Ley Marco · Operaciones 8 junio 2026 · 8 min lectura Por equipo Vigía

Ley Marco de Ciberseguridad en Chile: qué cambia operacionalmente (no solo legalmente).

Cuando se promulgó la Ley Marco de Ciberseguridad en Chile, lo primero que apareció fue lo esperable: análisis legales, resúmenes ejecutivos, explicaciones del rol de la ANCI, tablas con plazos de notificación, categorías de Operadores de Importancia Vital y Servicios Esenciales. Todo eso era necesario. Y no es suficiente. Lo que vemos en conversaciones con CISOs, Heads of GRC y equipos de seguridad en Chile es que la mayoría sabe qué dice la ley. Lo que no tiene resuelto es cómo operacionalizarla con el equipo que ya tiene. Este artículo es esa segunda capa.

/// Índice del artículo
  1. Por qué el análisis legal no alcanza
  2. Los 5 cambios operacionales que más vemos
  3. Cuánto ya tienes resuelto si tienes ISO 27001 o SOC 2
  4. Checklist operacional de 10 puntos
  5. El riesgo de tratar la ley como proyecto
  6. Cierre

No es un análisis legal. Para eso hay especialistas con mucha más autoridad. Es un análisis operacional: qué tiene que cambiar concretamente en cómo opera tu organización, qué se solapa con frameworks que probablemente ya tienes, y qué riesgos asumes si tratas esto como un proyecto puntual.

Por qué el análisis legal no alcanza

El texto de la ley te dice qué tienes que hacer. No te dice cómo lo vas a sostener cuando pase la euforia del primer ciclo de cumplimiento. Y ahí es donde la operación se pone interesante.

Tres preguntas que aparecen en cuanto bajas del análisis legal al operacional:

  • ¿Cómo vas a detectar un incidente notificable dentro de la ventana que exige la ley si tu equipo de SOC trabaja en horario hábil?
  • ¿Cómo vas a demostrar que tu sistema de gestión opera continuamente si tu único registro vivo es una carpeta de políticas firmadas?
  • ¿Cómo vas a responder a un requerimiento de la ANCI en cualquier momento del año cuando tu próximo "release" de evidencias es la auditoría anual?

Estas tres preguntas no se contestan con un documento. Se contestan con una operación.

Los 5 cambios operacionales que más vemos

A continuación, los cinco cambios que aparecen consistentemente cuando un equipo de seguridad chileno empieza a aterrizar la ley en su propia organización. Para cada uno: el cambio, el antipatrón típico y el principio operacional.

1. De detección pasiva a detección activa

El cambio. La obligación de notificar incidentes en ventanas cortas —los plazos exactos dependen del tipo de incidente y del sector— parte de un supuesto que pocas organizaciones tienen resuelto: que tu organización puede detectar un incidente cuando ocurre.

AntipatrónConfiar en revisiones manuales de logs por turnos de horario hábil. Asumir que el SIEM "alertará" pero no haber probado los playbooks de detección. Tener alertas configuradas para amenazas externas pero no para movimientos laterales internos.

Principio operacional. Si tu programa de detección no funciona a las 3 de la mañana de un sábado, no funciona. La ley te empuja hacia un monitoreo continuo con cobertura 24/7, aunque sea con servicios gestionados o herramientas con triage automatizado.

2. De evidencia anual a evidencia viva

El cambio. La ANCI no va a esperar tu próximo informe anual para revisar tu postura. Y los requerimientos pueden venir en cualquier momento, especialmente después de un incidente.

AntipatrónRecolectar evidencia tres semanas antes de la auditoría anual, sostenerla como "estado actual" durante los doce meses siguientes y volver a empezar el ciclo. Cuando llega un requerimiento fuera del calendario, todo el equipo se detiene a recolectar manualmente.

Principio operacional. La evidencia ya existe en tus sistemas. El trabajo del equipo de seguridad no es recolectarla cada doce meses: es mantener una capa continua de evidencia viva conectada a las fuentes operacionales (cloud, IdP, EDR, tickets, capacitaciones). Eso es Evidence Automation.

