X

Ley 21.663 para Hospitales y Clinicas

  Industrias / Salud / Ley 21.663 para Hospitales y Clinicas
Nav Sector Salud — KLG
🏥 Sector Salud — Navegar
📁 Ficha Clínica Ley 21.663 Salud 🔐 Datos de pacientes 💻 Sistemas clínicos 🚨 Ransomware
Ley 21.663 para Hospitales y Clínicas — KLG Technology
Industria Salud · KLG Technology

La Ley 21.663 reconoce explícitamente a hospitales, clínicas, consultorios y centros médicos como servicios esenciales. Esto los somete a obligaciones de ciberseguridad que no son optativas: medidas permanentes, notificación de incidentes en 3 horas y, si son calificados OIV, SGSI certificado y Delegado de Ciberseguridad. KLG implementa el cumplimiento completo para prestadores de salud.

🏥 Servicio esencial · Art. 4°
⚖ OIV · Obligaciones reforzadas
📡 CSIRT 3 horas · Art. 9°
🛡 ISO/IEC 27001 Certificado
3 h
Alerta al CSIRT ante incidente significativo
OIV
Clasificación de mayor criticidad para salud
20K UTM
Multa máx. infracción gravísima
Salud como servicio esencial

Qué significa para un hospital o clínica ser servicio esencial bajo la Ley 21.663

El Artículo 4° de la Ley 21.663 lista la prestación institucional de salud como servicio esencial, incluyendo hospitales, clínicas, consultorios, centros médicos y la producción farmacéutica. Esta clasificación no es voluntaria ni requiere trámite previo: si el prestador opera en alguna de estas categorías, está sujeto a las obligaciones de la ley desde su entrada en vigor.

Dentro de los servicios esenciales, la ANCI puede calificar a los prestadores de mayor criticidad como Operadores de Importancia Vital (OIV), imponiendo obligaciones adicionales: SGSI certificado bienalmente, Delegado de Ciberseguridad formal y planes de continuidad operacional probados y certificados.

  • Medidas permanentes de ciberseguridad: obligatorias para todo prestador desde la vigencia de la ley
  • Notificación de incidentes significativos al CSIRT en 3 horas desde la detección
  • Cooperación con la ANCI ante fiscalizaciones y requerimientos de información
  • Capacitación del personal: medidas informativas permanentes (Art. 8° h)
  • Para OIV: SGSI, Delegado de Ciberseguridad y certificación bienal adicionales
  • Un incidente que interrumpa la atención de salud es significativo por definición
Ley 21.663 · Obligaciones por nivel

Qué exige la ley según si el prestador es servicio esencial o OIV

⚖️
Todo prestador esencial — Art. 7°
Medidas permanentes (técnicas, organizacionales, físicas e informativas), reporte de incidentes en 3 horas y cooperación con la ANCI.
OIV — Art. 8° (obligaciones adicionales)
SGSI con evaluación continua de riesgos, Delegado de Ciberseguridad formal ante la ANCI, planes de continuidad certificados y auditoría bienal.
📡
Incidente significativo — Art. 9°
Alerta CSIRT 3 h → Informe intermedio 72 h → Informe final 15 días. En salud: cualquier interrupción de la atención o compromiso de datos de pacientes.
🔒
Coordinación con Ley 21.719
Si el incidente compromete datos de pacientes, el CSIRT (Ley 21.663) y la APDP (Ley 21.719) se notifican simultáneamente. Dos cadenas paralelas, un mismo evento.
Servicios de cumplimiento

Seis capacidades para el cumplimiento de la Ley 21.663 en salud

Cada servicio está adaptado a las particularidades del sector: sistemas clínicos críticos, datos de pacientes como dato sensible y la doble regulación Ley 21.663 + Ley 21.719.

📊
Diagnóstico OIV y brecha Ley 21.663
Evaluación de si el prestador será calificado OIV y brecha completa frente a las obligaciones del Art. 7° y Art. 8°, con plan de acción priorizado por riesgo e impacto.
  • Verificación de clasificación OIV potencial
  • Brecha frente a medidas permanentes Art. 7°
  • Brecha OIV frente a Art. 8° si aplica
  • Roadmap de cumplimiento con plazos
OIVArt. 7° y 8°
🛡
SGSI para prestadores OIV
Implementación del Sistema de Gestión de Seguridad de la Información exigido por el Art. 8° a) para OIV, alineado a ISO/IEC 27001 y certificable bienalmente ante la ANCI.
  • Políticas y procedimientos de seguridad
  • Gestión de riesgos con datos clínicos
  • Auditoría interna y certificación bienal
  • Evidencias para fiscalización ANCI
SGSIISO 27001
👤
Delegado de Ciberseguridad OIV
Designación formal del Delegado de Ciberseguridad exigido a los OIV, con notificación a la ANCI. KLG puede ejercer este rol mediante CISO as a Service para el sector salud.
  • Designación formal y notificación a la ANCI
  • Contraparte ante ANCI y CSIRT
  • Gestión de notificaciones de incidentes
  • Reporte periódico al directorio
Delegado OIVANCI
Protocolo de reporte de incidentes
Diseño e implementación del protocolo de notificación al CSIRT Nacional en 3 horas para incidentes significativos del sector salud, con plantillas y proceso coordinado con la Ley 21.719.
  • Clasificación de incidentes significativos
  • Protocolo 3 h CSIRT + 72 h APDP
  • Plantillas de informe para cada plazo
  • Ejercicios tabletop de simulación
3 h CSIRTArt. 9°
💾
Continuidad operacional clínica
Planes BCP/DRP adaptados al sector salud: la interrupción de la atención de pacientes no es solo un incidente tecnológico. Incluye pruebas documentadas y certificación ante la ANCI para OIV.
  • BCP/DRP con impacto clínico evaluado
  • Respaldo de HIS, EMR y sistemas críticos
  • Pruebas periódicas documentadas
  • Certificación ante ANCI (OIV)
BCPOIV cert.
🎓
Capacitación Art. 8° h) salud
Programa de concientización en ciberseguridad para personal clínico y administrativo, cumpliendo el Art. 8° h) de la Ley 21.663 con registros auditables ante la ANCI.
  • Formación por rol: clínico, TI, directivo
  • Simulaciones de phishing sectorial
  • Protocolo de reporte de incidentes
  • Registros auditables ANCI
Art. 8° h)Personal salud
Metodología

