Normativa CEN vs Ley de Ciberseguridad

Normativa CEN vs Ley de Ciberseguridad — KLG Technology

Industria Eléctrica · KLG Technology

Las empresas eléctricas coordinadas en Chile deben cumplir simultáneamente dos marcos normativos: el Estándar NERC-CIP del Coordinador Eléctrico Nacional (CEN) y la Ley 21.663 de Ciberseguridad. Aunque comparten objetivos, tienen reguladores, plazos, obligaciones y evidencias distintos. Entender cómo convergen es el primer paso para una estrategia de cumplimiento eficiente.

⚡ NERC-CIP · Estándar CEN

⚖ Ley 21.663 · OIV

🏛 CEN · SEC · ANCI · CSIRT

🛡 ISO/IEC 27001 Certificado

2

Marcos normativos convergentes para el sector

4

Reguladores distintos: CEN, SEC, ANCI, CSIRT

1 h

Plazo más crítico: notificación CEN/SEC

Los dos marcos en detalle

Estándar CEN y Ley 21.663: origen, alcance y reguladores

Antes de comparar, es necesario entender qué es cada marco, por qué existe y a quién aplica en el sector eléctrico chileno.

⚡

Estándar NERC-CIP del CEN

Critical Infrastructure Protection — Adoptado por el Coordinador Eléctrico Nacional por instrucción de la SEC

Sector Eléctrico Nacional

OrigenEstándar norteamericano NERC-CIP, adoptado por el CEN y la SEC como marco obligatorio para todas las Entidades Responsables del SEN

ReguladorCEN (coordinación) y SEC (fiscalización y sanciones)

Aplica aEntidades Responsables del SEN clasificadas según impacto de sus activos: Alto, Medio o Bajo

EnfoqueProtección de la infraestructura eléctrica crítica: ciber-activos OT/IT del sistema eléctrico

InformeAnual a la SEC durante el primer trimestre de cada año

RetenciónMínimo 3 años de evidencias y registros

⚖️

Ley 21.663 de Ciberseguridad

Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información de Chile

Todos los sectores · OIV prioritario

OrigenLey chilena que establece un marco nacional de ciberseguridad para organismos públicos y privados, con exigencias especiales para OIV

ReguladorANCI (Agencia Nacional de Ciberseguridad) y CSIRT Nacional (receptor de reportes)

Aplica aTodos los organismos públicos y privados afectos; empresas eléctricas son clasificadas como OIV

EnfoqueMarco nacional de ciberseguridad: SGSI, gobierno, incidentes y cumplimiento transversal por sector

DelegadoDelegado de Ciberseguridad obligatorio para OIV — puede ser externo

CertificaciónSGSI certificado bienalmente por entidad acreditada (ref. ISO/IEC 27001)

Comparativa estructurada

Dimensión por dimensión: en qué se parecen y en qué difieren

La siguiente tabla permite identificar dónde los marcos se superponen y dónde exigen acciones específicas y distintas de cada empresa coordinada.

