Reporte de Incidentes Significativos — Ley 21.663 | KLG Technology

Ley 21.663 · Art. 9° — Deber de reportar

Reporte de incidentes
significativos:
plazos, canales
y contenidos obligatorios.

La Ley Marco de Ciberseguridad exige reportar ciberataques e incidentes con efectos significativos al CSIRT Nacional en un esquema de tres etapas con plazos imperativos: alerta temprana en 3 horas, actualización en 72 horas e informe final en 15 días. Para los OIV, los plazos son aún más exigentes.

Alerta temprana: máximo 3 horas

OIV: actualización en 24 horas

Informe final: 15 días corridos

Artículo 9° — Deber de reportar · Ley N° 21.663

"Todas las instituciones públicas y privadas señaladas en el artículo 4° tendrán la obligación de reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos en los términos del artículo 27, tan pronto les sea posible y conforme al siguiente esquema…"

Fuente oficial: Ley 21.663 · Biblioteca del Congreso Nacional de Chile ↗

Artículo 9° — Esquema de reporte

Los cuatro hitos del reporte obligatorio

El artículo 9° establece un esquema escalonado con plazos precisos. Cada etapa tiene contenido mínimo definido y destinatarios específicos. El reloj parte desde el momento en que la institución tiene conocimiento del incidente.

3

horas

a)

Alerta temprana

Plazo máximo desde conocimiento del incidente · Aplica a todas las instituciones del art. 4°

La alerta temprana es el primer reporte obligatorio. Debe enviarse al CSIRT Nacional dentro de las 3 horas desde que la institución toma conocimiento del evento, independientemente del nivel de información disponible en ese momento.

Notificación inicial de la ocurrencia del ciberataque o incidente
No requiere análisis exhaustivo: basta con comunicar que el evento ocurrió
Permite al CSIRT Nacional activar su capacidad de apoyo y coordinación sectorial
Destinatario: CSIRT Nacional (y ventanilla única si aplica coordinación sectorial)

72

horas · general
24 h · OIV

b)

Actualización con evaluación inicial

72 horas (general) · 24 horas si es OIV con servicio esencial afectado

La actualización amplía la alerta temprana con una evaluación inicial. Para los OIV cuyo servicio esencial se ve afectado, el plazo se reduce a 24 horas, reflejando la criticidad de la continuidad operacional.

Evaluación inicial del incidente: gravedad e impacto estimado
Indicadores de compromiso (IoC) si estuvieran disponibles al momento del reporte
Actualización del estado de la situación respecto de la alerta inicial
Para OIV: plazo reducido a 24 horas si el incidente afecta la prestación de servicios esenciales

15

días corridos

c)

Informe final

Plazo desde el envío de la alerta temprana · Contenido mínimo definido por ley

El informe final es el reporte más completo. Debe presentarse dentro de 15 días corridos desde la alerta temprana y contiene al menos cuatro elementos que la ley define explícitamente.

i. Descripción detallada del incidente, su gravedad e impacto
ii. Tipo de amenaza o causa principal probable del incidente
iii. Medidas de mitigación aplicadas y las que siguen en curso
iv. Repercusiones transfronterizas del incidente, si procede

En curso

+15 días gestionado

d)

Informe de situación / final diferido

Cuando el incidente no ha sido gestionado al momento del informe del literal c)

Si al cumplirse los 15 días el incidente aún está activo, el informe final se reemplaza por un informe de situación. El informe final definitivo debe presentarse 15 días corridos después de que el incidente haya sido gestionado.

El CSIRT Nacional o la autoridad sectorial puede requerir actualizaciones adicionales en cualquier momento
Los OIV deben informar además su plan de acción dentro de un plazo máximo de 7 días corridos desde el conocimiento del incidente
Los datos personales deben omitirse de todos los reportes (excepto dirección IP)

7

días · solo OIV

OIV

Plan de acción — exclusivo OIV

Plazo máximo desde conocimiento del incidente · Obligación adicional para Operadores de Importancia Vital

Además del esquema general de reporte, los OIV tienen la obligación adicional de comunicar al CSIRT Nacional su plan de acción tan pronto lo hayan adoptado, con un plazo máximo improrrogable de 7 días corridos.

