policytracker.lat
Catálogo
ChileCiberseguridadSoberanía Digital y TransferenciasVigenteanotada

Ley N° 21.663 Marco sobre Ciberseguridad e Infraestructura Crítica de la Información

También conocida como: Ley de Ciberseguridad Chile · Ley ANCI

Ley N° 21.663, D.O. 08.04.2024 (Chile)

Resumen

Crea la Agencia Nacional de Ciberseguridad (ANCI) y establece un marco institucional de gobernanza, gestión de riesgos y respuesta a incidentes para infraestructura crítica de información en Chile, integrando deberes de notificación, fiscalización y sanciones.

Disposiciones clave

  • Crea la Agencia Nacional de Ciberseguridad (ANCI) como organismo técnico autónomo.
  • Define operadores de importancia vital (OIV) y operadores de servicios esenciales (OSE).
  • Obligación de reportar incidentes de ciberseguridad de impacto significativo a la ANCI y al CSIRT Nacional.
  • Establece deberes de gestión de riesgos, planes de continuidad y auditorías periódicas.
  • Crea el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).
  • Régimen sancionatorio con multas de hasta 40.000 UTM para infracciones gravísimas.

Régimen sancionatorio

Multas escalonadas de 5.000 a 40.000 UTM para infracciones gravísimas, incluyendo posible inhabilitación temporal.

Contexto

La Ley 21.663 institucionaliza la política nacional de ciberseguridad chilena tras casi una década de discusión técnica. Recoge en buena medida el modelo europeo NIS y NIS2, adaptado al ordenamiento administrativo chileno, y se complementa con la Política Nacional de Ciberseguridad 2023-2028.

Estructura

La norma se organiza en torno a cuatro pilares: institucionalidad (ANCI y CSIRT Nacional), gobernanza de operadores críticos, gestión de incidentes y régimen sancionatorio.

Disposiciones clave

La Agencia Nacional de Ciberseguridad ejerce competencias de regulación técnica, fiscalización y sanción. Convive con el CSIRT Nacional (operativo, dentro de la Subsecretaría del Interior) y con CSIRT sectoriales (Defensa, Hacienda).

La identificación de operadores de importancia vital se hace mediante decreto supremo, escuchando a los reguladores sectoriales. La ley los sujeta a deberes reforzados: implementación de marco de gobernanza, designación de delegado de ciberseguridad, planes de continuidad y reporte sin demora indebida.

Comentario editorial

La ley acierta en crear una institucionalidad unificada y técnicamente competente, evitando la dispersión sectorial. El principal desafío de implementación es la coordinación interagencial: ANCI, CSIRT Nacional, Subsecretaría de Telecomunicaciones, CMF, Superintendencia de Electricidad y Combustibles, y reguladores sectoriales, todos con competencias parciales.

El marco de notificación de incidentes adopta el estándar internacional de "sin demora indebida", pero la reglamentación define plazos de 3 horas para alerta temprana y 72 horas para notificación completa, lo que es exigente comparado con otros marcos regionales.

Una limitación es que la ley no aborda en profundidad la ciberseguridad ofensiva del Estado ni la rendición de cuentas en operaciones de inteligencia, materia que probablemente requerirá una reforma futura específica.

Articulación con otras normas

La Ley 21.663 se articula con la Ley 21.459 de Delitos Informáticos (Convenio de Budapest) y, en su régimen de incidentes que comprometan datos personales, con la Ley 21.719 cuando esta última entre en plena vigencia.

Tags

#ciberseguridad#anci#csirt#infraestructura-critica#notificacion-incidentes#sectores-esenciales

Citar esta ficha

Cita sugerida: Policy Tracker LATAM (2024). Ley N° 21.663 Marco sobre Ciberseguridad e Infraestructura Crítica de la Información [Chile]. Policy Tracker LATAM. Recuperado el 15-05-2026 de https://policytracker.lat/regulaciones/cl/ley-21663-marco-ciberseguridad