Tecnología 9 min de lectura

Ciberseguridad para pymes en Chile: Ley 21.663

La Ley 21.663 de ciberseguridad ya rige en Chile. Te explicamos si tu pyme está obligada, qué exige la ANCI y cómo prepararte hoy sin frenar tu operación.

S
Softdigital
·

El 17 de diciembre de 2025, la Agencia Nacional de Ciberseguridad (ANCI) publicó la nómina definitiva de Operadores de Importancia Vital (OIV): 915 instituciones que ya tienen obligaciones estrictas de ciberseguridad bajo la Ley 21.663. Si tu empresa no aparece en esa lista, la pregunta lógica es: ¿esto me obliga a mí? La respuesta honesta es “depende”, y este artículo explica de qué depende y por qué la ciberseguridad para pymes en Chile dejó de ser opcional aunque no figures en ninguna nómina.

La Ley Marco de Ciberseguridad rige desde el 1 de marzo de 2025 y cambió las reglas: lo que antes era una buena práctica voluntaria hoy es, para muchas empresas, una obligación con plazos y multas. Aquí está lo que una pyme necesita entender sin tecnicismos legales: a quién aplica, qué exige y qué hacer esta semana para no quedar expuesto.

No somos un estudio jurídico. Cubrimos la capa técnica y operativa —los sistemas, el monitoreo, los registros auditables, la respuesta a incidentes—; la interpretación legal fina de tu caso la confirma un abogado especializado.

Qué es la Ley 21.663, la Ley Marco de Ciberseguridad

La Ley 21.663 se publicó en el Diario Oficial el 8 de abril de 2024 y es el primer marco general de ciberseguridad de Chile. Según la propia Agencia Nacional de Ciberseguridad, fija la institucionalidad, los principios y las obligaciones para prevenir, contener y responder ante incidentes de ciberseguridad, tanto en el Estado como en las empresas privadas que manejan infraestructura crítica de la información.

La ley creó dos piezas que conviene tener claras:

  • La ANCI (Agencia Nacional de Ciberseguridad): el regulador. Dicta normas obligatorias, fiscaliza, investiga y aplica sanciones. No es un ente consultivo.
  • El CSIRT Nacional: el equipo técnico al que se reportan los incidentes y que coordina la respuesta y las alertas.

A diferencia de la Ley 21.719 de protección de datos personales, que apunta a la privacidad de las personas, la Ley 21.663 apunta a la seguridad de los sistemas. Son leyes hermanas y complementarias: una te obliga a cuidar los datos, la otra a proteger la infraestructura que los guarda. Muchas pymes tendrán que cumplir ambas.

¿Tu pyme está obligada? OIV, servicios esenciales y proveedores

Acá está el matiz que la mayoría de los titulares omite. La ley no obliga a todas las empresas por igual. El alcance depende de en cuál de estas categorías caes:

Tu empresa¿La ley te obliga directamente?Qué significa en la práctica
OIV (estás en la nómina de la ANCI)Sí, régimen reforzadoTodas las obligaciones: delegado, SGSI, reportes, auditorías
Servicio esencial (banca, salud, energía, telecom, transporte, agua, logística)Deberes de seguridad y de reporte de incidentes
Proveedor de un OIV o servicio esencialIndirecta, vía contratoTu cliente te exigirá estándares de seguridad para seguir trabajando con él
Pyme sin relación con los anterioresNo directamenteNo estás obligada, pero el estándar de seguridad ya es el nuevo mínimo del mercado

La mayoría de las pymes chilenas cae en las dos últimas filas. Y ahí está el punto: aunque no seas OIV, si le vendes software, servicios TI, logística o soporte a un banco, una clínica o una eléctrica, ese cliente está obligado a controlar su cadena de suministro. En la práctica, te va a pedir cumplir requisitos de seguridad —un sistema de gestión, registros, respuesta a incidentes— como condición para mantener el contrato. La obligación no te llega por la ley, te llega por tu mejor cliente.

Los servicios esenciales que define la ley incluyen electricidad, combustibles, agua potable, telecomunicaciones, transporte, banca y servicios financieros, salud y logística, y la ANCI puede ampliar la lista. Si operas en alguno de esos rubros, asume que el tema te toca de lleno. Para sectores regulados como fintech, banca y seguros, la ciberseguridad ya era parte del juego; ahora tiene nombre, plazos y multas.

Qué te exige la ley si entras en su alcance

Para las entidades obligadas, la ANCI estableció un conjunto de deberes que van mucho más allá de “tener un antivirus”. Los principales:

  • Designar un delegado de ciberseguridad: una persona responsable, con nombre y apellido, ante la ANCI.
  • Implementar un sistema de gestión de seguridad de la información (SGSI): políticas, controles técnicos verificables y gestión de riesgos documentada, no una carpeta de buenas intenciones.
  • Planes de continuidad operacional: poder seguir funcionando —y recuperarte— después de un ataque.
  • Capacitación permanente del personal.
  • Reportar los incidentes al CSIRT Nacional dentro de plazos estrictos.

El último punto es el que más rápido pilla a las empresas desprevenidas, porque el reloj corre desde el minuto uno.

El reloj del reporte de incidentes: 3 horas, 72 horas, 15 días

Desde que la obligación de reportar entró en vigencia, las entidades obligadas deben avisar al CSIRT Nacional siguiendo tres hitos:

  • Alerta temprana: dentro de 3 horas desde que se toma conocimiento del incidente.
  • Reporte de actualización: dentro de 72 horas, con detalle de severidad, impacto e indicadores.
  • Informe final: dentro de 15 días desde la alerta temprana.

