Ley 21.663 de Ciberseguridad en Chile — Lo que tu empresa debe saber en 2026

Chile tiene desde 2024 la ley de ciberseguridad más ambiciosa de América Latina. Si tu empresa opera servicios esenciales o maneja infraestructura crítica, la Ley 21.663 ya te aplica — y las multas pueden llegar a los 2.800 millones de pesos. En esta guía te explicamos qué dice la ley, a quién afecta y qué pasos concretos puedes dar hoy para cumplir.

Qué es la Ley 21.663 y por qué importa

La Ley 21.663, conocida como la Ley Marco sobre Ciberseguridad, fue promulgada el 26 de marzo de 2024 y publicada en el Diario Oficial el 8 de abril del mismo año. Es el primer marco regulatorio integral que Chile tiene en materia de ciberseguridad, y llega en un contexto donde los ciberataques a empresas e instituciones públicas chilenas se multiplicaron en los últimos años.

El objetivo de la ley es claro: establecer la institucionalidad, los principios y la normativa que permitan estructurar, regular y coordinar las acciones de ciberseguridad entre organismos del Estado y el sector privado. En términos prácticos, la ley crea nuevas instituciones, define obligaciones concretas para empresas de sectores críticos y establece un régimen de multas severo para quienes no cumplan.

Las disposiciones principales entraron en vigencia el 1 de enero de 2025, mientras que las normas más críticas — incluyendo el régimen sancionatorio, la calificación de Operadores de Importancia Vital y la obligación de reportar incidentes — se aplican desde el 1 de marzo de 2025. Esto significa que, a la fecha de publicación de este artículo, la ley ya está plenamente operativa.

La Agencia Nacional de Ciberseguridad (ANCI) — Qué es y qué hace

La ley crea la Agencia Nacional de Ciberseguridad (ANCI), el organismo técnico encargado de fiscalizar, regular y sancionar en materia de ciberseguridad en Chile. La ANCI comenzó a operar el 2 de enero de 2025 bajo la dirección de Daniel Álvarez Valenzuela, designado por el Presidente Gabriel Boric.

Las funciones principales de la ANCI incluyen:

• Asesorar al Presidente en la elaboración de políticas, planes y programas de acción en ciberseguridad.
• Fiscalizar el cumplimiento de las obligaciones de ciberseguridad en entidades críticas y esenciales.
• Coordinar la respuesta nacional frente a incidentes graves que afecten servicios esenciales o infraestructuras críticas.
• Emitir directrices y recomendaciones alineadas con buenas prácticas y estándares internacionales.
• Administrar la Red de Conectividad Segura del Estado y requerir antecedentes para prevenir incidentes.
• Promover la educación y capacitación en ciberseguridad a nivel nacional.

Además de la ANCI, la ley crea el Consejo Multisectorial sobre Ciberseguridad, el Comité Interministerial sobre Ciberseguridad y fortalece los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT), incluyendo el CSIRT Nacional, que es la entidad a la cual deben reportarse los incidentes.

El portal oficial de reportes está disponible en portal.anci.gob.cl las 24 horas del día, los 7 días de la semana.

¿A quién aplica la ley? Servicios Esenciales y Operadores de Importancia Vital

La Ley 21.663 distingue dos categorías de organizaciones reguladas:

Prestadores de Servicios Esenciales (PSE)

Son organizaciones públicas y privadas que operan en sectores considerados críticos para el funcionamiento del país. Los sectores cubiertos incluyen:

• Energía (generación, transmisión y distribución eléctrica)
• Combustibles y agua potable
• Telecomunicaciones e infraestructura digital
• Transporte (terrestre, aéreo, ferroviario y marítimo)
• Servicios financieros, bancarios y medios de pago
• Instituciones prestadoras de salud (hospitales, clínicas)
• Sector farmacéutico y seguridad social
• Servicios postales y de mensajería
• Servicios digitales, infraestructura TI y servicios en la nube

Todos los PSE deben cumplir con las obligaciones básicas de reporte de incidentes al CSIRT Nacional.

Operadores de Importancia Vital (OIV)

Dentro de los PSE, la ANCI designa como Operadores de Importancia Vital (OIV) a aquellas organizaciones cuya interrupción, destrucción o afectación de redes y sistemas puede tener un impacto significativo en la seguridad pública, la economía, la salud o el orden público del país.

Los OIV tienen obligaciones adicionales y más estrictas que los PSE generales, y las multas por incumplimiento son el doble.

