Ley 21.663 Chile: marco de ciberseguridad
La Ley Marco de Ciberseguridad Nº 21.663 establece el marco regulatorio de seguridad de la información en Chile. Obliga a las entidades alcanzadas a implementar un Sistema de Gestión de Seguridad de la Información (SGSI), designar un Chief Information Security Officer (CISO) y reportar incidentes a la Agencia Nacional de Ciberseguridad (ANCI). Para las entidades reguladas por la CMF, se suman las exigencias del Capítulo 20-10 y la Norma NCG 454-2021.
¿Qué es la Ley Marco de Ciberseguridad Nº 21.663?
La Ley Nº 21.663 es el instrumento legal que formaliza el marco nacional de ciberseguridad en Chile. Define las responsabilidades de las organizaciones en materia de seguridad de la información, establece la estructura institucional del sistema de ciberseguridad del país y crea mecanismos de coordinación entre el sector público, el sector privado y los organismos reguladores.
La ley aplica de forma general a organizaciones que operan en sectores considerados críticos para el funcionamiento del país, y de forma específica a las entidades reguladas por organismos sectoriales como la Comisión para el Mercado Financiero (CMF). Su objetivo es elevar el nivel de resiliencia cibernética de Chile como nación y reducir el impacto de los incidentes sobre la infraestructura crítica y los servicios esenciales.
SGSI obligatorio y designación de CISO
Dos de las obligaciones más concretas que impone la Ley Nº 21.663 son:
Implementación de un SGSI: Las entidades alcanzadas deben establecer, operar, mantener y mejorar continuamente un Sistema de Gestión de Seguridad de la Información. El SGSI define políticas, controles, procesos y responsabilidades para proteger la confidencialidad, integridad y disponibilidad de la información. El estándar de referencia internacionalmente reconocido es la norma ISO 27001, que la regulación chilena adopta como marco de base.
Designación de un CISO: Las organizaciones deben designar formalmente un Chief Information Security Officer (CISO) o responsable de seguridad de la información con autoridad, recursos y capacidad para ejercer esa función. El CISO es el punto focal de las decisiones de seguridad de aplicaciones y de la gestión del programa de ciberseguridad dentro de la organización.
Ambas obligaciones buscan que la ciberseguridad deje de ser una función reactiva y pase a ser una capacidad gestionada, medible y con responsabilidad ejecutiva clara.
Reporte a la Agencia Nacional de Ciberseguridad (ANCI)
La ley crea la Agencia Nacional de Ciberseguridad (ANCI) como el organismo público especializado en ciberseguridad a nivel nacional. La ANCI actúa como entidad coordinadora, supervisora y de respuesta ante incidentes que afecten a infraestructura crítica o a entidades reguladas.
Las organizaciones alcanzadas por la ley deben reportar a la ANCI los incidentes de ciberseguridad significativos. Este reporte no es opcional: forma parte del marco de coordinación interinstitucional que la ley establece para fortalecer la respuesta nacional ante amenazas. La ANCI puede emitir alertas, instrucciones de mitigación y protocolos de respuesta que las organizaciones deben seguir.
La detección de vulnerabilidades temprana es la herramienta que permite a las organizaciones identificar incidentes potenciales antes de que escalen y cumplir con los plazos de reporte a la ANCI.
Capítulo CMF 20-10: ISO 27001, monitoreo permanente y Directorio
Para las entidades reguladas por la Comisión para el Mercado Financiero (CMF) —bancos, aseguradoras, fondos de pensiones, fintechs y otros participantes del mercado financiero— existe una capa adicional de exigencias articulada en el Capítulo 20-10 de la Recopilación Actualizada de Normas (RAN), vigente desde el 1 de diciembre de 2020.
El Capítulo 20-10 establece:
- Sistema de gestión basado en ISO 27001: las entidades de la CMF deben estructurar su programa de seguridad de la información conforme a las normas ISO 27001, lo que implica identificar activos, valorar riesgos, definir controles y realizar revisiones periódicas.
- Proceso formal de gestión de riesgos: el proceso cubre las fases de identificación, análisis, valoración, tratamiento y aceptación de riesgos de seguridad de la información.
- Monitoreo permanente: el riesgo de seguridad de la información no puede gestionarse de forma puntual. Se exige un monitoreo continuo que detecte desviaciones, nuevas amenazas y cambios en el perfil de riesgo.
- Responsabilidades del Directorio: el Directorio de la entidad regulada es responsable de aprobar la estrategia de ciberseguridad y de asegurar que la organización cuente con los recursos necesarios para implementarla. Esto eleva la ciberseguridad al nivel de gobierno corporativo.
Un pentest regular sobre sistemas críticos es una de las herramientas que el marco ISO 27001 y el Capítulo 20-10 reconocen para validar la efectividad de los controles implementados.
Norma NCG 454-2021 de riesgo operacional
La Norma de Carácter General Nº 454-2021 (NCG 454-2021) de la CMF complementa el Capítulo 20-10 con un marco específico de riesgo operacional y ciberseguridad para las entidades del mercado financiero chileno.
La NCG 454-2021 refuerza los requisitos de gestión de riesgos operacionales, incluyendo los de origen tecnológico y cibernético. Las entidades deben identificar y valorar los riesgos operacionales que podrían afectar la continuidad de sus servicios y la integridad de su información, e implementar controles proporcionales al nivel de riesgo identificado.
Esta norma sitúa el riesgo cibernético dentro del marco general de riesgo operacional de las entidades financieras, lo que obliga a las áreas de riesgos y tecnología a trabajar de forma integrada bajo la supervisión de la CMF.
Qué deben implementar las entidades reguladas por la CMF
Las entidades reguladas por la CMF en Chile deben articular un programa de ciberseguridad que combine las exigencias de la Ley Nº 21.663 con las del Capítulo 20-10 y la NCG 454-2021. Los elementos clave incluyen:
- SGSI certificado o alineado con ISO 27001: política de seguridad documentada, inventario de activos, evaluación de riesgos, plan de tratamiento y revisiones periódicas.
- CISO designado formalmente: con dependencia jerárquica adecuada, presupuesto propio y reporte al Directorio.
- Proceso de gestión de riesgos cibernéticos: integrado con el marco general de riesgo operacional de la entidad.
- Monitoreo continuo de amenazas: herramientas y procesos para detectar incidentes en tiempo real.
- Protocolo de reporte a la ANCI: procedimiento documentado y probado para notificar incidentes significativos.
- Pruebas de resiliencia: validaciones periódicas de los controles de seguridad, incluyendo pruebas de penetración y ejercicios de simulación de incidentes.
El NIST Cybersecurity Framework ofrece una estructura reconocida internacionalmente que complementa el cumplimiento regulatorio local y facilita la comunicación del estado de ciberseguridad al Directorio.
¿Tu entidad necesita alinear su programa de ciberseguridad con la Ley Nº 21.663, el Capítulo CMF 20-10 y la NCG 454-2021? En WhiteJaguars acompañamos a organizaciones en Chile en el diseño e implementación de sus programas de seguridad de la información. También puedes revisar las exigencias de la Ley Nº 21.719 de protección de datos personales, que entra en vigencia en diciembre de 2026.