ShellTI · Legislación y Cumplimiento
El nuevo regulador de ciberseguridad de Chile, creado por la Ley Marco de Ciberseguridad (Ley 21.663). Supervisa a operadores de infraestructura crítica de la información y establece estándares nacionales de ciberseguridad.
Resumen Ejecutivo
La Agencia Nacional de Ciberseguridad (ANCI) es el organismo público creado por la Ley N° 21.663 — Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información, promulgada en 2024. Su misión es asesorar al Presidente de la República, coordinar la respuesta a incidentes nacionales y supervisar el cumplimiento de estándares de ciberseguridad en sectores críticos.
La ANCI asume el liderazgo del CSIRT Nacional (Computer Security Incident Response Team), que coordina la respuesta a incidentes de ciberseguridad que afectan a Chile, incluyendo la coordinación con CERTs sectoriales y organismos internacionales.
La ANCI se ocupa de ciberseguridad en sentido amplio (infraestructura crítica, gestión de incidentes nacionales), mientras que la Ley 21.719 se enfoca en protección de datos personales. Son marcos complementarios con autoridades de control distintas pero objetivos convergentes.
Facultades
Emitir instrucciones, estándares y guías técnicas de ciberseguridad de cumplimiento obligatorio para los operadores de infraestructura crítica.
Requerir información, realizar inspecciones, auditorías y pruebas de ciberseguridad a los operadores bajo su supervisión.
Liderar la respuesta coordinada ante incidentes de ciberseguridad de significancia nacional, incluyendo articulación con CSIRT sectoriales y fuerzas de orden.
Aplicar sanciones a operadores de infraestructura crítica que incumplan sus obligaciones, con multas que pueden alcanzar las 40.000 UTM para infracciones gravísimas.
Obligaciones
Son considerados operadores de infraestructura crítica de la información: servicios financieros, energía, telecomunicaciones, agua, salud, transporte, infraestructura digital pública y proveedores de servicios al Estado. Estos sectores tienen obligaciones reforzadas bajo la ANCI.
Los operadores deben reportar incidentes de ciberseguridad significativos al CSIRT Nacional dentro de 3 horas desde la detección (incidentes de alto impacto) o 72 horas (otros incidentes). Este es el plazo más exigente del sistema regulatorio chileno.
Implementar y mantener actualizado un Plan de Continuidad Operacional y un Programa de Ciberseguridad alineado a los estándares que emita la ANCI. Los planes deben ser probados periódicamente mediante ejercicios simulados.
Preparación
Revisa la lista de sectores y criterios definidos por la ANCI. Si tu organización provee servicios esenciales o tiene relevancia sistémica, probablemente califiques como operador de infraestructura crítica.
La ANCI adopta como referencia estándares internacionales reconocidos (ISO 27001, NIST CSF, CIS Controls). Implementar cualquiera de estos marcos facilita el cumplimiento de las instrucciones de la ANCI.
El plazo de 3 horas para reportar incidentes críticos requiere procesos automatizados de detección, clasificación y reporte. Implementa un SIEM y un protocolo formal de gestión de incidentes con roles y comunicaciones predefinidos.
Los operadores de infraestructura crítica deben inscribirse en el Registro Nacional de Operadores de la ANCI y mantener datos de contacto actualizados para la coordinación de incidentes.
Convergencia Regulatoria
Chile ha construido un ecosistema regulatorio de dos pilares: ciberseguridad (ANCI) y protección de datos personales (Ley 21.719 / Consejo para la Transparencia). Aunque son marcos independientes con autoridades distintas, muchas organizaciones deben cumplir con ambos simultáneamente.
Un incidente de ransomware que cifre datos de clientes activa simultáneamente: el deber de reporte a la ANCI (3 horas), la notificación a la autoridad de protección de datos (72 horas, Art. 26 Ley 21.719) y posiblemente la notificación a titulares afectados. Un programa de ciberseguridad integrado es la única forma eficiente de cumplir ambos marcos.
Preguntas Frecuentes
No. La ANCI tiene jurisdicción principalmente sobre operadores de infraestructura crítica de la información, definidos por la Ley 21.663. Sin embargo, puede emitir guías y estándares voluntarios para el sector privado en general, y tiene atribuciones para coordinar la respuesta a incidentes nacionales que afecten a cualquier organización.
CSIRT Gov (del Ministerio del Interior) atiende incidentes en el sector público. La ANCI, creada por la Ley Marco, tiene un mandato más amplio que incluye coordinación nacional, regulación de infraestructura crítica y representación internacional de Chile en foros de ciberseguridad.
Los operadores de infraestructura crítica deben reportar incidentes de ciberseguridad de alto impacto dentro de 3 horas desde la detección. Para incidentes de menor impacto pero significativos, el plazo es de 72 horas. La ANCI puede instruir plazos más específicos en sus normativas sectoriales.
Los operadores de infraestructura crítica que no cumplan con las instrucciones de la ANCI pueden enfrentar multas de hasta 40.000 UTM para infracciones gravísimas, 20.000 UTM para graves y 10.000 UTM para menos graves. Las sanciones se gradúan según el impacto del incumplimiento.
ShellTI acompaña a empresas chilenas desde el diagnóstico hasta la certificación, con foco en Ley 21.719 e ISO 27001.