3. De sistema de gestión documental a sistema operativo

El cambio. La ley exige un sistema de gestión de seguridad. Pero un sistema de gestión no es lo mismo que una carpeta de políticas.

AntipatrónTener 40 políticas firmadas en un repositorio, ningún registro de excepciones aprobadas, ninguna métrica viva del programa, y cero conexión entre los controles documentados y el estado real de la operación.

Principio operacional. Un sistema de gestión vivo se demuestra con señales operacionales continuas: posture de controles, métricas de incidentes, indicadores de readiness, cadencia de revisiones. La política firmada es la condición necesaria; la operación viva es la condición suficiente.

4. De responsabilidad difusa a cadena de mando con timestamp

El cambio. Frente a un incidente notificable, la ley te pone bajo presión de tiempo. La decisión de reportar a la ANCI no puede quedar pendiente de un correo electrónico sin respuesta.

AntipatrónProcedimientos de respuesta a incidentes que mencionan roles ("el CISO decidirá", "el comité de seguridad evaluará") sin definir quién, en qué horario, con qué autoridad delegada, y qué evidencia se deja del proceso.

Principio operacional. Cada decisión crítica del programa de seguridad necesita dueño identificable, autoridad delegada y trazabilidad. Un auditor de ANCI no va a buscar la política: va a buscar quién decidió qué, cuándo y por qué.

5. De cuestionario anual de proveedores a evidencia continua de la cadena

El cambio. Tus proveedores críticos te exponen. Si un proveedor de infraestructura sufre un incidente y afecta tu servicio, parte de la responsabilidad regulatoria recae en ti. La ley empuja hacia un modelo de gestión de terceros mucho más activo.

AntipatrónMantener un Excel de proveedores con la última fecha de cuestionario de seguridad respondido. Ese Excel envejece en treinta días.

Principio operacional. Tu programa de terceros necesita monitoreo continuo de los proveedores críticos: estado de sus certificaciones, alertas de incidentes públicos, evidencia compartida en un Trust Center vivo (el tuyo y el de ellos). La conversación con proveedores deja de ser anual y se vuelve operacional.

Cuánto de esto ya tienes resuelto (si tienes ISO 27001 o SOC 2)

La buena noticia es que si tu organización ya tiene un programa serio de ISO 27001:2022 o SOC 2 operando, gran parte del marco operacional de la Ley Marco ya lo tienes cubierto.

El error operacional más común es tratar la Ley Marco como un proyecto separado, con su propio equipo, su propio cronograma y su propio set de documentos. Eso duplica el trabajo y rompe la coherencia operacional.

Solapamiento aproximado con frameworks comunes que ya están en uso en empresas medianas y grandes de Chile:

Framework Solapamiento operacional con Ley Marco Lo que queda por sumar
ISO 27001:2022 ~70% Notificación a ANCI, especificidades sectoriales
SOC 2 (Security + Availability) ~55% Sistema de gestión formal, autoridad regulatoria
NIST CSF 2.0 ~80% Adaptación a categorías OIV/SE chilenas

El enfoque inteligente no es "implementar la Ley Marco". Es exigirle más al sistema que ya tienes corriendo. Una evidencia, múltiples frameworks.

Checklist operacional de 10 puntos

Una autoevaluación rápida. Si puedes contestar sí, con evidencia a estos diez puntos, tu organización está operacionalmente preparada para la Ley Marco. Si no, tienes una hoja de ruta clara.