Dimensión	⚡ Estándar CEN · NERC-CIP	⚖ Ley 21.663
Regulador principal	CEN (coordinación) + SEC (fiscalización y sanciones). La SEC puede multar directamente.	ANCI (Agencia Nacional de Ciberseguridad). CSIRT Nacional recibe los reportes de incidentes.
Clasificación de entidades	Por impacto de los ciber-activos en el SEN: Alto Medio Bajo según metodología CIP-002.	Operadores de Importancia Vital OIV y operadores de servicios esenciales. Las eléctricas son OIV.
Inventario de activos	Obligatorio. CIP-002: inventario y clasificación de todos los ciber-activos IT y OT del SEN.	Implícito en el SGSI (Art. 8° a). No detalla metodología específica de clasificación OT/IT.
Responsable designado	Encargado CIP: contraparte formal ante CEN y SEC. Notifica incidentes CIP reportables.	Delegado de Ciberseguridad (OIV): contraparte ante la ANCI. Puede ser externo. Obligatorio.
Reporte de incidentes	1 hora al CEN y SEC desde la detección. Carácter reservado. El plazo aplica a incidentes CIP reportables.	3 horas alerta CSIRT → 72 h intermedio → 15 días informe final. Aplica a incidentes significativos.
Sistema de gestión	No exige un SGSI formal certificado, pero los controles CIP-002 al CIP-014 equivalen a sus dominios.	SGSI obligatorio para OIV (Art. 8° a b). Evaluación continua de riesgos y certificación bienal.
Seguridad OT / ICS	Foco principal. CIP-005: perímetros electrónicos; CIP-007: sistemas de control industrial, SCADA, PLC, RTU.	No tiene requisitos específicos para OT. Aplica controles generales de ciberseguridad al entorno IT.
Cadena de suministro	CIP-013 exige plan de gestión de riesgos en proveedores que acceden a ciber-activos de alto impacto.	No tiene requisito específico, aunque la gestión de riesgos del SGSI lo abarca implícitamente.
Capacitación	CIP-004: formación obligatoria. El acceso a ciber-activos de alto impacto exige haber completado el programa.	Art. 8° h): medidas informativas permanentes. CEN además exige refuerzo al menos cada 15 meses (M-12).
Continuidad operacional	CIP-009: planes de recuperación para ciber-activos de alto y medio impacto. Pruebas documentadas.	Art. 7° / 8° c): medidas permanentes y planes de continuidad para OIV. Certificación ante ANCI.
Retención evidencias	Mínimo 3 años. Puede extenderse ante investigación de la SEC.	La ley no fija período explícito, pero la certificación bienal del SGSI exige evidencias de períodos anteriores.
Informe periódico	Anual a la SEC, primer trimestre. Incluye estado de cumplimiento de todos los controles CIP.	No exige informe periódico a la ANCI, pero la certificación bienal del SGSI funciona como revisión formal.

El momento crítico: el incidente

Un mismo incidente activa dos cadenas de notificación simultáneas

Cuando se produce un incidente de ciberseguridad en una empresa eléctrica coordinada, ambos marcos se activan en paralelo con plazos distintos y reguladores distintos. La coordinación entre el Encargado CIP y el Delegado de Ciberseguridad es crítica para cumplir ambas cadenas sin conflictos.

Estándar CEN · NERC-CIP

Cadena de notificación CIP reportable

1 h

Notificación al CEN y a la SEC desde que la organización toma conocimiento del incidente CIP reportable. El Encargado CIP es el responsable. Carácter reservado.

Registro

Documentación completa del incidente con marca temporal desde la detección. Los registros deben conservarse mínimo 3 años.

Anual

Informe de cumplimiento a la SEC durante el primer trimestre, incluyendo todos los incidentes gestionados durante el año.

Ley 21.663 · OIV

Cadena de notificación CSIRT

3 h

Alerta al CSIRT Nacional (Art. 9° a). El Delegado de Ciberseguridad es el responsable. Si el incidente involucra datos personales, también activa la Ley 21.719.

72 h

Informe intermedio al CSIRT (Art. 9° b): evaluación inicial con gravedad, impacto y vectores identificados. Solo para OIV.

15 d

Informe técnico final (Art. 9° c): causa probable, línea de tiempo, medidas adoptadas y repercusiones para terceros.

Dónde convergen

Seis obligaciones que ambos marcos comparten

Implementar estas obligaciones una sola vez, con evidencia que sirva simultáneamente a CEN/SEC y a la ANCI, es la clave de la eficiencia en el cumplimiento integrado.

📊

Gestión de riesgos

Ambos marcos exigen identificar, evaluar y tratar riesgos sobre sistemas y datos. La matriz de riesgos sirve como evidencia para el SGSI (Ley 21.663) y para los controles CIP-002 y CIP-003 (CEN).

CIP-002/003Art. 8° a) b)

🛠

Controles de seguridad

Las medidas técnicas de hardening, control de acceso, parchado y configuración segura cumplen simultáneamente los CIPs 007, 005 y 006 del CEN y las medidas permanentes del Art. 7° de la Ley 21.663.

CIP-005/007Art. 7°

⚡

Respuesta a incidentes

El plan de respuesta cubre ambas cadenas de notificación si incluye el protocolo dual: 1 hora al CEN/SEC y 3 horas al CSIRT. CIP-008 del CEN y Art. 9° de la Ley 21.663 se implementan juntos.

