¿Qué es la Ley Marco de Ciberseguridad (Ley 21.663) en Chile?

Es la ley que crea la Agencia Nacional de Ciberseguridad (ANCI) y establece obligaciones para Operadores de Importancia Vital (OIV) en Chile. Publicada en abril 2024, vigente desde 2025. Exige SGSI conforme a NCh-ISO/IEC 27001:2022 (versión chilena), reporte de incidentes con plazos legales (3h/72h/30d) y sanciones hasta UTM 40.000 (~USD 2.8M).

¿Cómo sé si mi organización es OIV (Operador de Importancia Vital)?

ANCI mantiene un registro oficial. Categorías típicas: generación/distribución eléctrica, agua potable, gas, telecomunicaciones, transporte (aéreo, portuario, terrestre), instituciones financieras, salud (red asistencial), servicios digitales del Estado, prestadores de servicios esenciales con más de 1.000.000 usuarios. Si dudas, Vigía ofrece evaluación gratuita.

¿Qué plazos tengo para reportar un incidente a ANCI?

3 horas: alerta inicial al CSIRT Nacional cuando detectas el incidente. 72 horas: reporte detallado con causa probable, vector, alcance. 30 días: reporte final con root cause analysis y plan de remediación. El incumplimiento de cualquiera de estos plazos genera multas escalables.

¿Necesito certificar ISO 27001 sí o sí?

Sí. La Ley Marco exige implementar un SGSI conforme a NCh-ISO/IEC 27001:2022 (que es la versión chilena oficial de ISO 27001) y obtener certificación por organismo acreditado. La auto-evaluación no es válida ante ANCI. La primera certificación se exige antes del plazo de adecuación según tu categoría OIV.

¿Cuánto cuesta implementar la Ley Marco con consultor tradicional vs Vigía?

Consultor + auditor: USD 25.000-50.000 año 1 (consultor SGSI USD 20-35K + auditoría externa USD 6-12K + auditor líder ANCI USD 4-8K). Plataforma Vigía: desde USD 4.800/año (Starter) hasta USD 18.000/año (Scale Enterprise) incluyendo CISO híbrido + auditor líder. El costo de auditoría externa siempre es separado (~USD 6-12K una vez).

¿Cómo se relaciona Ley Marco con Ley 21.719 (Datos Personales)?

Son complementarias pero distintas: Ley Marco (21.663) regula ciberseguridad de servicios esenciales — gestionada por ANCI. Ley 21.719 regula protección de datos personales — gestionada por APDP. Una empresa OIV puede tener ambas obligaciones. Vigía cubre ambas en una sola plataforma con módulos separados pero crosswalk de controles compartidos.

¿Qué sanciones impone ANCI?

Infracciones leves: hasta UTM 5.000 (~USD 350.000). Graves: hasta UTM 20.000 (~USD 1.4M). Gravísimas (incidente con impacto país): hasta UTM 40.000 (~USD 2.8M). Reincidencia duplica el monto. ANCI también puede ordenar suspensión del servicio hasta remediación, lo que para un OIV es catastrófico.

¿Qué pasa si soy proveedor de un OIV pero no soy OIV?

La Ley Marco impone obligaciones también a proveedores de servicios críticos a OIV (cloud, MSP, fintech B2B). Aunque no figuras en el registro oficial, tu cliente OIV te exigirá certificación ISO 27001 + DPA (acuerdo de tratamiento) + reportes de incidente compatibles con sus plazos ANCI. Ignorarlo significa perder el contrato.

Ley 21.663 · ANCI fiscalizando 2026

Ley Marco de Ciberseguridad Chile.
SGSI ISO 27001 obligatorio
para OIV.

La Ley 21.663 exige Sistema de Gestión de Seguridad de la Información certificado, reportes de incidente con countdown 3h / 72h / 30d a ANCI, BCP/DRP documentado y multas hasta UTM 40.000. Vigía cubre Ley Marco + ISO 27001 en una sola plataforma.

Evaluar mi preparación Soy OIV — Auto-diagnóstico →

Sin tarjeta · 30 min · Auditor Líder ISO 27001 + experto ANCI

/// Plazos legales · Ley 21.663

Reloj corriendo desde el primer incidente

ANCI no espera. Cada plazo perdido escala la sanción.

Alerta inicial al CSIRT Nacional

Art. 9 · detección

72h

Reporte detallado con causa probable

Art. 9 · análisis preliminar

30d

Reporte final + root cause

Art. 9 · cierre

UTM 40K

Sanción máxima por gravísima

~USD 2.8M · Art. 38

/// Obligaciones clave

Las 10 cosas que ANCI sí o sí te va a pedir

Cada obligación está mapeada a un artículo de la Ley 21.663 y a un módulo activo en Vigía.