La nómina de OIV en 2025 y 2026

En el primer procedimiento de calificación, la ANCI evaluó inicialmente 1.712 instituciones y finalmente designó 915 Operadores de Importancia Vital. La distribución por sector es la siguiente:

Sector	OIV designados	Porcentaje del sector
Servicios digitales, infraestructura TI y servicios en la nube	413	0,7% de las empresas registradas
Administración del Estado	158	Organismos centrales y regionales
Empresas eléctricas	147	17% del sector
Instituciones de salud	114	Públicas y privadas
Sector bancario, financiero y medios de pago	34	—
Telecomunicaciones	29	3,8% del total registrado en Subtel
Empresas públicas	20	—

El segundo procedimiento de calificación ya está en curso y abarcará sectores como transporte, farmacéutica y seguridad social. La lista preliminar de esta segunda ronda se conocerá en marzo de 2026 y la definitiva durante el primer semestre de 2026, lo que significa que más empresas quedarán sujetas a estas obligaciones en los próximos meses.

Obligaciones concretas para las empresas

La ley establece distintos niveles de obligación según la categoría de la organización. Estos son los requisitos clave:

1. Reporte obligatorio de incidentes

Desde el 1 de marzo de 2025, tanto PSE como OIV deben reportar incidentes de ciberseguridad al CSIRT Nacional a través del portal oficial. Los plazos son estrictos y perentorios:

Etapa	Plazo	Contenido
Alerta temprana	3 horas desde la detección	Notificación inicial del incidente al CSIRT Nacional
Informe preliminar	72 horas (24 horas si el OIV tiene servicio interrumpido)	Vectores de ataque conocidos, sistemas afectados, evaluación inicial
Plan de acción	7 días	Medidas de remediación y prevención planificadas
Informe final	15 días corridos desde la alerta temprana	Análisis forense completo, acciones correctivas implementadas

Estos plazos están regulados por el Decreto Supremo N.° 295 de 2024 del Ministerio del Interior y Seguridad Pública, que aprueba el Reglamento de Reporte de Incidentes de Ciberseguridad. La taxonomía de incidentes y los mecanismos de reporte fueron detallados en la Resolución Exenta N.° 7 de 2025 de la ANCI.

2. Sistema de Gestión de Seguridad de la Información (SGSI)

Los OIV deben implementar un SGSI certificado bajo ISO 27001. Esto implica documentar políticas de seguridad, gestionar riesgos de forma sistemática, controlar accesos, proteger activos de información y someterse a auditorías periódicas. No es opcional: la ANCI puede verificar su cumplimiento en cualquier momento.

3. Delegado de ciberseguridad

Cada OIV debe designar un delegado de ciberseguridad con autoridad a nivel de directorio. Esta persona es el punto de contacto con la ANCI y responsable de coordinar la respuesta ante incidentes dentro de la organización.

4. Planes de continuidad operacional

Los OIV deben contar con planes de continuidad operacional con foco en ciberseguridad, que incluyan ejercicios y simulaciones periódicas. El objetivo es asegurar que la organización pueda mantener sus servicios críticos durante y después de un incidente.

5. Evaluaciones de riesgo y capacitación permanente

La ley exige gestión formal de riesgos que evalúen amenazas y vulnerabilidades de forma continua, además de programas permanentes de capacitación para el personal en materia de ciberseguridad y protocolos de respuesta.

6. Monitoreo continuo y registro de eventos

Los OIV deben mantener monitoreo continuo y registro (logging) de eventos de seguridad. Esto significa contar con infraestructura que permita detectar, registrar y analizar actividad sospechosa en tiempo real — un punto donde la tecnología de firewall juega un rol central.

Multas y sanciones: lo que está en juego

El régimen sancionatorio de la Ley 21.663 es uno de los más severos del ordenamiento jurídico chileno reciente. Las multas se clasifican en tres niveles de gravedad y varían según si la organización es PSE o OIV:

Tipo de infracción	PSE (Servicio Esencial)	OIV (Importancia Vital)
Leve	Hasta 5.000 UTM (~$349 millones CLP)	Hasta 10.000 UTM (~$699 millones CLP)
Grave	Hasta 10.000 UTM (~$699 millones CLP)	Hasta 20.000 UTM (~$1.398 millones CLP)
Gravísima	Hasta 20.000 UTM (~$1.398 millones CLP)	Hasta 40.000 UTM (~$2.796 millones CLP)

Valores aproximados calculados con UTM de marzo 2026 = $69.889 CLP. El valor de la UTM se actualiza mensualmente según el IPC.

