Introducción: Un Cambio de Paradigma

La ciberseguridad ya no es opcional en Chile; es ley. La publicación de la Ley Marco de Ciberseguridad (Ley N° 21.663) y su reglamento inicial (Decreto Supremo N° 285) representa un cambio fundamental para todas las empresas del país. Lo que antes era una buena práctica, hoy es una obligación legal explícita, sujeta a supervisión estatal y a un régimen de sanciones significativo.

Para el directorio y la alta gerencia, esto significa que la ciberseguridad ha escalado de ser un tema técnico a una responsabilidad de negocio ineludible. Ignorar esta nueva normativa no es una opción.

Puntos Clave para el Directorio

Nueva Institucionalidad

Se crea la Agencia Nacional de Ciberseguridad (ANCI) como el ente rector, fiscalizador y sancionador.

Sujetos Obligados

La ley aplica directamente a 'Servicios Esenciales' (SE) y 'Operadores de Importancia Vital' (OIV), pero su alcance impacta a toda la cadena de suministro.

Deberes Fundamentales

  • Obligación de reportar incidentes en plazos estrictos (desde 3 horas)
  • Implementar sistemas de gestión (ej. ISO 27001)
  • Designar un responsable de ciberseguridad

Sanciones Severas

Las multas por incumplimiento pueden alcanzar las 40.000 UTM (casi USD 3 millones) para OIV, además de los riesgos reputacionales y de responsabilidad directiva.

La Nueva Institucionalidad: ANCI y Actores Clave

La ley de ciberseguridad establece una nueva arquitectura de gobernanza:

Agencia Nacional de Ciberseguridad (ANCI): Ente rector, fiscalizador y sancionador. Principal contraparte regulatoria.

CSIRT Nacional: Equipo técnico que coordina la respuesta a incidentes. Punto único de reporte para entidades reguladas.

¿A Quién Aplica la Ley?

1. Servicios Esenciales (SE)

Según el Artículo 4° de la ley, son entidades públicas y privadas que desarrollan actividades fundamentales para el país:

  • Energía: Generación, transmisión o distribución eléctrica
  • Agua: Suministro de agua potable o saneamiento
  • Telecomunicaciones
  • Infraestructura Digital: Data centers, cloud computing
  • Servicios de TI: Gestionados por terceros
  • Transporte e Infraestructura
  • Servicios Financieros: Banca y medios de pago
  • Seguridad Social: Administración de prestaciones
  • Logística: Servicios postales y de logística
  • Sector Público: Administración Pública, Poder Judicial y Congreso
  • Farmacéutica: Producción o investigación

2. Operadores de Importancia Vital (OIV)

Son Servicios Esenciales que la ANCI califica formalmente como 'de importancia vital' por su criticidad particular. Esta calificación implica obligaciones adicionales y más exigentes.

Advertencia Clave: Si su empresa es proveedora de un SE o un OIV, espere que le exijan por contrato el cumplimiento de estos mismos estándares.

Deberes Esenciales: Obligaciones para Toda Entidad Calificada

Deberes Generales (Art. 7)

Toda organización calificada como Servicio Esencial debe:

  1. Aplicar medidas técnicas y organizativas permanentes para gestionar riesgos
  2. Mantener capacidades para Prevenir, Reportar y Resolver incidentes
  3. Implementar protocolos y estándares dictados por la ANCI

Deber Específico de Reportar Incidentes (Art. 9)

Es obligatorio notificar al CSIRT Nacional todo incidente significativo:

  • Alerta Temprana: Dentro de las 3 horas siguientes al conocimiento
  • Informe de Actualización: Dentro de las 72 horas siguientes a la alerta
  • Informe Final: Dentro de los 15 días hábiles siguientes a la alerta

Exigencias Reforzadas: Obligaciones para OIV (Art. 8)

Si su empresa es calificada como OIV, debe satisfacer obligaciones más rigurosas:

1. Implementar SGSI

Sistema de Gestión de la Seguridad de la Información robusto y continuo, como el basado en ISO 27001.

2. Planes de Continuidad

Elaborar, implementar y certificar formalmente planes de continuidad y ciberseguridad.

3. Operaciones Continuas

Realizar ejercicios, revisiones y simulacros, comunicando resultados al CSIRT Nacional.

4. Medidas Inmediatas

Adoptar acciones rápidas para mitigar el impacto y propagación de incidentes.