Documento formal con las acciones de respuesta, contención y recuperación adoptadas
Plazo máximo: 7 días corridos desde conocimiento del incidente
Se envía tan pronto se haya adoptado, sin esperar agotar el plazo
Complementa los reportes a), b) y c) sin reemplazarlos

Artículo 27 — Definición legal

¿Cuándo un incidente es "significativo"?

El artículo 27 define el umbral que activa el deber de reporte. Un incidente es significativo cuando cumple alguna de estas condiciones, evaluadas además según tres criterios de magnitud.

⚡

Interrumpe un servicio esencial

Si el incidente es capaz de interrumpir la continuidad de un servicio calificado como esencial por la ley, el reporte es obligatorio.

🏥

Afecta integridad física o salud

Si el incidente puede afectar la integridad física de las personas o su salud, se considera de efecto significativo independientemente de otros criterios.

🔐

Involucra datos personales

Si los sistemas afectados contienen datos personales, el incidente es automáticamente significativo y activa tanto el reporte a ANCI/CSIRT como la coordinación con la APDP.

👥

Número de personas afectadas

Criterio de magnitud: a mayor número de personas impactadas, mayor significancia del incidente para efectos de evaluación de gravedad e impacto.

⏱️

Duración del incidente

Criterio de magnitud: la extensión temporal del evento incide en la evaluación de su significancia. Incidentes prolongados agravan la calificación.

🗺️

Extensión geográfica

Criterio de magnitud: la zona territorial afectada por el incidente determina parte de su significancia, incluyendo posibles repercusiones transfronterizas.

Canales, coordinación y obligaciones especiales

El ecosistema de reporte:
CSIRT, ANCI y ventanilla única

El artículo 9° no solo define plazos: establece el canal oficial, la coordinación entre autoridades y reglas especiales para organismos del Estado y sus proveedores.

📡

CSIRT Nacional — receptor principal

Todos los reportes se dirigen al CSIRT Nacional. Es el primer respondiente y coordinador de la respuesta a nivel nacional ante incidentes de impacto significativo.

🔗

Ventanilla única

La ANCI debe habilitar un sistema de ventanilla única para notificar simultáneamente a múltiples autoridades cuando el incidente lo exija, simplificando la carga de reporte.

🏛️

Organismos del Estado

Los jefes de servicio deben exigir a sus proveedores TI compartir información sobre vulnerabilidades e incidentes. Los contratos no pueden incluir cláusulas que restrinjan esta comunicación.

📋

Instrucciones de la ANCI

La Agencia dicta instrucciones específicas para la realización y recepción de los reportes. El reglamento del Ministerio de Seguridad Pública regula el contenido de cada clase de reporte.

🙈

Omisión de datos personales

Los reportes deben omitir datos personales conforme a la Ley 19.628. Excepción: las direcciones IP no se consideran dato personal para estos efectos.

🌐

Efectos transfronterizos

El informe final debe incluir, si procede, las repercusiones transfronterizas del incidente. La ANCI coordina con organismos internacionales cuando el evento trasciende fronteras nacionales.

Preparación interna

El proceso interno para cumplir los plazos

Reportar en 3 horas es imposible sin protocolos previamente definidos. El cumplimiento del artículo 9° requiere capacidad operativa instalada con anticipación, no improvisación durante el incidente.

Fase 1 · Detección

Identificar y clasificar

Monitoreo 24×7, alertas automáticas y clasificación inicial del evento. Determinar si el incidente podría tener efectos significativos según el art. 27.

→

Fase 2 · Activación (0–3 h)

Escalar y notificar

Activar al Delegado de Ciberseguridad, escalar a la alta dirección y enviar la alerta temprana al CSIRT Nacional dentro de las 3 horas.

→

Fase 3 · Evaluación (3–72 h)

Analizar y actualizar

Realizar evaluación inicial de gravedad e impacto. Recopilar indicadores de compromiso y enviar la actualización al CSIRT dentro del plazo (24 h si OIV).

→

Fase 4 · Cierre (≤ 15 días)

Documentar y reportar

Elaborar el informe final con descripción detallada, causa, medidas de mitigación y efectos transfronterizos. Archivar para auditoría de la ANCI.

