X

Ley de Ciberseguridad en Chile

  Soluciones / Ciberseguridad / Ley de Ciberseguridad en Chile
Nav Ciberseguridad · Ley 21.663 — KLG
🛡 Ciberseguridad — Navegar
👤 CISO as a Service 🔒 DPO as a Service 🔍 Assessment 📡 Monitoreo · SOC Cumplimiento legal 🎓 Concientización 📋 GRC · ISO 27001 🛡 Ley 21.663 🔐 Ley 21.719
Ley de Ciberseguridad en Chile: nuevas obligaciones para las empresas y sus directorios

La Ley N° 21.663, Marco de Ciberseguridad, creó en Chile un nuevo marco regulatorio para la prevención, gestión, reporte y supervisión de incidentes de ciberseguridad. La norma establece una institucionalidad especializada, encabezada por la Agencia Nacional de Ciberseguridad (ANCI), y fija deberes para las entidades comprendidas en la ley, incluyendo prestadores de servicios esenciales y operadores de importancia vital. Entre sus exigencias se encuentran la adopción permanente de medidas de ciberseguridad, la gestión formal de incidentes y el cumplimiento de obligaciones de reporte ante la autoridad. contenido" en el menú de acción Editar (icono de lápiz).

 
Navegador Ley 21.663 — KLG Technology
⚖️
Ley N° 21.663 · Marco de Ciberseguridad
Obligaciones y exigencias para su organización
Navegue por cada uno de los temas que establece la ley
🛡️
Art. 7° · Deberes generales
Medidas permanentes de ciberseguridad
Prevenir, contener, resolver y responder incidentes de forma continua. Las medidas pueden ser tecnológicas, organizacionales, físicas e informativas.
Todas las entidades art. 4° 4 tipos de medidas Permanente
🧑‍💼
Art. 8° lit. i) · Solo OIV
Delegado de ciberseguridad (OIV)
Contraparte formal ante la ANCI. Informa a la alta dirección. Puede ser interno o externo. Obligatorio para Operadores de Importancia Vital.
Obligatorio OIV Interno o externo Contraparte ANCI
📡
Art. 9° · Deber de reportar
Reporte de incidentes significativos
Alerta al CSIRT Nacional en 3 horas. Actualización en 72 h (24 h para OIV). Informe final en 15 días. Plan de acción OIV en 7 días.
3 h · Alerta temprana 72 h · Actualización 15 días · Informe
📋
Art. 8° lits. a) y b) · Solo OIV
Sistema de gestión de seguridad (SGSI)
SGSI continuo para evaluar riesgos sobre redes, sistemas y datos. Registro auditado de todas las acciones. Certificación bienal obligatoria (art. 28).
Continuo y certificable Registro auditado ISO 27001
🎓
Art. 8° lit. h) · Solo OIV
Cultura y capacitación en ciberseguridad
Programas de capacitación, formación y educación continua para trabajadores y colaboradores. Incluye campañas de ciberhigiene documentadas.
Trabajadores y colaboradores Ciberhigiene Educación continua



Un cambio clave: la ciberseguridad ya no es solo un tema TI
La ley elevó la ciberseguridad desde un ámbito puramente técnico a una materia de gobierno corporativo, continuidad operacional y cumplimiento regulatorio. Aunque la norma impone deberes directamente a las instituciones obligadas y, en ciertos casos, exige designaciones y reportes formales, su cumplimiento efectivo requiere decisión, supervisión y respaldo desde la alta administración. En otras palabras, hoy los directorios no pueden tratar la ciberseguridad como un asunto delegado únicamente al área de tecnología.

¿Qué exige hoy la ley?
La Ley 21.663 exige a las entidades alcanzadas aplicar de manera permanente medidas para prevenir, contener, resolver y responder a incidentes de ciberseguridad. Además, para los sujetos obligados, contempla deberes de reporte de incidentes significativos, y para los operadores de importancia vital suma obligaciones específicas como la designación de un delegado de ciberseguridad como contraparte ante la autoridad. El reglamento de reporte de incidentes, vigente desde 2025, desarrolló estas exigencias y formalizó el esquema de notificación al CSIRT Nacional.

Responsabilidades actuales de los directorios

Aunque la ley no convierte al directorio en un área técnica, sí hace evidente que la responsabilidad de supervisar la exposición digital de la empresa ya es parte de sus deberes de dirección. En términos prácticos, hoy un directorio debe:

1. Incorporar la ciberseguridad a la gobernanza de la empresa

El directorio debe asegurar que la organización trate la ciberseguridad como un riesgo estratégico, al mismo nivel que los riesgos operacionales, legales, financieros y reputacionales. La ley exige medidas permanentes y mecanismos de respuesta, lo que supone supervisión institucional real y no solo acciones aisladas de TI.