CIP-008Art. 9°

🎓

Capacitación del personal

El programa de formación con registros auditables satisface CIP-004 del CEN (acceso a ciber-activos de alto impacto) y el Art. 8° h) de la Ley 21.663 (medidas informativas permanentes).

CIP-004Art. 8° h)

💾

Continuidad y recuperación

Los planes BCP/DRP con pruebas documentadas satisfacen CIP-009 del CEN y las medidas de continuidad del Art. 7° y 8° c) de la Ley 21.663. Las pruebas son evidencia para ambos reguladores.

CIP-009Art. 7° / 8° c)

📋

Registro y trazabilidad

Los logs, actas y evidencias del SGSI sirven tanto para la auditoría anual de la SEC como para la certificación bienal exigida por la Ley 21.663. La retención mínima de 3 años del CEN es la referencia.

CEN 3 añosSGSI bienal

Dónde difieren

Obligaciones específicas de cada marco que no se superponen

Estas son las áreas donde cada marco exige acciones propias que el otro no cubre: aquí el cumplimiento integrado no es suficiente y se requieren esfuerzos adicionales específicos.

⚡ Solo en el Estándar CEN · NERC-CIP

Clasificación OT específica: Inventario y clasificación CIP-002 de ciber-activos OT (SCADA, PLC, RTU, HMI) por impacto en el SEN. La Ley 21.663 no distingue OT de IT.

Perímetros de seguridad electrónica (CIP-005): Definición formal de Electronic Security Perimeters (ESP) con controles de acceso electrónico. No existe en la Ley 21.663.

Seguridad física de subestaciones (CIP-006): Controles físicos formales en instalaciones eléctricas remotas con registro de acceso. La Ley 21.663 no lo detalla.

Riesgo en cadena de suministro (CIP-013): Plan formal de gestión de riesgo en proveedores de ciber-activos de alto y medio impacto. Exigencia exclusiva del estándar CEN.

Informe anual obligatorio a la SEC: Reporte formal durante el primer trimestre con estado de todos los controles CIP. La Ley 21.663 no exige informe periódico similar a la ANCI.

Plazo de notificación de 1 hora: Incidentes CIP reportables al CEN y SEC. Significativamente más estricto que el plazo de 3 horas de la Ley 21.663.

⚖️ Solo en la Ley 21.663

SGSI certificado bienalmente: Sistema de Gestión de Seguridad de la Información formal, con certificación cada dos años por entidad acreditada ante la ANCI. El CEN no exige certificación del SGSI.

Delegado de Ciberseguridad formal: Designación con notificación expresa a la ANCI. El Encargado CIP del CEN es un rol similar pero con una contraparte reguladora distinta (CEN/SEC, no ANCI).

Informe intermedio 72 horas (OIV): Actualización al CSIRT con evaluación inicial del incidente. El CEN no exige este plazo intermedio.

Informe final 15 días: Reporte técnico completo al CSIRT con causa raíz y lecciones aprendidas. El CEN no tiene este plazo específico.

Coordinación con Ley 21.719: Si el incidente involucra datos personales, la Ley 21.663 activa simultáneamente el protocolo de la Ley 21.719 hacia la APDP. El CEN no tiene esta dimensión.

Sanciones directas por infracción: Hasta 20.000 UTM por infracción gravísima, con responsabilidad personal de la alta dirección. Las sanciones del CEN se canalizan a través de la SEC.

Enfoque de implementación

Un solo proyecto integrado para dos marcos

Implementar ambos marcos por separado duplica el esfuerzo y genera documentación inconsistente. KLG los aborda como un proyecto único que genera evidencia compartida para CEN/SEC y para la ANCI.

Fase 1 · Brecha dual

Diagnóstico frente a ambos marcos

Assessment simultáneo frente al Estándar CEN (NERC-CIP) y la Ley 21.663. Mapa de brechas común, identificación de zonas de convergencia y obligaciones específicas de cada marco. Clasificación CIP-002 incluida.

→

Fase 2 · Controles base

Implementación de controles convergentes

Controles técnicos y organizacionales que cumplen ambos marcos simultáneamente: SGSI, gestión de riesgos, control de acceso, capacitación y continuidad. Evidencia generada una vez, válida para dos reguladores.

