Normativa · Chile

El marco normativo chileno, resuelto.

Las Leyes 21.663 y 21.719 cambiaron las reglas del juego.

Aquí está lo que exigen, a quién aplican, los plazos que ya corren — y cómo dejamos a tu empresa en cumplimiento antes de que lo pida el regulador o lo aproveche un atacante.

Ver las leyes

/ 01 Las reglas del juego


Ley
21.663

Ley Marco de Ciberseguridad

Vigente. Crea la ANCI y fija obligaciones para los Operadores de Importancia Vital: sistema de gestión de seguridad, resiliencia operacional, simulacros y gestión de incidentes. Ante un incidente significativo, la alerta temprana a la ANCI debe salir en un máximo de 3 horas, con reportes de seguimiento en las horas y días siguientes. Las multas en los casos más graves pueden llegar a las 40.000 UTM para OIV.

Ley
21.719

Protección de Datos Personales

Rige desde diciembre de 2026. Moderniza el régimen de datos: nuevas bases de licitud, derechos reforzados, rol del DPO y una Agencia fiscalizadora con multas relevantes. Aplica a toda organización que trate datos de personas, sin importar el tamaño. La adecuación — inventario de datos, bases de licitud, gobierno interno — toma meses, no semanas.

Art.
15 bis

Responsabilidad de la cadena

La Ley 21.663 alcanza también a los proveedores de los OIV: los contratos deben trasladar exigencias de ciberseguridad mediante adendas y SLAs. Un incidente originado en un tercero puede acarrear responsabilidad solidaria — y para el proveedor, perder el contrato.

/ 02 Los plazos


La línea de tiempo que tu directorio debe conocer

El calendario normativo ya está en marcha. Cada hito acorta el margen para adecuarse.

  1. Abr 2024

    Se publica la Ley 21.663

    Chile estrena su Ley Marco de Ciberseguridad y crea la Agencia Nacional de Ciberseguridad (ANCI).

  2. 2025

    La ANCI entra en operación

    Comienza la calificación de Operadores de Importancia Vital y la dictación de reglamentos y protocolos.

  3. Hoy

    Obligaciones OIV vigentes

    Gestión de incidentes, resiliencia operacional y alerta temprana a la ANCI en un máximo de 3 horas. El que fue calificado, ya está dentro.

  4. Dic 2026

    Entra a regir la Ley 21.719

    Protección de datos personales exigible a toda organización. Quedan meses: la adecuación debería estar partiendo ahora.

/ 03 A quién aplica


¿Te alcanza a ti?

Spoiler: si operas un servicio esencial o le vendes a alguien que lo hace, sí. La pregunta correcta no es "si", sino "cuánto".

/ OIV

Operadores de Importancia Vital

Energía, telecomunicaciones, banca, salud, transporte, agua potable y otros sectores esenciales calificados por la ANCI.

  • Sistema de gestión de seguridad obligatorio
  • Alerta temprana ≤ 3 horas ante incidentes
  • Responsable formal frente al regulador
/ Proveedores

Proveedores y No-OIV

Cualquier empresa que preste servicios a un OIV, tenga acceso a sus sistemas o trate datos personales.

  • Adendas y SLAs con obligaciones de seguridad
  • Evidencia de madurez ante auditorías del cliente
  • Ley 21.719 aplica sin importar el tamaño

/ 04 Cómo lo resolvemos


Del diagnóstico al cumplimiento demostrable

Tres módulos cubren el frente normativo completo — y el CISO Office los orquesta si prefieres una sola suscripción.

01

Cyber Readiness Assessment

El punto de partida: brechas exactas frente a ambas leyes y roadmap priorizado con quick wins.

Ver servicio

02

OIV Shield

Resiliencia operacional exigible: BCP/DRP probados y mapeo de datos sensibles bajo la Ley 21.719.

Ver servicio

03

OIV Supply Chain Guard

La cadena bajo control: auditoría de proveedores críticos y adendas conforme al Art. 15 bis.

Ver servicio

/ 05 Da el primer paso


El regulador ya tiene calendario.
¿Y tu empresa?

Agenda tu diagnóstico: en 30 minutos sabrás exactamente dónde estás parado frente a las Leyes 21.663 y 21.719.

Hablar con un especialista