2. Exigir gestión formal de riesgos y controles

La empresa debe contar con medidas tecnológicas, organizacionales, físicas e informativas para prevenir y manejar incidentes. Esto implica que el directorio debe exigir una estructura de control, políticas, procedimientos y seguimiento, no solo herramientas tecnológicas.

3. Asegurar roles, responsables y capacidad de respuesta

Para ciertas entidades, la ley exige designaciones formales, como el delegado de ciberseguridad para operadores de importancia vital. Aun cuando una empresa no esté formalmente calificada como OIV, la exigencia regulatoria muestra con claridad que la autoridad espera responsables definidos, trazabilidad y capacidad de interlocución formal frente a incidentes.

4. Supervisar el cumplimiento de las obligaciones de reporte

La normativa exige reportar determinados incidentes de ciberseguridad y el reglamento de 2025 precisó el mecanismo y plazos de notificación. Esto obliga al directorio a asegurarse de que existan protocolos internos de escalamiento, criterios de clasificación y capacidad de reacción oportuna. No reportar correctamente puede transformarse en un riesgo regulatorio adicional para la organización.

5. Respaldar inversiones y decisiones de resiliencia

La ley impone deberes permanentes, no medidas cosméticas. Por eso, los directorios deben aprobar recursos, prioridades y planes que permitan sostener controles, monitoreo, continuidad operacional, respuesta a incidentes y mejora continua. Sin apoyo presupuestario y ejecutivo, el cumplimiento se vuelve inviable. Esta es una inferencia práctica derivada de las obligaciones permanentes que la ley impone a las instituciones alcanzadas.


¿Por qué esto importa para las empresas?
Porque la ley no solo busca reaccionar frente a ataques; busca que las organizaciones demuestren una capacidad formal y continua de gestión de ciberseguridad. Eso significa que ya no basta con tener firewall, antivirus o un proveedor de soporte. Hoy se requiere gobernanza, documentación, responsables, protocolos, trazabilidad y alineamiento con la regulación. En ese contexto, muchas empresas necesitan apoyo externo para estructurar correctamente su modelo de cumplimiento y reducir su exposición legal y operativa.

Cómo apoya KLG Technology
En KLG Technology ayudamos a las empresas a transformar esta obligación legal en un modelo práctico de gestión. Acompañamos a nuestros clientes en diagnóstico de brechas, definición de controles, implementación de procesos, apoyo al directorio y alta administración, preparación para incidentes, y construcción de una postura de ciberseguridad alineada con buenas prácticas internacionales como ISO/IEC 27001. Así, la organización no solo mejora su seguridad, sino que también fortalece su cumplimiento y su capacidad de responder ante la autoridad y frente al negocio.

Documentos
Nav Ciberseguridad · Ley 21.663 — KLG
🛡 Ciberseguridad — Navegar
👤 CISO as a Service 🔒 DPO as a Service 🔍 Assessment 📡 Monitoreo · SOC Cumplimiento legal 🎓 Concientización 📋 GRC · ISO 27001 🛡 Ley 21.663 🔐 Ley 21.719


Gobierno y responsabilidad corporativa 


La ciberseguridad pasa a ser un tema de directorio, exigiendo supervisión activa, gestión de riesgos y cumplimiento normativo continuo en toda la organización.

Las empresas deben implementar controles, monitoreo y respuesta a incidentes, asegurando la continuidad operativa y el cumplimiento de la obligación de reporte ante incidentes relevantes.


CONTÁCTENOS AHORA

¿Por qué KLG TECHNOLOGY?
Certificación y enfoque basado en estándares internacionales
KLG cuenta con un enfoque alineado a ISO 27001, lo que permite implementar controles, procesos y gobierno de seguridad de la información bajo un marco reconocido globalmente, asegurando cumplimiento estructurado y auditado.

Especialización en cumplimiento regulatorio chileno
Dominamos la Ley N° 21.663 y normativas asociadas, traduciendo requisitos legales en acciones concretas, medibles y aplicables a la realidad de cada organización.

Modelo integral: estrategia + operación
No solo diseñamos políticas, sino que implementamos capacidades reales: monitoreo, gestión de incidentes, continuidad operativa y soporte permanente, cubriendo todo el ciclo de la ciberseguridad.

Servicios flexibles como CISO y DPO as a Service
Permitimos a las empresas acceder a expertise senior sin necesidad de estructuras internas complejas, facilitando el cumplimiento y la gobernanza desde el primer día.

Experiencia práctica en entornos reales de clientes
KLG opera como área de TI y ciberseguridad para múltiples organizaciones, lo que nos permite entender riesgos reales, priorizar correctamente y ejecutar soluciones efectivas, no solo teóricas.

Experiencia en empresas reguladas
KLG opera con empresas bajo regulacion especial tales como industria eléctrica, salud, minería y otros.
 
ISO27001
SISTEMA DE GESTIÓN DE SEGURIDAD DE INFORMACIÓN
Acreditado por: 
AENOR Entidad Certificadora                 IQNET Entidad certificadora