece a ninguno de estos sectores, la ley también te aplica de forma indirecta: establece principios generales de ciberseguridad que toda organización que procese datos o preste servicios digitales debe considerar como buena práctica.

Obligaciones principales para los OIV

Los operadores de importancia vital deben cumplir con un conjunto de obligaciones concretas. Estas son las más relevantes:

1
Implementar un sistema de gestión de seguridad de la información

Deben contar con políticas, procedimientos y controles documentados para gestionar los riesgos de ciberseguridad de forma continua. Esto incluye un plan de respuesta ante incidentes.

2
Notificar incidentes de ciberseguridad

Ante cualquier incidente de ciberseguridad significativo, los OIV deben notificar al CSIRT Nacional en los plazos que establezca la ANCI. La notificación tardía o la omisión son infracciones sancionables.

3
Realizar auditorías y revisiones periódicas

Deben someter sus sistemas a revisiones regulares de seguridad, incluyendo pruebas de penetración o pentesting, para identificar vulnerabilidades antes de que sean explotadas por actores maliciosos.

4
Designar un responsable de ciberseguridad

Cada OIV debe designar a una persona responsable de coordinar las medidas de ciberseguridad dentro de la organización y ser el punto de contacto con la ANCI.

5
Mantener continuidad operacional

Deben contar con planes de continuidad del negocio que garanticen la prestación del servicio esencial ante un ciberataque o fallo de sistemas. Esto incluye copias de seguridad y planes de recuperación.

Sanciones por incumplimiento

La ley establece un régimen sancionatorio proporcional a la gravedad de la infracción. La ANCI es el organismo encargado de investigar, instruir y resolver los procedimientos sancionatorios.

Infracciones leves
Hasta 5.000 UTM

Incumplimientos menores de las obligaciones de reporte o de implementación de medidas básicas.

Infracciones graves
Hasta 10.000 UTM

Omisión de notificación de incidentes significativos o incumplimiento reiterado de obligaciones.

Infracciones gravísimas
Hasta 40.000 UTM

Infracciones que causen daño grave a la continuidad de servicios esenciales o a la seguridad nacional.

Una UTM equivale aproximadamente a $65.000 CLP (valor referencial 2026). Las multas más altas pueden superar los $2.600 millones de pesos chilenos.

¿Tu empresa necesita cumplir con la ley?

Te ayudamos a entender qué obligaciones aplican a tu caso y cómo abordarlas. Sin tecnicismos, sin compromiso.

Sin costo · Respuesta en 24h · Tu información es confidencial

Cómo prepararse para cumplir la ley

Si tu organización puede ser clasificada como OIV o quieres anticiparte al cumplimiento, estos son los pasos recomendados para abordar la adaptación de forma ordenada:

Primero, realiza un diagnóstico de tu situación actual. Antes de implementar medidas, necesitas saber en qué punto estás. Una auditoría de seguridad o un ejercicio de ethical hacking te permite identificar qué vulnerabilidades existen en tus sistemas y qué distancia hay entre tu nivel actual y lo que exige la ley.

Segundo, documenta tus políticas y procedimientos. La ley exige que las medidas de seguridad estén documentadas. No basta con tenerlas implementadas técnicamente — deben estar escritas, aprobadas y comunicadas dentro de la organización.

Tercero, designa un responsable interno. La persona responsable de ciberseguridad no necesita ser un experto técnico de alto nivel, pero sí debe tener autoridad para tomar decisiones y coordinar con la ANCI cuando sea necesario.

Cuarto, establece un protocolo de notificación de incidentes. El equipo debe saber exactamente qué hacer ante un ciberataque: a quién avisar internamente, en qué plazo notificar a la ANCI y cómo documentar el incidente. Improvisar en ese momento tiene un coste muy alto.

Preguntas frecuentes sobre la ley marco de ciberseguridad

Respuestas directas a las dudas más comunes sobre la Ley 21.663.

No de forma directa. Las obligaciones más exigentes aplican a los operadores de importancia vital (OIV), que son designados por la ANCI en sectores críticos. Sin embargo, la ley establece principios generales de ciberseguridad que cualquier organización que opere en Chile debería considerar como buena práctica.
La ANCI es el organismo público creado por la Ley 21.663 para regular, fiscalizar y sancionar en materia de ciberseguridad en Chile. También coordina al CSIRT Nacional y dicta las normas técnicas que deben cumplir los operadores regulados.
Es una empresa o entidad cuya interrupción o compromiso causaría un impacto significativo en servicios esenciales para la sociedad chilena. La ANCI los designa mediante resolución y les impone las obligaciones más exigentes de la ley.
Los OIV deben notificar al CSIRT Nacional en los plazos que establezca la ANCI mediante norma técnica. La notificación tardía o la omisión son infracciones que pueden acarrear sanciones. Se recomienda tener el protocolo de notificación definido antes de que ocurra un incidente.
Si tu empresa opera en sectores como energía, salud, telecomunicaciones, servicios financieros, agua o transporte, es probable que la ANCI te designe como OIV. La designación se hace por resolución fundada y el organismo te notificará directamente. Si tienes dudas, puedes consultar con un especialista en ciberseguridad para hacer un diagnóstico previo.
Son normas complementarias pero distintas. La ley marco de ciberseguridad se enfoca en proteger redes y sistemas de infraestructura crítica. La protección de datos personales en Chile está regulada por la Ley 19.628, actualmente en proceso de modernización. Ambas normas deben considerarse de forma conjunta en cualquier estrategia de cumplimiento.

¿Necesitas ayuda con el cumplimiento?

Cuéntanos tu caso y te orientamos sobre qué pasos dar. Sin costo y sin compromiso.

Sin costo · Respuesta en 24h · Tu información es confidencial