Confiden360 es una consultoría Ley Marco de Ciberseguridad en Chile especializada en implementar la Ley 21.663 para Operadores de Importancia Vital (OIV) y Servicios de Importancia Vital (SIV). Nuestra consultora de Ley Marco de Ciberseguridad cubre el sistema de gestión, la notificación de incidentes a la ANCI y al CSIRT Nacional, el plan de continuidad operacional, los reportes anuales y los protocolos sectoriales — con plataforma incluida, evidencias auditables y alianza legal especializada.
La Ley 21.663 está vigente y la Agencia Nacional de Ciberseguridad (ANCI) ya tiene facultades fiscalizadoras. Tres factores hacen que postergar la consultoría Ley Marco de Ciberseguridad sea más costoso que avanzar ahora:
Las infracciones gravísimas a la Ley 21.663 pueden costar hasta $2.700 millones de pesos. Un incidente no notificado a tiempo o un reporte anual incompleto basta para gatillar una sanción.
La Agencia Nacional de Ciberseguridad emite protocolos, califica OIV y exige reportes. Si tu empresa es candidata a OIV o SIV y no tienes el modelo operativo, la primera fiscalización te encuentra desprevenido.
Diseñar el SGSI, integrarlo con el CSIRT Nacional, levantar el plan de continuidad operacional sectorial y dejar el reporte anual armado requiere 4 a 8 meses de trabajo coordinado. No es algo que se improvise en un trimestre.
"La ANCI no avisa cuando va a fiscalizar — avisa cuando ya estás en infracción."
Solicitar diagnóstico de obligatoriedad →La Ley 21.663 aplica a Operadores de Importancia Vital (OIV) y Servicios de Importancia Vital (SIV) en sectores estratégicos. Si tu empresa opera en alguno de los siguientes, conviene hacer un diagnóstico de obligatoriedad ANCI:
La ANCI tiene la facultad legal de calificar a una entidad como OIV. No esperes la notificación oficial — anticípate con un diagnóstico de obligatoriedad.
Nuestra consultoría de Ley Marco de Ciberseguridad está estructurada en 5 bloques. Cada uno con entregables concretos, hitos medibles y evidencias registradas en Confirmer360.
Semanas 1-3
Determinamos si tu empresa califica como OIV, SIV o ninguna. Definimos el alcance del cumplimiento, los servicios esenciales que prestas, los activos críticos y la criticidad sectorial.
Entregables: Informe de obligatoriedad, alcance formal, mapa de servicios esenciales.
Semanas 3-10
Levantamos el sistema de gestión de seguridad de la información alineado a ISO 27001 y a los protocolos ANCI. Análisis de riesgos sectorial. Si ya tienes ISO 27001, esta etapa se reduce drásticamente.
Entregables: SGSI documentado, matriz de riesgos, declaración de aplicabilidad.
Semanas 6-12
Diseñamos y dejamos operativo el flujo de notificación de incidentes a la ANCI y al CSIRT Nacional: alerta temprana en menos de 3 horas, notificación completa en menos de 72 horas, post-mortem y lecciones aprendidas.
Entregables: Procedimiento de notificación, plantillas, simulacro ejecutado.
Semanas 10-18
Plan de continuidad operacional sectorial alineado a Ley 21.663. BCP, DRP, ejercicios de simulación. Designación formal del encargado de ciberseguridad y los contactos técnicos y comunicacionales con la ANCI.
Entregables: BCP/DRP, designación formal, ejercicios documentados.
Semanas 16-24
Armamos el reporte anual de cumplimiento que exige la ANCI con sus secciones obligatorias. Auditoría interna de simulación con foco en lo que va a pedir la Agencia. Cierre formal del modelo.
Entregables: Reporte anual, informe de auditoría interna, plan correctivo.
Mes 7 en adelante
Una vez implementado, alguien tiene que operar el cumplimiento día a día y ser el punto formal de contacto con la ANCI. La mayoría de OIV continúa con CISO Virtual.
No entregamos plantillas para que las llenes solo. Nuestra consultora de Ley Marco de Ciberseguridad participa como parte de tu equipo: levanta el modelo, diseña los flujos con la ANCI y configura todo en Confirmer360.
