Ley 21.663 Chile: Marco de Ciberseguridad e Infraestructuras Críticas

Guía definitiva sobre la Ley Marco de Ciberseguridad en Chile. Infraestructuras críticas, ANCI y obligaciones empresariales.

La Ley 21.663 establece el marco regulatorio para la ciberseguridad en Chile, creando el Sistema Nacional de Ciberseguridad y definiendo las infraestructuras críticas que requieren protección especial. Esta ley complementa la Ley 21.719 de protección de datos y establece obligaciones específicas para empresas que operan en sectores estratégicos.

¿Qué es la Ley 21.663 de Ciberseguridad en Chile?

La Ley 21.663, también conocida como Ley Marco de Ciberseguridad, establece el marco institucional y regulatorio para la ciberseguridad en Chile. Su objetivo principal es proteger las infraestructuras críticas del país contra ciberataques y amenazas digitales, asegurando la continuidad de servicios esenciales para la sociedad y la economía.

¿Quiénes son las Infraestructuras Críticas en Chile?

Las infraestructuras críticas son aquellos sistemas, redes y activos esenciales para el funcionamiento del país, cuya interrupción podría tener un impacto significativo en la seguridad nacional, la economía o la sociedad.

Sectores Declarados como Infraestructuras Críticas - Ley 21.663

La ley identifica los siguientes sectores como infraestructuras críticas:

  • Energía y Combustibles: Generación, transmisión y distribución de energía eléctrica
  • Transporte: Sistemas de transporte terrestre, aéreo, marítimo y ferroviario
  • Telecomunicaciones: Redes de comunicaciones y proveedores de servicios de internet
  • Salud: Hospitales, centros médicos y sistemas de salud pública
  • Servicios Financieros: Bancos, bolsas de valores y sistemas de pago
  • Agua y Saneamiento: Sistemas de suministro de agua potable y tratamiento
  • Gobierno: Sistemas críticos de administración pública
  • Otros sectores: Que puedan ser declarados por el Presidente de la República

Obligaciones de Operadores de Infraestructuras Críticas

Los operadores de infraestructuras críticas deben:

  • Implementar medidas de ciberseguridad proporcionales al riesgo
  • Reportar incidentes de ciberseguridad a la ANCI dentro de plazos establecidos
  • Realizar evaluaciones de vulnerabilidades periódicas
  • Implementar planes de respuesta a incidentes cibernéticos
  • Capacitar al personal en ciberseguridad
  • Coordinar con la ANCI en materia de ciberseguridad

¿Qué es la ANCI y sus Funciones en Ciberseguridad?

La Agencia Nacional de Ciberseguridad (ANCI) es el organismo público encargado de promover, coordinar y supervisar las políticas de ciberseguridad en Chile.

Rol de la Agencia Nacional de Ciberseguridad en Chile

La ANCI tiene las siguientes funciones principales:

  • Coordinación: Coordinar las acciones de ciberseguridad a nivel nacional
  • Supervisión: Fiscalizar el cumplimiento de las normas de ciberseguridad
  • Respuesta: Gestionar la respuesta a incidentes de ciberseguridad
  • Capacitación: Promover la formación en ciberseguridad
  • Investigación: Realizar estudios sobre amenazas y vulnerabilidades
  • Cooperación: Colaborar con organismos internacionales

Facultades de Fiscalización de la ANCI

La ANCI tiene facultades para:

  • Requerir información a operadores de infraestructuras críticas
  • Realizar inspecciones y auditorías de ciberseguridad
  • Imponer medidas correctivas en caso de incumplimiento
  • Coordinar ejercicios de ciberdefensa nacional
  • Declarar situaciones de ciberemergencia nacional

Obligaciones de Ciberseguridad para Empresas en Chile

Aunque la ley se centra en infraestructuras críticas, establece principios generales de ciberseguridad que aplican a todas las empresas chilenas.

¿Qué Empresas Deben Notificar Incidentes Cibernéticos?

La obligación de notificar incidentes aplica principalmente a:

  • Operadores de infraestructuras críticas: Deben notificar todos los incidentes que afecten la disponibilidad, integridad o confidencialidad de sus sistemas
  • Proveedores de servicios digitales: Empresas que ofrecen servicios en línea pueden tener obligaciones específicas
  • Empresas reguladas: Dependiendo del sector, pueden existir obligaciones adicionales

Plazos para Reportar Brechas de Seguridad - Ley 21.663

Los plazos para reportar incidentes son:

  • Incidentes críticos: Notificación inmediata (dentro de 24 horas)
  • Incidentes graves: Notificación dentro de 72 horas
  • Otros incidentes: Notificación dentro de 30 días

La notificación debe incluir detalles del incidente, impacto potencial y medidas tomadas para contenerlo.

Marco de Madurez en Ciberseguridad Chile

La ANCI ha definido niveles de madurez para evaluar la ciberseguridad de las organizaciones, desde básico hasta avanzado.

Niveles de Madurez en Ciberseguridad según ANCI

Los niveles de madurez son:

  1. Nivel 1 - Inicial: Prácticas ad hoc, sin procesos definidos
  2. Nivel 2 - Básico: Procesos reactivos, controles básicos implementados
  3. Nivel 3 - Intermedio: Procesos definidos, controles sistemáticos
  4. Nivel 4 - Avanzado: Procesos gestionados, enfoque proactivo
  5. Nivel 5 - Óptimo: Mejora continua, innovación en ciberseguridad

Cómo Evaluar el Nivel de Madurez Cibernética

La evaluación se realiza mediante:

  • Autoevaluaciones: Cuestionarios proporcionados por la ANCI
  • Auditorías externas: Realizadas por entidades certificadas
  • Evaluaciones de vulnerabilidades: Pruebas técnicas de seguridad
  • Análisis de incidentes: Revisión de respuesta a ciberataques

¿Necesitas Ayuda con la Ley 21.663?

Implementar las medidas de ciberseguridad requeridas por la Ley 21.663 puede ser complejo. En Data Shield ofrecemos servicios especializados de ciberseguridad, auditorías de vulnerabilidades y cumplimiento normativo para ayudarte a proteger tu infraestructura crítica y cumplir con las obligaciones legales.

Contáctanos para una evaluación de ciberseguridad gratuita.