GUÍA ISO 27001 · LEY MARCO DE CIBERSEGURIDAD

Ley Marco de Ciberseguridad e ISO 27001: cómo cumplir con la Ley 21.663 en Chile

La Ley 21.663 cambió las reglas del juego. Lo que antes era buena práctica en ciberseguridad ahora es obligación legal, con una agencia fiscalizadora (ANCI) y sanciones severas.

Si tu empresa provee servicios tecnológicos a entidades del sector público, a operadores de servicios esenciales o a operadores de importancia vital, esta ley te afecta — aunque no seas tú quien esté clasificado como OIV. El efecto dominó alcanza a toda la cadena de proveedores.

Esta guía explica qué exige la ley, a quién aplica, cuáles son las sanciones y — lo más importante — cómo ISO 27001 te permite cumplir la mayoría de los requisitos de forma estructurada y demostrable.

Nota:

Si necesitas contexto previo sobre qué es ISO 27001, empieza por la guía completa. Leer guía completa →

Qué es la Ley Marco de Ciberseguridad (Ley 21.663)

La Ley 21.663, publicada en el Diario Oficial el 8 de abril de 2024, es el primer marco legal integral de ciberseguridad en Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI) con facultades para supervisar, fiscalizar y sancionar.

Cuatro objetivos de la ley: establecer estándares mínimos de ciberseguridad, fortalecer la protección de infraestructuras críticas, coordinar la respuesta nacional ante incidentes, y crear un régimen de sanciones que incentive cumplimiento proactivo.

A quién aplica la ley

Prestadores de servicios esenciales. Instituciones públicas y privadas que proveen servicios definidos como esenciales: energía, telecomunicaciones, transporte, salud, banca, servicios digitales y sector público.

Operadores de importancia vital (OIV). Subconjunto de servicios esenciales que la ANCI clasifica como especialmente críticos. Tienen obligaciones adicionales: SGSI obligatorio, planes de continuidad certificados, delegado de ciberseguridad, simulacros y reporte al CSIRT Nacional.

El efecto cadena en proveedores — y por qué te importa si vendes B2B. Si tu empresa no es directamente un OIV pero provees servicios tecnológicos a alguno de ellos, la ley te alcanza indirectamente. Los OIV están obligados a gestionar la seguridad de su cadena de proveedores — lo que significa que te van a exigir cumplimiento como condición contractual. Este efecto cascada es el driver comercial más relevante para empresas de tecnología en Chile.

Las obligaciones principales

Para prestadores de servicios esenciales:

  • Aplicar medidas técnicas y organizativas permanentes para gestionar riesgos.
  • Mantener capacidad para prevenir, reportar y resolver incidentes.
  • Implementar protocolos y estándares que dicte la ANCI.
  • Notificar al CSIRT Nacional todo incidente significativo: alerta temprana en 3 horas, informe de actualización en 72 horas, informe final en 15 días hábiles.

Para OIV (obligaciones adicionales):

  • Implementar un SGSI — la ley referencia explícitamente a normativas como ISO 27001.
  • Elaborar, implementar y certificar planes de continuidad operativa.
  • Ejecutar simulacros periódicos y comunicar resultados al CSIRT.
  • Designar un delegado de ciberseguridad como enlace con la ANCI.
  • Programas de capacitación y concientización para todo el personal.

Régimen de sanciones

La Ley incluye multas durísimas (que además pueden aplicarse en conjunto):

  • Infracciones leves: 5.000 a 10.000 UTM.
  • Infracciones graves: 10.001 a 20.000 UTM.
  • Infracciones gravísimas: 20.001 a 40.000 UTM.

Para Operadores de Importancia Vital (OIV), las multas se duplican.

Más allá de las multas: existen graves consecuencias reputacionales (las sanciones pueden publicarse), pérdida implacable de contratos públicos, y responsabilidad personal directa imputada a la alta dirección.