Plataforma propia donde viven el SGSI, el inventario de activos, el flujo de notificación a CSIRT, los reportes anuales y los registros de incidentes. Cada decisión queda con evidencia auditable.
Si ya tienes ISO 27001, reutilizamos el SGSI completo. Si tienes implementada la Ley 21.719 (datos personales), reutilizamos la gestión de brechas. Un proyecto en lugar de tres.
Diseñamos cada proceso pensando en lo que la Agencia Nacional de Ciberseguridad exige como evidencia: notificación a tiempo, reporte anual completo, protocolos sectoriales aplicados. Lo que dejamos vivo, no lo escrito.
Asesoría legal en interpretación de la Ley 21.663, calificación OIV/SIV, respuesta a requerimientos de la ANCI y eventuales procedimientos sancionatorios. Un solo proveedor, una sola conversación.
Las tres normativas se solapan en un 60-80%. Hacerlas por separado es 3× el costo. Diseñamos un solo modelo de cumplimiento integrado:
Base técnica del SGSI. Cubre el 80-90% de los controles que exige la Ley 21.663 y buena parte de los controles técnicos de la Ley 21.719.
Capa específica: relación con ANCI, notificación al CSIRT Nacional, plan de continuidad operacional sectorial, reportes anuales.
Capa específica de privacidad: RAT, bases de licitud, derechos ARCO+, EIPD. Comparte la gestión de brechas con la Ley Marco.
Casos típicos de OIV/SIV: bancos, isapres, generadoras eléctricas, sanitarias, telcos, ministerios y plataformas digitales críticas suelen tener que cumplir las tres normativas en paralelo. Nuestra consultoría integrada las aborda como un solo proyecto con un solo equipo.
Cuando la Agencia te notifica, los plazos para cumplir empiezan a correr. Anticiparte con un diagnóstico de obligatoriedad te da 6+ meses de ventaja.
Son dos leyes distintas con dos reguladores distintos (ANCI y Agencia de Protección de Datos). Aplican en paralelo. Cumplir una no exime de la otra.
La Ley 21.663 exige notificar incidentes de impacto significativo. La definición es amplia. No notificar es una infracción independiente del incidente original.
El reporte anual a la ANCI debe reflejar evidencia recolectada durante todo el año. Improvisarlo en diciembre es inviable y se nota.
ISO 27001 cubre el 80-90%, no el 100%. Faltan la relación formal con ANCI, los flujos sectoriales del CSIRT, el plan de continuidad operacional sectorial y el reporte anual estructurado.
Tus proveedores TI son tu superficie de ataque. La Ley 21.663 obliga a evaluar y exigir ciberseguridad a proveedores críticos. Esto es un proyecto en sí mismo.
No publicamos tarifas fijas porque cada consultoría Ley Marco de Ciberseguridad se calibra al sector, al tamaño y al estado inicial de madurez. La inversión total se compone de tres componentes:
El acompañamiento metodológico para construir y dejar operativo el modelo. Es el componente principal y depende del sector, tamaño y madurez previa (especialmente si ya tienes ISO 27001).
Incluida sin costo durante el proyecto. Si después continúas con CISO Virtual, sigue activa. Si no, puedes mantener la suscripción por separado.
Tiempo de tu equipo (TI, operaciones, legal) y eventuales mejoras técnicas o controles que aparezcan en el diagnóstico inicial. Lo cuantificamos al cerrar el bloque 1.
Lo que sí sabemos: una sola sanción gravísima cuesta más que la implementación completa más tres años de CISO Virtual.
Solicitar diagnóstico y cotización →La Ley Marco de Ciberseguridad rara vez aplica sola. Si eres OIV o SIV, casi siempre estás también obligado por la Ley 21.719 de datos personales y conviene tener ISO 27001 como base técnica. Diseñamos el cumplimiento integrado.
Agenda una sesión de diagnóstico gratuita de 30 minutos con nuestra consultora de Ley Marco de Ciberseguridad en Chile. Sin compromiso. Te entregamos una lectura honesta de tu obligatoriedad ante la ANCI y un mapa concreto de los gaps a cerrar.