Ley Marco de Ciberseguridad en Chile: qué obligaciones ya están vigentes en 2026

Diego Velázquez
5 Min de lectura
5 Min de lectura
Ley Marco de Ciberseguridad en Chile: qué obligaciones ya están vigentes en 2026Ley Marco de Ciberseguridad en Chile: qué obligaciones ya están vigentes en 2026

La Ley 21.663 avanza en su aplicación y ya define qué empresas deben reportar incidentes, nombrar responsables y adaptarse a un régimen de sanciones que ya está activo.

Chile enfrenta un aumento sostenido de ataques informáticos justo en el momento en que la Ley Marco de Ciberseguridad empieza a mostrar sus primeros efectos concretos sobre organismos públicos y empresas privadas. La norma, promulgada en abril de 2024, entró en vigor de forma progresiva a partir del 1 de marzo de 2025, y este año 2026 marca una etapa clave para su implementación completa.

Qué cambia con la nueva ley

La Ley 21.663 creó la Agencia Nacional de Ciberseguridad (ANCI), organismo encargado de fiscalizar, dictar normas técnicas obligatorias y aplicar sanciones a las entidades que caen bajo su alcance. Junto a ella opera el CSIRT Nacional, que coordina la respuesta ante incidentes que puedan afectar servicios esenciales como la banca, la energía, las telecomunicaciones o el transporte público.

Uno de los conceptos que más dudas genera entre las empresas es el de Operador de Importancia Vital, conocido por su sigla OIV. Se trata de organizaciones cuya interrupción podría generar un impacto grave en la seguridad nacional o en la continuidad de servicios críticos para la población. Según datos citados por InvestChile, de 1.712 instituciones evaluadas inicialmente, la ANCI declaró como OIV a 915, de las cuales 413 corresponden a proveedores de infraestructura digital y de servicios tecnológicos.

Por qué el momento es especialmente sensible

Este marco regulatorio llega justo cuando las amenazas digitales crecen con fuerza en el país. El Reporte de Ciberseguridad 2025 de Entel ubicó a Chile como el cuarto país más afectado por ransomware en la región, un dato que ayuda a explicar por qué el Estado decidió acelerar la fiscalización. A eso se suma otro problema estructural: estudios del propio CSIRT proyectan que la brecha de especialistas en ciberseguridad podría superar los 63 mil profesionales hacia 2026 si se mantiene el ritmo actual de digitalización, lo que complica la capacidad de respuesta de muchas organizaciones frente a ataques cada vez más sofisticados.

Qué deben hacer las empresas para cumplir

En la práctica, la ley impone plazos concretos para reportar incidentes: una alerta temprana dentro de las primeras horas y un informe completo dentro de los tres días siguientes al hallazgo del problema. Las organizaciones calificadas como OIV, además, deben designar formalmente un responsable de ciberseguridad, implementar sistemas de gestión basados en estándares internacionales reconocidos y mantener monitoreo continuo sobre sus plataformas digitales. Quien no cumpla se expone a multas que, en las infracciones más graves, pueden alcanzar montos elevados medidos en Unidades Tributarias Mensuales, según lo establecido en el propio texto legal.

Dos leyes que las empresas deberán cumplir al mismo tiempo

A este escenario se suma un desafío adicional: la Ley 21.719, de Protección de Datos Personales, entrará en vigencia en diciembre de 2026. Esto significa que muchas empresas chilenas tendrán que cumplir ambas normativas de manera simultánea, algo que exige planificación con anticipación en lugar de esperar a último momento. Por eso, distintos especialistas del sector recomiendan que las organizaciones empiecen a revisar sus procesos internos desde ahora, evaluando si califican como Prestador de Servicios Esenciales u Operador de Importancia Vital, para no verse sorprendidas cuando la fiscalización se intensifique en los próximos meses.

Quienes quieran revisar si su organización aparece en los listados oficiales pueden consultar el Diario Oficial o directamente el sitio de la ANCI, que mantiene actualizada la información sobre las entidades calificadas bajo la nueva normativa.

Fuentes consultadas: Agencia Nacional de Ciberseguridad (ANCI), Biblioteca del Congreso Nacional, InvestChile

Compartilhe esse artigo
Sin Comentarios

Agregar un comentario

Tu dirección de correo electrónico no será publicada. Los campos requeridos están marcados *