Cómo ISO 27001 cubre los requisitos de la Ley Marco

La Ley 21.663 se alinea con estándares internacionales — ISO 27001 es la referencia explícita y de facto. Implementar ISO 27001 cubre el 80-90% de las obligaciones de forma estructurada y auditable.

La ley exige gestión de riesgos de ciberseguridad.

ISO 27001 requiere una metodología formal de evaluación y tratamiento de riesgos (cláusula 6.1).

La ley exige medidas técnicas y organizativas.

ISO 27001 define 93 controles en el Anexo A abarcando seguridad organizacional, de personas, física y tecnológica.

La ley exige un SGSI para los OIV.

ISO 27001 es literalmente el estándar internacional primordial para implementar y certificar un Sistema de Gestión de Seguridad de la Información (SGSI).

La ley exige planes de continuidad.

ISO 27001 incluye controles absolutos de continuidad operativa TIC (5.30 y 8.14). Ver servicio DRP →

La ley exige capacitación del personal.

ISO 27001 exige concientización y competencia demostrable (cláusulas 7.2, 7.3, controles Anexo A 6.3 y 6.8). Ver servicio de awareness →

La ley exige respuesta a incidentes.

ISO 27001 incluye toda una sección de gestión de incidentes (controles 5.24 a 5.28).

La ley exige auditorías periódicas.

ISO 27001 requiere mandatoriamente ejecutar auditorías internas y revisión por la dirección anuales (cláusulas 9.2 y 9.3). Ver servicio de auditoría interna →

Lo que ISO 27001 NO cubre directamente:

Los plazos específicos de reporte de incidentes al CSIRT (3h / 72h / 15 días), el registro del delegado de ciberseguridad en la plataforma exclusiva de la ANCI, y la coordinación operativa protocolizada con el CSIRT Nacional. Estos requisitos hiper-específicos de la ley chilena se añaden y configuran como procesos complementarios a los manuales de tu SGSI mediante nuestros consultores en Confiden360.

Plan de acción para empresas de tecnología

Paso 1 — Evalúa si la ley te aplica. ¿Provees servicios a operadores de servicios esenciales, OIV o entidades del sector público? Si la respuesta es sí, la ley te alcanza comercialmente o contractualmente — aunque sea indirectamente. El "no sabíamos" no existe legalmente.

Paso 2 — Ejecuta un gap analysis contra ISO 27001. Evalúa dónde estás hoy. El diagnóstico te dice cuánto esfuerzo exacto necesitas para armar el blindaje. Solicitar gap análisis →

Paso 3 — Implementa ISO 27001 como tu framework de cumplimiento. Es la forma más eficiente de cubrir la inmensa mayoría de las obligaciones con un solo proyecto en lugar de inventar la rueda. Ver implementación ISO 27001 →

Paso 4 — Configura los procesos de reporte a la ANCI. Define tu delegado interno de ciberseguridad, regístralo diligentemente en la plataforma ANCI cuando corresponda, y establece en el SGSI los procedimientos de notificación ajustados escrupulosamente a los plazos legales.

Paso 5 — Mantén el sistema vivo. La ley requiere gestión continua (riesgos, simulacros, auditorías). Un consultor "CISO Virtual" asume el rol de mantener el sistema vivo para certificar ante tus clientes corporativos que sigues cumpliendo el compliance, sin necesidad de gastar contratando a un CISO a tiempo completo. Ver CISO Virtual →

¿Tu empresa provee servicios a clientes regulados o al sector público?

La Ley Marco ya está vigente. Ignorarla pone en riesgo la capacidad de tu área comercial de cerrar contratos B2B este y los próximos años. El primer paso es entender tu brecha actual contra la norma.

Agenda un diagnóstico de cumplimiento y te entregamos un mapa claro de lo que necesitas implementar para estar cubierto en la legislación que todos solicitarán a partir de ahora.

Solicitar diagnóstico de cumplimiento →

Relacionados con ISO 27001

Guía completa ISO 27001 → Costos de certificación → Implementación ISO 27001 → CISO Virtual → Continuidad y DRP → Capacitación Awareness →
Dudas Ley Marco