Desde abril de 2024, entró en vigor en Chile la Ley Marco de Ciberseguridad, marcando un antes y un después para las empresas. Esta normativa establece un nuevo estándar para la protección de sistemas e infraestructuras críticas, convirtiendo la ciberseguridad en un asunto legal, estratégico y urgente.En Faraday tomamos esta ley como referencia para ayudarte a implementar medidas clave que mantengan seguros los datos de tu empresa. También queremos mostrarte cómo podemos acompañarte en el cumplimiento de esta nueva obligación legal.
¿De qué se trata la nueva Ley de Ciberseguridad?
Los objetivos y resultados más sobresalientes de esta ley son:
- Proteger la infraestructura digital crítica del país
- Garantizar la confidencialidad, disponibilidad e integridad de los sistemas informáticos del sector público y privado.
- Definir estándares y exigencias de ciberseguridad para los operadores de importancia vital y servicios esenciales. Entre ellos, adoptar buenas prácticas, estándares técnicos y marcos normativos internacionales (como ISO 27001, NIST, etc.), según lo determine la autoridad. Además, se cumple en fomentar una gestión proactiva de riesgos, no solo reactiva ante incidentes.
- Crea una nueva institucionalidad. La ley crea la Agencia Nacional de Ciberseguridad (ANCI), una entidad técnica y especializada encargada de supervisar y coordinar la implementación de medidas de ciberseguridad en todo el territorio nacional.
- Establece el Equipo Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), responsable de coordinar la respuesta a ciberataques o incidentes de ciberseguridad a escala nacional.
- Obliga a las instituciones públicas y privadas que prestan servicios esenciales o sean consideradas operadores de importancia vital a reportar al CSIRT Nacional los ciberataques e incidentes de ciberseguridad que puedan tener efectos significativos.
¿A quiénes alcanza?
Deberán implementar un Sistema de Gestión de Seguridad de la Información (SGSI) homologado por la ANCI.Además, deberán contar con un Delegado de Ciberseguridad y mantener actualizados sus planes de continuidad operacional y respuesta a incidentes.La ley se aplica a:
- Empresas proveedoras de servicios esenciales (energía, agua, telecomunicaciones, banca, etc.).
- Instituciones públicas y privadas que operan infraestructura crítica.
- Empresas que procesan datos personales sensibles o gestionan plataformas digitales de gran escala.
- Entidades con vínculos en la cadena de suministro de sectores estratégicos.
¿Qué implica un SGSI?
- Identificar riesgos que afectan a la confidencialidad, integridad y disponibilidad de la información.
- Definir controles para mitigar esos riesgos.
- Supervisar y mejorar continuamente la seguridad de la información.
- Demostrar cumplimiento ante auditorías o autoridades regulatorias.
La ley exige además la adopción de controles mínimos:
- Autenticación segura (por ejemplo, MFA)
- Cifrado de datos sensibles
- Gestión de parques y vulnerabilidades
- Registro y seguimiento continuo de eventos de seguridad
- Planes de recuperación y continuidad operacional que permitan mantener servicios críticos en caso de incidente
Seguimos profundizando en puntos clave de la Ley:
- Notificación obligatoria de incidentes al CSIRT NacionalLos OIV y las entidades públicas/privadas que presten servicios esenciales deben reportar cualquier ciberataque o incidente significativo en un plazo máximo de 3 horas desde su detección.Para ello, se publicó el Decreto Supremo N.º 295 de 2024 (Ministerio del Interior), que establece los requisitos mínimos de dichos informes y el procedimiento de notificación al CSIRT Nacional (incluyendo la plataforma asíncrona en línea disponible 24/7).Asimismo, la Resolución Exenta N.º 7 de 2025 (ANCI) aprobó la taxonomía oficial de incidentes, clasificándolos según su gravedad y efecto.
- Régimen de sanciones e infraccionesLas multas pueden ascender hasta cientos de millas de UTM (Unidad Tributaria Mensual).Las infracciones incluyen desde no contar con un SGSI, incumplir plazos de notificación al CSIRT, hasta fallas en la designación de delegados de ciberseguridad.
Con estas disposiciones, Chile se alinea con normativas internacionales (e.g. NIS2 UE) para proteger servicios críticos. E impulsa una cultura de ciberseguridad transversal: la prevención, detección y respuesta ya no recaen solo en el área TI, sino en cada colaborador de una entidad esencial.Te presentamos un formulario con el que, en solo unos minutos, vas a poder obtener una radiografía de tu situación de seguridad frente a la ley. Esta simulación de análisis de brecha te va a ofrecer datos valiosos para ayudarte a definir tus próximos pasos.
Capacitaciones, gestión de vulnerabilidades, servicios de red teaming o escaneo continuo... lo que necesites, ¡estamos para ayudarte! 🚀⚡