  1. ¿Tienes monitoreo de seguridad activo 24/7 (interno, MSSP o híbrido) con cobertura del 100% de tus activos críticos?
  2. ¿Existe un playbook documentado y ensayado para decidir, dentro de la ventana legal, si un incidente debe reportarse a la ANCI?
  3. ¿La cadena de decisión para notificar incidentes tiene nombres, suplencias y autoridad delegada por escrito?
  4. ¿Tu evidencia de controles críticos (accesos, configuraciones cloud, MFA, cifrado) se actualiza continuamente, no en ciclos anuales?
  5. ¿Tienes un inventario vivo de activos de información y de proveedores críticos, conectado a sistemas fuente, no mantenido en Excel?
  6. ¿El estado de tu sistema de gestión es visible en un dashboard o reporte operacional, no solo en un informe anual?
  7. ¿Existe una política de gestión de incidentes con clasificación por severidad y criterios objetivos de notificación regulatoria?
  8. ¿Tu programa de gestión de terceros incluye monitoreo continuo de proveedores críticos, no solo cuestionarios anuales?
  9. ¿Hay registro auditable de todas las decisiones del comité de seguridad o equivalente, con timestamp y participantes?
  10. ¿Tu equipo de respuesta ha realizado al menos un ejercicio de simulación en los últimos 12 meses que incluyó la decisión de reportar a una autoridad regulatoria?

Si contestaste no a tres o más, tu organización tiene una brecha operacional real — no una brecha documental.

El riesgo de tratar la ley como proyecto

El riesgo más grande hoy en Chile no es la sanción inmediata por incumplimiento. Es asumir el costo de la sanción estructural: construir un sistema que opera con tres velocidades diferentes — el de la operación diaria, el de los frameworks voluntarios y el de la ley.

Esas tres velocidades no se sostienen. Lo que tu equipo no haga continuo, lo va a hacer en sprints de auditoría dos veces al año. Y esos sprints son donde el equipo se quema, la evidencia se distorsiona y los hallazgos se acumulan.

El modelo que funciona es el inverso: una única operación de Continuous Compliance, con la Ley Marco como un consumidor de las mismas señales operacionales que ya alimentan a ISO 27001, SOC 2 y tus propios indicadores internos.

Cierre

La Ley Marco de Ciberseguridad en Chile es la primera regulación regional que empuja con claridad hacia el modelo de Continuous Compliance. No por mencionarlo explícitamente — sino porque sus obligaciones operacionales son imposibles de sostener con el modelo anterior de auditoría puntual.

Esto es una buena noticia, no una mala. La inversión que tu equipo hace para responder a la Ley Marco —si está bien diseñada— es la misma inversión que reduce el costo operacional de todos los demás frameworks que mantiene.

En Vigía trabajamos con equipos de seguridad y compliance en Chile que están navegando esta transición. Lo que más vemos: las organizaciones que separan "el proyecto de la Ley Marco" del resto de su programa terminan haciendo el doble de trabajo. Las que la integran como una capa más del sistema continuo, no.

¿En tu organización, qué parte de la operacionalización es la más difícil hoy? Si estás en Chile, nos interesa entender el mapa real de dolores en el mercado — y si estás en otro país de LATAM, ver qué regulaciones similares ya están en tu radar.

30 min: tu Ley Marco contra el checklist de 10 puntos

Mapeamos cuáles de los 10 puntos ya cubre tu programa ISO 27001 / SOC 2 actual, dónde está la brecha operacional real frente a la ANCI y cómo conectar la Ley Marco a tus señales continuas sin abrir un proyecto separado.

Evaluar mi preparación
/// Sigue leyendo

Recursos relacionados:

Framework

Ley Marco · ANCI · OIV

Ley 21.663, Operadores de Importancia Vital, plazos de notificación y sanciones. Guía completa.

 Framework

ISO 27001 + Ley Marco

El combo regulatorio para empresas en Chile. Cobertura A.5–A.8 + notificación ANCI con una sola operación.

 Evidence Automation

5 evidencias que no deberías recolectar a mano

Qué dejar de recolectar manualmente, qué integraciones conectar y qué controles cubren. La base de la evidencia viva.

 Herramienta

Calculadora ROI multi-moneda

Simula tu compliance tax actual vs operación continua con Evidence Automation. LATAM-ready.