SGSI ISO 27001:2022 certificado

Art. 8 · NCh-ISO/IEC 27001

Alcance documentado, SoA, política de seguridad, matriz de riesgos. Certificación obligatoria por organismo acreditado.

Encargado de Ciberseguridad

Art. 7 · rol formal

Reporta a alta dirección. Distinto del DPO. Responsable legal ante ANCI por incidentes y cumplimiento.

Registro de incidentes con countdown

Art. 9 · 3h / 72h / 30d

Workflow obligatorio: detección → alerta → análisis → reporte final. Trazabilidad de cada paso al CSIRT Nacional.

Plan de Continuidad y DRP

Art. 8 · A.5.29-5.30

BCP por servicio esencial con RTO/RPO. Pruebas anuales documentadas y firmadas por dirección.

Análisis y gestión de riesgos

Art. 8 · ISO 31000 + ISO 27005

Metodología documentada, criterios de aceptación, tratamientos con responsables y plazos. Revisión anual.

Gestión de terceros y supply chain

Art. 8 · A.5.19-5.22

Cuestionarios de seguridad a proveedores críticos. DPA con cláusulas mínimas. Auditorías VRM regulares.

Awareness y capacitación

Art. 8 · A.6.3

Programa anual con asistencia trazada. Onboarding obligatorio. Tests de phishing simulados.

Reportes consolidados a ANCI

Art. 11 · periódicos

Informes ejecutivos firmados por dirección con métricas, incidentes, controles activos. PDF apto fiscalización.

Auditorías internas y externas

Art. 8 · C9 + Anexo A

Auditoría interna anual. Auditoría externa de certificación cada 3 años + seguimiento anual.

Bitácora inmutable de operaciones

Art. 8 · A.8.15

Logs centralizados, time-stamped, no-editables. Disponibilidad para inspección ANCI con audit trail completo.

/// Sectores OIV

¿Eres OIV? Revísalo aquí

Sectores típicamente clasificados como Operadores de Importancia Vital.

⚡ Generación y distribución eléctrica 💧 Agua potable y saneamiento 🔥 Gas natural 📡 Telecomunicaciones ✈️ Transporte aéreo 🚢 Transporte portuario y marítimo 🚆 Transporte terrestre 🏦 Banca e instituciones financieras 🏥 Salud · red asistencial 🖥️ Servicios digitales del Estado ☁️ Cloud / MSP a OIV 🔌 Combustibles e hidrocarburos

Hacer auto-diagnóstico OIV →

/// Plataforma Vigía AI

Módulos que cubren Ley Marco end-to-end

ISO 27001 + ANCI en una sola plataforma. Continuous compliance, always audit-ready.

📊 Compliance ISO 27001

SoA · 93 controles A.5-A.8 mapeados · readiness score · auditor líder integrado.

⚠️ Risk Management

ISO 31000 + 27005 · scanner automático · aceptación firmable · forecasting Prophet.

🚨 Incident Response

Countdown 3h/72h/30d · plantilla CSIRT Nacional · post-mortem IA · vinculación a controles.

🆘 BCP / DRP

RTO/RPO por servicio · roles · pruebas anuales · documento formal firmable.

🤝 VRM Proveedores

Cuestionarios A.5.19-5.22 · scoring · evidencia · next-best-actions IA.

📦 Asset Management

CMDB · matriz de accesos · trazabilidad de cambios · clasificación A.5.12-5.13.

📒 Bitácora inmutable

Eventos auditables · payload JSONB · time-stamped · export a ANCI en JSON.

📄 Reportes ANCI

Informes ejecutivos firmados · KPIs · incidentes · PDF apto fiscalización.

🤖 Wigi AI

Copiloto que cita art. exacto, sugiere remediación, autocompleta cuestionarios.

Ley Marco de Ciberseguridad Chile.SGSI ISO 27001 obligatoriopara OIV.

Reloj corriendo desde el primer incidente

Las 10 cosas que ANCI sí o sí te va a pedir

¿Eres OIV? Revísalo aquí

Módulos que cubren Ley Marco end-to-end

Diagnóstico gratuito de tu programa de ciberseguridad

Si trabajas Ley Marco, también te conviene revisar:

Ley Marco de Ciberseguridad Chile.
SGSI ISO 27001 obligatorio
para OIV.