Para ponerlo en perspectiva: una infracción gravísima para un OIV puede costar casi 2.800 millones de pesos chilenos (aproximadamente 3 millones de dólares). No reportar un incidente a tiempo, no contar con un SGSI implementado o no tener planes de continuidad operacional puede calificar como infracción grave o gravísima dependiendo de las circunstancias.

Cómo un firewall de próxima generación ayuda a cumplir la ley

Un firewall de próxima generación (NGFW) como los equipos FortiGate de Fortinet no es solo una barrera perimetral: es una pieza fundamental de la infraestructura de cumplimiento normativo. Así es como un FortiGate contribuye directamente a varias obligaciones de la Ley 21.663:

• Monitoreo continuo y logging: Los FortiGate generan registros detallados de todo el tráfico de red, intentos de intrusión, conexiones bloqueadas y actividad sospechosa. Estos logs son la evidencia base que necesitas para el reporte de incidentes al CSIRT y para auditorías de la ANCI.
• Sistema de Prevención de Intrusiones (IPS): La función IPS integrada detecta y bloquea ataques conocidos en tiempo real, ayudando a contener incidentes antes de que escalen — algo crítico cuando tienes solo 3 horas para emitir la alerta temprana.
• Soporte a SGSI e ISO 27001: Fortinet está certificado en ISO 27001 y SOC2 Type 2. Los equipos FortiGate permiten implementar controles de acceso, segmentación de red, políticas de seguridad granulares y auditorías automatizadas, todos requisitos del SGSI que exige la ley.
• Continuidad operacional: Con funciones de alta disponibilidad (HA), failover automático y VPN segura, un FortiGate correctamente dimensionado asegura que tus servicios críticos sigan operando durante un incidente.
• Reportes de cumplimiento: Integrado con FortiAnalyzer, puedes generar reportes automáticos de seguridad alineados con marcos normativos, facilitando la documentación que la ANCI puede requerir.
• Protección multicapa: Antivirus, filtrado web, control de aplicaciones y sandboxing trabajan en conjunto para reducir la superficie de ataque y demostrar que tu organización tomó medidas preventivas razonables.

No se trata de que un firewall por sí solo garantice el cumplimiento de la Ley 21.663 — la norma exige mucho más que tecnología. Pero sin una infraestructura de seguridad sólida como base, cumplir con las obligaciones de monitoreo, detección, logging y respuesta es prácticamente imposible.

Explora nuestro catálogo de firewalls FortiGate para encontrar el equipo adecuado al tamaño y necesidades de tu red, o solicita una cotización con asesoría para evaluar qué modelo se ajusta a tu escenario de cumplimiento.

Pasos prácticos para cumplir con la Ley 21.663

Si tu empresa es (o podría ser) un PSE u OIV, estos son los pasos concretos que recomendamos abordar:

1. Verifica tu situación regulatoria. Consulta la nómina de OIV publicada en anci.gob.cl y determina si tu organización fue designada o si podría serlo en la segunda ronda (primer semestre 2026). Si operas en un sector de servicios esenciales, las obligaciones básicas de reporte ya te aplican.
2. Designa un delegado de ciberseguridad. Si eres OIV, este rol es obligatorio. Pero incluso para PSE es una buena práctica tener un responsable claro que coordine la respuesta ante incidentes y sea el enlace con la ANCI.
3. Realiza una evaluación de riesgos. Identifica tus activos críticos, evalúa amenazas y vulnerabilidades, y prioriza los controles necesarios. Este es el punto de partida para cualquier SGSI.
4. Implementa infraestructura de seguridad perimetral. Un firewall de próxima generación con IPS, logging centralizado y capacidad de segmentación de red es el mínimo para cumplir con las exigencias de monitoreo y detección. Nuestra guía para elegir firewall puede ayudarte a definir el equipo adecuado.
5. Establece procedimientos de reporte. Documenta un protocolo interno para que tu equipo sepa exactamente qué hacer cuando detecta un incidente: quién notifica, cómo se escala, cómo se genera la alerta temprana en las primeras 3 horas y cómo se prepara el informe preliminar en 72 horas.
6. Desarrolla planes de continuidad operacional. Define cómo tu organización mantendrá sus servicios críticos durante un ciberataque. Incluye escenarios, roles y realiza simulaciones periódicas.
7. Inicia la certificación ISO 27001. Si eres OIV, la implementación de un SGSI certificado es obligatoria. Si eres PSE, es altamente recomendable como preparación ante una posible designación como OIV en rondas futuras.
8. Capacita a tu personal. La ley exige capacitación permanente. Implementa programas de concientización en ciberseguridad para todos los colaboradores, no solo el equipo de TI.
9. Configura alertas y monitoreo 24/7. Establece un esquema de monitoreo de alertas de seguridad que permita detectar incidentes a cualquier hora. El reloj de las 3 horas comienza cuando se detecta el incidente, no cuando alguien lo revisa al día siguiente.
10. Asesórate legalmente. Trabaja con un abogado especializado en ciberseguridad para asegurar que tus políticas, contratos con proveedores y procedimientos internos estén alineados con la ley.