5. Capacitación Continua

Implementar programas de formación y ciberhigiene para todo el personal.

6. Designar Delegado de Ciberseguridad

Nombrar formalmente un enlace técnico con la ANCI. Requiere perfil de ingeniero en ciberseguridad o experto en GRC.

Fiscalización y Régimen Sancionatorio

Facultades de la ANCI (Art. 11)

La ANCI puede:

  • Fiscalizar el cumplimiento de la ley
  • Instruir auditorías a las entidades obligadas
  • Requerir información detallada sobre operaciones
  • Acceder a instalaciones y sistemas

Sanciones (Art. 40)

Las sanciones son severas y proporcionales:

  • Infracciones Graves: Multas de hasta 20.000 UTM (cerca de USD 1,5 millones)
  • Infracciones Gravísimas: Multas de hasta 40.000 UTM (casi USD 3 millones)

La ANCI determinará la multa considerando:

  • Daño causado
  • Beneficio obtenido
  • Intencionalidad
  • Reincidencia

Pasos Inmediatos para el Cumplimiento

1. Acción Urgente: Inscribir Encargado de Ciberseguridad

Requisito obligatorio actual: Inscribir al 'Encargado' ante la ANCI según Instrucción General N° 1.

Requisitos del Encargado:

  • Formación o experiencia técnica en ciberseguridad
  • Capacidad de mantener relación técnica con CSIRT Nacional

Proceso de Inscripción:

  • Portal: portal.anci.gob.cl
  • Autenticación: Clave Única + segundo factor
  • Documentación: Nombramiento firmado con firma electrónica avanzada

2. Realizar Diagnóstico GAP

Evaluar estado actual versus requisitos de:

  • Sistemas de Gestión de Seguridad de la Información
  • Planes de continuidad
  • Protocolos de reporte

3. Definir Responsabilidades de Directorio

  • Designar comité o director responsable
  • Establecer supervisión de programa GRC
  • Crear esquema de reportes regulares

4. Desarrollar Hoja de Ruta de Cumplimiento

Priorizar acciones basadas en:

  • Clasificación de la organización (SE vs OIV)
  • Brechas identificadas en diagnóstico
  • Recursos disponibles y plazos regulatorios

Tecnología y Herramientas de Cumplimiento

Plataformas GRC Integradas

La complejidad de cumplir con múltiples obligaciones simultáneas hace esencial contar con soluciones tecnológicas especializadas:

  • Gestión de Cumplimiento: Seguimiento automatizado de obligaciones regulatorias
  • Monitoreo de Incidentes: Sistemas de detección y reporte en tiempo real
  • Gestión de Riesgos: Evaluación continua de vulnerabilidades
  • Documentación y Auditoría: Trazabilidad completa para fiscalizaciones

Canales de Denuncia y Transparencia

Un canal ético robusto es fundamental para:

  • Detección temprana de vulnerabilidades internas
  • Cumplimiento con principios de transparencia
  • Protección de denunciantes internos
  • Demostración de compromiso organizacional

Conclusión: Cumplimiento como Ventaja Competitiva

La ley marco de ciberseguridad representa tanto un desafío como una oportunidad para construir organizaciones más resilientes, seguras y confiables. El cumplimiento proactivo no solo mitiga riesgos regulatorios, sino que fortalece la confianza de stakeholders y la continuidad del negocio.

Las organizaciones que implementen marcos integrales de gestión de cumplimiento corporativo y soluciones GRC estarán mejor posicionadas para navegar este nuevo panorama regulatorio y convertir las obligaciones en ventajas competitivas.

Recomendación de Expertos

Para organizaciones que buscan asesoría especializada en la implementación de marcos de cumplimiento de ciberseguridad, recomendamos consultar con expertos en derecho corporativo y tecnología que puedan proporcionar una visión integral de los requisitos técnicos y legales.

El equipo de especialistas en ciberseguridad y derecho corporativo de Anguita Osorio ha desarrollado marcos especializados para ayudar a organizaciones a navegar esta nueva regulación, transformando el cumplimiento en una fortaleza estratégica del negocio.

Este artículo constituye información general y no reemplaza la asesoría legal personalizada. Para casos específicos, se recomienda consultar con especialistas en derecho de ciberseguridad y cumplimiento regulatorio.