→

Fase 3 · Específicos

Obligaciones exclusivas de cada marco

Controles OT específicos del CEN (CIP-005, CIP-006, CIP-013), protocolo de notificación dual (1 h CEN/SEC + 3 h CSIRT), Encargado CIP y Delegado ANCI. Informe anual a la SEC.

→

Fase 4 · Continuo

Operación y cumplimiento continuo

SOC con protocolo de notificación dual activo, monitoreo OT, gestión de registros 3+ años, informe anual SEC (Q1) y certificación bienal del SGSI ante la ANCI.

Profundizar en el sector eléctrico

Recursos específicos para empresas eléctricas

Acceda a las páginas que desarrollan en profundidad las otras dimensiones de la ciberseguridad en el sector eléctrico chileno.

Visión general

Ciberseguridad para Empresas Eléctricas

Marco completo: NERC-CIP, 13 medidas mínimas del CEN, servicios y capacidades OT de KLG para el sector eléctrico.

→

Marco documental

Diseño de Políticas para Empresas Eléctricas

Cómo diseñar el marco normativo interno exigido por el CEN y la SEC: políticas, procedimientos, registros y evidencias.

→

Tecnología operacional

Ciberseguridad Industrial en Empresas Eléctricas

Arquitectura de seguridad OT/ICS: modelo Purdue, segmentación IT/OT, protección de SCADA, HMI, PLC y RTU.

→

Respaldo técnico y normativo

Certificados en ISO/IEC 27001. Especialistas en NERC-CIP y Ley 21.663.

KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet — la misma norma que el CEN y la ANCI reconocen como referencia para el SGSI. Nuestro equipo combina conocimiento profundo del Estándar CEN con experiencia en la Ley 21.663 y en ciberseguridad OT para el sector eléctrico.

ISO/IEC 27001

✓ Certificado · AENOR · IQNet

NERC-CIP

Estándar CEN aplicado

Ley 21.663

Cumplimiento OIV

IEC 62443

Seguridad OT/ICS

¿Por qué KLG Technology?

El único proveedor que integra ambos marcos en un solo proyecto

Implementar el CEN y la Ley 21.663 por separado duplica el costo y genera inconsistencias. KLG los aborda como un proyecto coordinado con evidencia compartida para todos los reguladores.

Conocimiento profundo del Estándar CEN

Experiencia en la implementación del estándar NERC-CIP del Coordinador Eléctrico Nacional: clasificación CIP-002, las 13 medidas mínimas urgentes, controles CIP y el proceso de informe anual a la SEC.

Dominio de la Ley 21.663 para el sector

Las empresas eléctricas son OIV. KLG conoce las obligaciones adicionales que esto implica: SGSI certificado bienalmente, Delegado de Ciberseguridad y los plazos de notificación al CSIRT Nacional.

Protocolo de notificación dual activo

El SOC de KLG tiene configurado el protocolo de notificación dual: 1 hora al CEN/SEC y 3 horas al CSIRT. Ambas cadenas se activan simultáneamente con los formatos correctos para cada regulador.

Encargado CIP y Delegado en un solo servicio

KLG puede ejercer simultáneamente el Encargado CIP (CEN/SEC) y el Delegado de Ciberseguridad (ANCI), eliminando la duplicación de estructuras y coordinando las dos cadenas de reporte desde un mismo equipo.

Evidencia compartida para dos reguladores

Los controles que convergen se documentan una sola vez, con evidencia que sirve simultáneamente para el informe anual a la SEC y la certificación bienal del SGSI ante la ANCI. Sin duplicación de trabajo.

Certificación ISO/IEC 27001

Nuestros procesos están auditados bajo ISO/IEC 27001, la norma que ambos marcos —CEN y ANCI— reconocen como referencia para el SGSI. La certificación de KLG es parte del entregable al cliente.

¿Su empresa eléctrica tiene claras las obligaciones de ambos marcos y puede demostrar su cumplimiento ante el CEN, la SEC y la ANCI?

KLG realiza un diagnóstico de brecha frente al Estándar CEN y la Ley 21.663 en un solo proceso, identificando las prioridades de acción para el cumplimiento integrado.

Solicitar diagnóstico dual →