Del diagnóstico al cumplimiento operativo en cuatro fases

Fase 1
Diagnóstico y clasificación
Evaluación de si el prestador será OIV, brecha frente al Art. 7° y Art. 8°, inventario de sistemas y datos de pacientes. Inscripción en la plataforma ANCI según Instrucción General N°1.
Fase 2
Medidas permanentes
Implementación de controles técnicos, organizacionales y formativos del Art. 7°. Para OIV: SGSI, Delegado y planes de continuidad. Evidencia diseñada para la ANCI y la APDP simultáneamente.
Fase 3
Protocolo de incidentes
Activación del protocolo de notificación dual: CSIRT 3 h (Ley 21.663) y APDP 72 h (Ley 21.719). Ejercicios tabletop con equipos clínicos y de TI.
Fase 4
Cumplimiento continuo
SOC 24×7, gestión de registros, revisión anual del SGSI y certificación bienal ante la ANCI (OIV). Actualización ante nuevas instrucciones de la ANCI.
3 h
Plazo de alerta al CSIRT ante incidente significativo
20K UTM
Multa máxima por infracción gravísima
Bienal
Certificación del SGSI exigida a OIV del sector salud
Respaldo técnico
ISO/IEC 27001 certificado. SGSI auditable por la ANCI.
KLG Technology cuenta con certificación ISO/IEC 27001 acreditada por AENOR e IQNet. Esta certificación es la base del SGSI exigido a los OIV del sector salud y la evidencia de que los procesos de KLG cumplen los estándares internacionales reconocidos por la ANCI.
ISO/IEC 27001
✓ Certificado · AENOR · IQNet
Ley 21.663
Salud · Servicio esencial
NIST CSF
Marco de referencia ANCI
Ley 21.719
Datos sensibles de salud
¿Por qué KLG Technology?

Cumplimiento Ley 21.663 en salud integrado con la protección de datos

Conocimiento de la normativa sectorial
Ley 21.663, Ley 21.719, Ley 20.584 y Res. Ex. N°785 MINSAL. Los cuatro marcos del sector salud implementados como un proyecto coordinado.
Delegado OIV y DPO en un servicio
KLG puede ejercer simultáneamente el Delegado de Ciberseguridad (Ley 21.663) y el DPO (Ley 21.719) para el mismo prestador, coordinando ambas cadenas regulatorias.
Protocolo dual CSIRT + APDP
Un incidente en salud activa dos cadenas: CSIRT 3 h y APDP 72 h. El equipo de KLG gestiona ambas simultáneamente desde un solo punto de coordinación.
SGSI certificable ante la ANCI
El SGSI que KLG implementa está alineado a ISO 27001 y es directamente certificable ante la ANCI para cumplir la obligación bienal de los OIV del sector salud.
Continuidad de la atención clínica
Los planes BCP/DRP se diseñan con el impacto clínico como primera consideración: la interrupción de la atención de pacientes es la consecuencia más crítica de un incidente.
Registro auditado para la ANCI
Todos los controles implementados generan evidencia organizada para fiscalizaciones de la ANCI: políticas, registros de incidentes, capacitaciones y logs de acceso.
Sector salud · Más recursos

Páginas relacionadas

Visión general
Ciberseguridad para el Sector Salud
Marco completo: cuatro regulaciones del sector, amenazas específicas y servicios KLG.
Liderazgo
CISO as a Service
Delegado de Ciberseguridad OIV, gestión de incidentes y reporte al directorio.
Operaciones
SOC / MDR 24×7
Monitoreo continuo con protocolo de notificación al CSIRT en 3 horas para incidentes de salud.

¿Su prestador está inscrito en la plataforma ANCI y tiene implementadas las medidas permanentes del Art. 7°? ¿Sabe si será calificado OIV?

KLG diagnostica la clasificación y el nivel de cumplimiento de su prestador frente a la Ley 21.663 y define el plan de acción para los próximos 6 meses.

Solicitar diagnóstico →
Nav Sector Salud — KLG
🏥 Sector Salud — Navegar
📁 Ficha Clínica Ley 21.663 Salud 🔐 Datos de pacientes 💻 Sistemas clínicos 🚨 Ransomware


Proteja su Organización Hoy 

La ciberseguridad no es opcional. Es una obligación legal, una responsabilidad directiva y una ventaja competitiva.


CONTÁCTENOS AHORA

¿Por qué KLG TECHNOLOGY?
Certificación internacional ISO/IEC 27001
Experiencia en entornos regulados en Chile y LATAM
Enfoque práctico, orientado a resultados y cumplimiento real
Integración de ciberseguridad, protección de datos personales, operación TI y nube
Modelo flexible adaptado a empresas medianas y en crecimiento
 
ISO27001
SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
Acreditado por: 
AENOR Entidad Certificadora                 IQNET Entidad certificadora