Tres horas es muy poco si te enteras del ataque por un correo de un cliente molesto y no tienes a nadie monitoreando. Cumplir ese plazo no es un tema de abogados: es un tema de detección y registro. O tus sistemas te avisan a tiempo y dejan rastro de lo que pasó, o vas a estar reconstruyendo el incidente cuando ya venció el plazo. Tener monitoreo y bitácoras conectadas es justo donde la automatización de procesos con IA deja de ser un lujo y se vuelve una herramienta de cumplimiento.

Las multas, y por qué te afectan aunque no seas OIV

Las sanciones son serias. Para las infracciones más graves, la Ley 21.663 contempla multas de hasta 40.000 UTM —del orden de $2.800 millones al valor actual de la UTM, que el SII fija cada mes—, según el texto de la ley en la Biblioteca del Congreso Nacional. Para un OIV, eso es un riesgo de primer orden.

¿Y si eres una pyme proveedora? No te multan a ti directamente, pero el incentivo se traslada igual. Cuando tu cliente arriesga miles de millones por una brecha que entró por uno de sus proveedores, va a apretar a toda su cadena. Lo concreto, según firmas legales que analizaron la nómina final de 915 OIV publicada por la ANCI, es que los proveedores tecnológicos de estos operadores deberán adoptar estándares de seguridad, auditorías y capacitación para seguir siendo proveedores. Quedarte sin cumplir no te cuesta una multa: te cuesta el contrato.

Plan de ciberseguridad para una pyme: por dónde partir

No necesitas montar el aparato completo de un banco para dar pasos serios. La propia ANCI publicó sus 9 básicos de la ciberseguridad como punto de partida. Traducido a una hoja de ruta para una pyme:

  1. Levanta un inventario de tus sistemas y datos. No puedes proteger lo que no sabes que tienes. Qué servidores, qué cuentas, qué datos sensibles, dónde están.
  2. Cierra lo básico: contraseñas robustas, segundo factor de autenticación en todo lo crítico, respaldos automáticos y probados, software actualizado.
  3. Define quién responde. Una persona a cargo y un procedimiento simple: si pasa algo, a quién se avisa y en qué orden.
  4. Activa monitoreo y registros. Que tus sistemas dejen rastro y te alerten. Sin esto, el plazo de 3 horas es imposible de cumplir.
  5. Ordena a tus proveedores. Los servicios externos que tocan tus datos también son parte de tu superficie de riesgo.

Los puntos 1, 4 y 5 son, en el fondo, un problema de software: un inventario vivo, alertas automáticas y trazabilidad no se sostienen en una planilla Excel que alguien actualiza cuando se acuerda. Cuando los sistemas que usas a diario —ERP, CRM, facturación— se construyen pensando en seguridad desde el inicio, el cumplimiento deja de ser una carga aparte. Esa es la lógica del software a medida con seguridad incorporada: los registros auditables, los controles de acceso y las alertas vienen de fábrica, no como un parche al final.

En nuestros proyectos hemos visto cómo automatizar tareas manuales reduce entre 60% y 80% el tiempo operativo; ese mismo enfoque aplicado al monitoreo y los registros convierte una obligación legal en un proceso que corre solo y deja evidencia. Trabajamos con precio fijo, sin sorpresas y entregándote el código fuente: lo que construyes para cumplir, queda tuyo.

Preguntas frecuentes

¿La Ley 21.663 obliga a todas las pymes de Chile? No directamente. Obliga a los Operadores de Importancia Vital y a los servicios esenciales. Pero si eres proveedor de alguno de ellos, heredas las exigencias por contrato, y el estándar de seguridad ya es el mínimo que el mercado espera de cualquier empresa.

¿Qué diferencia hay con la Ley de Protección de Datos (21.719)? La 21.663 protege la seguridad de los sistemas e infraestructura; la 21.719 protege la privacidad de los datos personales. Son complementarias y muchas empresas deberán cumplir ambas. Si quieres saber cómo estás frente a la 21.719, haz nuestro test gratuito de cumplimiento o revisa los paquetes de adecuación con precio fijo.

¿Cuánto cuesta empezar a cumplir? Los primeros pasos —inventario, segundo factor, respaldos, una persona responsable— tienen costo bajo y alto impacto. La inversión mayor aparece cuando automatizas monitoreo y construyes sistemas con seguridad incorporada, y se justifica por el riesgo que cubre.

¿Qué pasa si tengo un incidente y no lo reporto? Para las entidades obligadas, omitir el reporte es una infracción con multas asociadas. Para una pyme proveedora, no detectar ni avisar un incidente puede significar perder la confianza —y el contrato— de tu cliente principal.

¿Por dónde empiezo si no tengo equipo técnico? Por un diagnóstico: qué sistemas y datos tienes, dónde están tus brechas y qué tres cosas mover primero. No necesitas contratar un área de TI para dar los primeros pasos serios.

Da el primer paso sin frenar tu operación

La ciberseguridad dejó de ser un tema “para grandes”. Con la Ley 21.663, o tienes los sistemas para detectar, registrar y responder, o quedas expuesto a multas y a perder clientes que ahora están obligados a exigirte más. La buena noticia es que la mayor parte del cumplimiento es trabajo de software bien hecho, no de burocracia.

Si quieres saber dónde está parada tu empresa, agenda un diagnóstico gratuito de 15 minutos: revisamos tus sistemas, identificamos las brechas que más arriesgan tu operación y te proponemos un plan concreto en menos de 24 horas. Precio fijo, sin sorpresas, y el código siempre tuyo.

Tags

#Ley 21.663 #ciberseguridad #ciberseguridad pymes #ANCI #OIV #ciberseguridad Chile #cumplimiento #tecnología

¿Este artículo te fue útil?

Implementamos lo que enseñamos. Agenda una llamada de 15 minutos y analizamos cómo aplicar esto en tu empresa.

Quiero una consulta gratuita