Nuestro equipo de servicios profesionales puede apoyarte en la implementación técnica: dimensionamiento de firewall, configuración de políticas de seguridad, puesta en marcha de logging centralizado y segmentación de red alineados a los requerimientos de la Ley 21.663.

Preguntas frecuentes sobre la Ley 21.663

¿La Ley 21.663 aplica solo a empresas grandes?

No necesariamente. La ley aplica a todos los Prestadores de Servicios Esenciales, independientemente de su tamaño. Una empresa mediana que provea servicios de TI o infraestructura digital a una institución regulada puede quedar dentro del alcance. De hecho, 413 empresas del sector de servicios digitales e infraestructura TI fueron designadas como OIV en la primera ronda, muchas de ellas medianas. Consulta con un abogado especializado si tienes dudas sobre tu situación.

¿Cuánto tiempo tengo para reportar un incidente de ciberseguridad?

Tienes 3 horas desde la detección del incidente para emitir la alerta temprana al CSIRT Nacional. Luego, 72 horas para el informe preliminar (24 horas si eres OIV y el servicio sigue interrumpido), 7 días para el plan de acción y 15 días corridos para el informe final con análisis forense completo. El reporte se realiza a través del portal portal.anci.gob.cl.

¿Qué pasa si mi empresa no fue designada como OIV pero opera en un sector esencial?

Aún debes cumplir con las obligaciones básicas de reporte de incidentes al CSIRT Nacional como Prestador de Servicios Esenciales. Además, la segunda ronda de calificación de OIV está en curso durante 2026 y abarca nuevos sectores, por lo que tu empresa podría quedar incluida próximamente. Es recomendable prepararse anticipadamente.

¿Necesito certificación ISO 27001 para cumplir con la ley?

Si tu empresa fue designada como OIV, sí — la implementación de un SGSI certificado bajo ISO 27001 es una obligación legal. Si eres PSE sin designación OIV, la certificación no es obligatoria por el momento, pero es altamente recomendable. Muchas empresas la adoptan como preparación ante futuras designaciones y porque facilita enormemente el cumplimiento de las obligaciones de reporte y gestión de riesgos.

¿Un firewall es suficiente para cumplir con la Ley 21.663?

No. Un firewall es un componente esencial de la infraestructura de seguridad, pero la ley exige mucho más: un SGSI documentado, planes de continuidad, delegado de ciberseguridad, capacitación del personal, gestión de riesgos y procedimientos de reporte. Dicho esto, sin un firewall de próxima generación que provea IPS, logging, monitoreo y segmentación de red, cumplir con las exigencias técnicas de detección y reporte sería extremadamente difícil. El firewall es la base sobre la cual se construye el resto.

¿Cuál es la multa máxima que puede aplicar la ANCI?

La multa máxima es de 40.000 UTM para infracciones gravísimas cometidas por Operadores de Importancia Vital, lo que equivale a aproximadamente $2.796 millones de pesos chilenos (cerca de USD 3 millones) al valor de la UTM de marzo de 2026. Para Prestadores de Servicios Esenciales no designados como OIV, el máximo es de 20.000 UTM (~$1.398 millones CLP).

Cumplir no es opcional — y prepararse es más barato que la multa

La Ley 21.663 marcó un antes y un después en la ciberseguridad chilena. Con la ANCI ya operando, la nómina de OIV publicada, el régimen de sanciones activo y la segunda ronda de calificación en curso, la ventana para prepararse se está cerrando. Las empresas que inviertan hoy en infraestructura de seguridad, procesos de gestión y capacitación no solo evitarán multas millonarias, sino que estarán mejor preparadas para enfrentar las amenazas reales que motivaron esta legislación.

En FirewallsChile trabajamos exclusivamente con tecnología Fortinet y podemos ayudarte a implementar la infraestructura de seguridad que la ley exige. Contáctanos para una cotización personalizada o explora nuestro catálogo para comenzar a dimensionar tu solución.