Ley 21.663: Implicancias de la Nueva Ley de Ciberseguridad para Empresas en Chile

Ley Marco de Ciberseguridad en Chile: Cómo la Ley 21.663 Transformará la Gestión de Ciberseguridad en las Empresas

En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad estratégica para las empresas y el Estado. Chile no es la excepción. La publicación de la Ley 21.663 en abril de 2024 marca un hito en la regulación de la ciberseguridad, proporcionando un marco robusto que busca prevenir y mitigar incidentes en este campo. Esta normativa redefine las expectativas y responsabilidades tanto para organismos estatales como para entidades privadas que operan infraestructuras críticas. ¿Qué implica esto para las empresas y cómo pueden prepararse para cumplir con estos nuevos requisitos?

La Nueva Realidad Regulatoria Chilena: Ley 21.663

La Ley 21.663, conocida como la Ley Marco de Ciberseguridad, establece claramente las responsabilidades de ciberseguridad para un amplio espectro de entidades en Chile. Esta ley se centra en proteger tanto las infraestructuras críticas de información (ICI) como los servicios esenciales que sustentan la economía y la sociedad chilena ante ciberataques. Este conjunto de regulaciones responde a la necesidad de que el país se alinee con estándares internacionales como ISO 27001 y NIST, asegurando una gestión de ciberseguridad coordinada y efectiva a nivel nacional.

Con la creación del Sistema Nacional de Ciberseguridad, coordinado por la Agencia Nacional de Ciberseguridad (ANCI), Chile busca centralizar la supervisión y fiscalización del cumplimiento, promoviendo un enfoque integrado que vincule a actores clave tanto del sector público como privado.

Obligaciones y Ámbitos de Aplicación

Uno de los aspectos más destacables de la Ley 21.663 es su aplicación amplia, que obliga a diferentes tipos de organizaciones a adherirse a prácticas de ciberseguridad reforzadas. Esto incluye:

• Organismos del Estado: Deben no solo gestionar de manera segura su información sino también coordinar con entidades privadas en materia de seguridad cibernética.
• Instituciones que Prestan Servicios Esenciales: Sectores como banca, telecomunicaciones, energía, y salud, que son vitales para el funcionamiento del país, deben seguir directrices estrictas para garantizar la continuidad de sus servicios ante incidentes.
• Operadores de Importancia Vital (OIV): Identificados por la ANCI, estas entidades, que pueden incluir empresas del sector eléctrico, deben elevar sus estándares de ciberseguridad significativamente.

A través de definiciones claras de términos como “ciberseguridad”, “incidente de ciberseguridad”, y “resiliencia”, la ley no solo regula las acciones sino que también establece un marco de referencia claro que guía a las empresas en el desarrollo de sus políticas y procedimientos internos.

Implicancias Prácticas para las Empresas

Para las empresas, cumplir con la Ley 21.663 no es una opción, es una necesidad. Aquellas que efectivamente integren estos nuevos requisitos en sus operaciones internas no solo evitarán sanciones, sino que también fortalecerán su posición en el mercado. Algunos pasos críticos incluyen:

Establecer Protocolos de Respuesta y Reporte de Incidentes

La ley exige que las empresas cuenten con protocolos establecidos para reportar cualquier incidente de ciberseguridad al CSIRT Chile de manera rápida y eficiente. La coordinación con la ANCI es fundamental para asegurar una respuesta cohesiva y minimizar el impacto de potenciales ciberataques.

Adopción de Estándares Mínimos Obligatorios

Las organizaciones deben implementar controles de seguridad, documentar procesos, y coordinar sus actividades internas y con proveedores externos según las disposiciones de la ley. Esto significa inscribirse en registros pertinentes, preparar programas de resiliencia y gestionar de manera proactiva los riesgos.

Evaluación y Mejora Continua

Las empresas deben realizar evaluaciones periódicas de sus sistemas para detectar vulnerabilidades y modificar sus políticas para alinearse con las mejores prácticas internacionales. La gestión proactiva no solo reduce las vulnerabilidades sino que también asegura que las empresas estén siempre un paso adelante respecto a las amenazas emergentes.

Sanciones y Consecuencias de Incumplimiento

El cumplimiento de la Ley 21.663 no se toma a la ligera. Las infracciones se clasifican en leves, graves y gravísimas, con sanciones que incluyen multas significativas en UTM, sobre todo para los OIV. Más allá de las sanciones económicas, las empresas enfrentan una exposición reputacional que podría afectar su operativa comercial y la confianza del cliente.

Conclusión: El Camino hacia una Ciberseguridad Robusta y Efectiva

La implementación de la Ley 21.663 es un recordatorio claro de la importancia de una ciberseguridad sólida para el futuro de las operaciones empresariales en Chile. No es solo una obligación legal, sino una oportunidad para que las empresas refuercen su estructura de seguridad, protejan sus datos, y garanticen la confianza del cliente.

Antes de dar el siguiente paso, ¿sabes realmente en qué posición está tu empresa respecto a esta normativa crucial? En EFECTUS, hemos desarrollado un Panel de Diagnóstico gratuito con tres tests de autoevaluación, uno por cada ley clave (Ley 20.393, Ley 21.663 y Ley 21.719), para que identifiques tus brechas reales antes de que lo haga un regulador. Accede hoy mismo en efectus.cl/autoevaluacion/ y asegura el camino al cumplimiento con confianza y seguridad.

Además, es importante tener en cuenta cómo la Ley 21.663 se alinea con otras normativas en Chile. Por ejemplo, el cumplimiento normativo en ciberseguridad y la implementación de sistemas de gestión son esenciales para enfrentar los desafíos actuales. Puedes leer más al respecto en Cumplimiento y Seguridad: Conoce el Marco Legal Chileno en Ciberseguridad y Compliance y en Ciberseguridad: Cómo proteger activos digitales y cumplir con la Ley 21.663 en Chile y Latinoamérica.