Desde el 1 de marzo de 2025, Chile ya no discute si tendrá un marco de ciberseguridad. Lo aplica. Ese día entraron en vigor los artículos 5, 8 y 9 y el Título VII de la Ley 21.663, la Ley Marco de Ciberseguridad, y con ellos el régimen sancionatorio y la obligación de reportar los incidentes significativos en tres horas. No noventa días, no una semana. Tres horas.
Ese número resume mejor que cualquier otro el cambio de lógica. La ley no pide solo proteger los sistemas, pide reaccionar y rendir cuentas en una ventana que se mide en horas. Y una decisión que se mide en horas no puede tomarse durante el incidente. Tiene que estar definida antes.
Este artículo no repite qué es la Ley 21.663 en sus términos generales. Se concentra en la capa operativa, la que separa dos figuras que la ley trata de forma distinta pero complementaria. Quien responde por el cumplimiento ante la autoridad, que es el directorio y la alta gerencia, y quien sostiene ese cumplimiento todos los días, que es el colaborador. Son dos roles, dos relojes y dos tipos de evidencia.
¿Qué introduce la Ley 21.663 y a quién aplica?
La ley crea la ANCI (Agencia Nacional de Ciberseguridad), la autoridad sectorial con potestades concretas. La ANCI dicta normativa técnica vinculante, supervisa a los sujetos regulados, conduce los procedimientos sancionatorios y califica a los Operadores de Importancia Vital mediante resolución fundada. Crea además el CSIRT Nacional, el organismo que recibe los reportes de incidente y coordina la respuesta.
El alcance se ordena en dos niveles. Los servicios esenciales cubren sectores estratégicos como energía, agua, telecomunicaciones, infraestructura digital, transporte, servicios financieros y salud. Los Operadores de Importancia Vital (OIV) son un subconjunto de esos servicios, seleccionado por la ANCI por su criticidad nacional, y sobre ellos recae el nivel de exigencia más alto.
La distinción no es burocrática. Determina cuántas medidas debe demostrar el sujeto y a qué umbral de sanción se expone. Saber en cuál de los dos niveles está una organización es la primera pregunta de cumplimiento, antes incluso de hablar de formación o de tecnología.
¿Qué exige la ley al directorio?
El artículo 8 enumera los deberes reforzados para los OIV, y son deberes de gobierno, no solo del área técnica. Implementar un sistema de gestión de seguridad de la información, desarrollar y certificar planes de continuidad operacional y de ciberseguridad, ejecutar auditorías y ejercicios periódicos, designar un delegado de ciberseguridad. Son obligaciones que requieren presupuesto, supervisión y una decisión que parte desde arriba.
A eso se suma el régimen sancionatorio, escalonado por gravedad y medido en UTM (Unidad Tributaria Mensual, la unidad de cuenta indexada que Chile usa para multas y tributos). Las infracciones leves llegan hasta 5.000 UTM, las graves hasta 10.000 UTM, las gravísimas hasta 20.000 UTM en el régimen general y hasta 40.000 UTM para los OIV. Traducido a consecuencias concretas, el incumplimiento deja de ser un riesgo reputacional abstracto y pasa a ser una partida cuantificable en el balance de riesgo.
Hay un tercer elemento que el directorio tiende a subestimar. La responsabilidad del cumplimiento no se delega por completo al área de TI. Recae sobre la alta dirección del sujeto, que debe aprobar las medidas y supervisar su implementación. Es el mismo desplazamiento de eje que la Directiva NIS2 introdujo en Europa con su artículo 20, y que obliga al programa de ciberseguridad a pasar de iniciativa técnica a responsabilidad estructural del órgano que decide.
Tres horas, y dónde empieza realmente el conteo
El artículo 9 establece un régimen de reporte escalonado hacia el CSIRT Nacional. Una alerta temprana dentro de las 3 horas desde que se toma conocimiento del incidente significativo, un reporte de actualización dentro de las 72 horas con la evaluación de gravedad, impacto e indicadores, y un informe final dentro de los 15 días con el análisis completo y las medidas correctivas aplicadas.
Lo delicado de este esquema no está en la tecnología, está en los minutos iniciales. Tres horas son un margen suficiente solo si la organización ya sabía que había un incidente en curso. Y en la mayoría de los casos, el primero en notar algo anómalo no es el SOC, es una persona cualquiera que recibe un mensaje extraño, ve un acceso que no cuadra o nota un comportamiento inusual en su propio sistema.
Acá se cruzan las dos figuras. El reloj formal de las 3 horas pertenece al directorio y al delegado de ciberseguridad, pero el reloj real empieza mucho antes, en el momento en que un colaborador decide si reporta o deja pasar. Si ese aviso interno es rápido, la ventana legal queda manejable. Si llega tarde, las tres horas se consumen antes de que el responsable sepa que tiene que contarlas.
¿Qué exige la ley al colaborador?
La Ley 21.663 no impone obligaciones directas al colaborador individual, y aun así no se puede cumplir sin él. Su cumplimiento depende de una cadena que arranca en la atención diaria de las personas y llega hasta la resolución de la ANCI.
El rol del colaborador se concentra en dos capacidades medibles. La primera es reconocer una señal anómala, desde el mensaje de phishing hasta el acceso sospechoso, con un nivel de atención que no se improvisa. La segunda es saber exactamente a quién y con qué urgencia reportarlo, porque un aviso interno rápido es el primer eslabón de la cadena de reporte que prevé la ley.
Este es el punto donde el cumplimiento normativo deja de ser un documento y pasa a ser comportamiento. Un colaborador que duda, que no sabe si vale la pena reportar o que no conoce el canal correcto, introduce una demora que ninguna tecnología recupera. Por eso la concienciación no es un complemento del programa de cumplimiento de la Ley 21.663. Es una de sus componentes operativas, en la misma línea que ya planteamos al analizar la Ley Marco de Chile y el nuevo rol de la concienciación.
¿Cómo se demuestra el cumplimiento ante la ANCI?
Entre el conocimiento declarado y el comportamiento efectivo hay una distancia que la auditoría mide sin concesiones. Afirmar que el personal “fue capacitado” no equivale a poder demostrar quién completó qué contenido, cuándo, con qué resultado y con qué refuerzo en el tiempo. La evidencia trazable es lo que convierte un programa de concienciación en un argumento de defensa ante la autoridad.
Sobre esto, SMARTFENSE estructuró su material formal de la Ley 21.663 siguiendo la misma división que la ley impone. Por un lado, una ruta ejecutiva para el directorio y la alta gerencia, que cubre ámbito de aplicación, deberes del artículo 8, régimen de reporte y cuadro de sanciones. Por otro, una ruta introductoria para el colaborador, que explica en lenguaje simple qué son la ANCI y el CSIRT Nacional, qué significa la ventana de 3 horas y por qué su atención diaria es parte del cumplimiento. A eso se suman evaluaciones y comunicaciones periódicas que dejan traza de cada interacción.
La idea de fondo es la misma que vale para el reporting al comité de dirección o para la protección de datos personales en sede regulatoria. El cumplimiento que no se puede demostrar con datos no existe a los ojos de quien lo verifica. Quien quiera ver cómo se articula un programa de este tipo puede explorarlo en la plataforma de SMARTFENSE.
El marco chileno ya es ley aplicada, con una autoridad operativa y un reloj que corre. El directorio sabe qué arriesga y el colaborador sabe qué observar. La pregunta que queda no es si la Ley 21.663 cambiará la forma de gestionar la ciberseguridad en Chile, sino si la organización podrá demostrarlo en las tres horas en que de verdad va a importar.
Deja una respuesta