Capacidades internas que hacen posible cumplir el art. 9°

📡

Monitoreo y detección 24×7

Sin monitoreo continuo, el "conocimiento del incidente" puede llegar tarde y hacer imposible cumplir el plazo de 3 horas.

📋

Plan de respuesta documentado

Protocolo predefinido con roles, escalamientos, plantillas de reporte y contactos del CSIRT Nacional listos para activar.

🧑‍💼

Delegado de Ciberseguridad activo

El Delegado (art. 8° lit. i) es quien firma y envía los reportes. Su disponibilidad 24×7 es crítica para cumplir la alerta de 3 horas.

🔬

Capacidad forense y análisis

Para identificar causa principal, IoC y medidas de mitigación del informe final se requiere capacidad técnica de análisis instalada.

📁

Registro y trazabilidad

Toda comunicación con la ANCI y el CSIRT debe quedar documentada y archivada para demostrar cumplimiento ante una fiscalización.

🎓

Simulacros de respuesta

Ejercitar el protocolo de reporte periódicamente garantiza que el equipo pueda actuar bajo presión y dentro de los plazos legales.

Artículos 38–40 · Infracciones y sanciones

El costo de no reportar a tiempo

Incumplir el deber de reporte del artículo 9° —ya sea por omisión, retraso o contenido deficiente— constituye una infracción sancionable. La ANCI puede aplicar sanciones escalonadas según gravedad.

Infracciones gravísimas — OIV

40.000 UTM

Equivalente a aprox. USD 3 millones

No reportar un incidente significativo al CSIRT Nacional dentro de los plazos del art. 9°
Omitir la alerta temprana de 3 horas siendo OIV con servicio esencial afectado
No presentar el plan de acción dentro de los 7 días corridos exigidos para OIV
Proporcionar información falsa o incompleta en los reportes a la ANCI

Ver art. 39 y 40 en BCN ↗

Infracciones graves — Entidades generales

20.000 UTM

Equivalente a aprox. USD 1,5 millones

Reporte tardío o incompleto del incidente sin causa justificada
No comunicar indicadores de compromiso disponibles en la actualización de 72 horas
Incumplir las instrucciones específicas de reporte dictadas por la ANCI
Contratos de proveedores TI del Estado que restrinjan la comunicación de incidentes

Ver art. 38 en BCN ↗

Cómo KLG Technology lo acompaña

Reporte en tiempo y forma,
sin improvisar bajo presión

KLG Technology implementa la capacidad operativa necesaria para cumplir el artículo 9° antes de que ocurra un incidente: protocolos de escalamiento, plantillas de reporte, monitoreo continuo y el Delegado de Ciberseguridad disponible para activar la alerta de 3 horas.

Con certificación ISO/IEC 27001 y experiencia en sectores regulados como energía y salud, KLG asegura que cada reporte al CSIRT Nacional cumpla el contenido mínimo legal y quede archivado para una eventual fiscalización de la ANCI.

📡

SOC · Monitoreo 24×7

Detección continua que permite identificar el incidente y activar el protocolo dentro de los 3 horas que exige la alerta temprana

🧑‍💼

CISO as a Service

Delegado de Ciberseguridad que firma y envía los reportes al CSIRT Nacional y coordina con la ANCI como lo exige el art. 9°

📋

GRC · Plan de respuesta a incidentes

Diseño e implementación del plan de respuesta con plantillas de reporte, roles y flujos de escalamiento predefinidos

🔍

Assessment de Ciberseguridad

Diagnóstico de la capacidad actual de reporte y brecha frente a los plazos y contenidos del art. 9°

🎓

Simulacros de respuesta

Ejercicios periódicos del protocolo de reporte para que el equipo actúe con precisión bajo presión real

¿Podría su organización reportar un incidente en 3 horas?

Si la respuesta genera dudas, es el momento de actuar. KLG Technology realiza un diagnóstico del estado actual de su capacidad de reporte frente a los plazos y canales del artículo 9° de la Ley 21.663.

Solicitar diagnóstico de reporte → Ver más sobre la Ley 21.663

Nav Ley 21.663 — KLG

⚖ Ley 21.663 — Navegar

🛡 Medidas permanentes › 👤 Delegado OIV › 📡 Reporte incidentes › 📋 SGSI › 🎓 Cultura y capacitación