Ley 21.663 (Ley Marco de Ciberseguridad) e ISO 27001: cómo prepararse en Chile
Qué es la Ley 21.663
Es la ley marco que ordena la ciberseguridad en Chile: crea la Agencia Nacional de Ciberseguridad (ANCI), define categorías de organizaciones sujetas a obligaciones y establece deberes de gestión de riesgos y de notificación de incidentes de ciberseguridad. Su objetivo es elevar la resiliencia del país frente a amenazas digitales y proteger la infraestructura crítica de la información.
A quién aplica y qué exige
- Operadores de importancia vital (OIV) y servicios esenciales, con obligaciones más estrictas.
- Adoptar medidas de gestión de riesgos de ciberseguridad de forma continua.
- Reportar incidentes de ciberseguridad a la autoridad en los plazos definidos.
- Designar responsables y demostrar gobernanza y mejora continua.
Cómo ISO 27001 ayuda a cumplir
ISO/IEC 27001:2022 aporta exactamente la maquinaria que la ley pide: un Sistema de Gestión de Seguridad de la Información basado en riesgos, con los 93 controles del Anexo A (incluidos gestión de incidentes, continuidad, monitoreo e inteligencia de amenazas), roles definidos, medición y mejora continua. No es una equivalencia legal automática, pero implementar ISO 27001 estructura la evidencia de cumplimiento y reduce el esfuerzo frente a la fiscalización.
Qué hacer ahora
- Determina si tu organización es OIV o presta servicios esenciales.
- Implementa (o alinea) un SGSI conforme a ISO 27001:2022.
- Refuerza la gestión de incidentes y el reporte a la autoridad.
- Si usas IA, intégralo con ISO 42001 para gobernar también esos riesgos.
Preguntas frecuentes
- ¿Qué es la Ley 21.663?
- La Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información de Chile, que crea la ANCI y establece obligaciones de gestión de ciberseguridad y de reporte de incidentes.
- ¿A quién aplica?
- Principalmente a los operadores de importancia vital (OIV) y servicios esenciales, con obligaciones más estrictas para ellos.
- ¿ISO 27001 me hace cumplir la Ley 21.663 automáticamente?
- No automáticamente, pero aporta el sistema de gestión, los controles y la evidencia que facilitan el cumplimiento y demuestran diligencia.
- ¿Quién fiscaliza?
- La Agencia Nacional de Ciberseguridad (ANCI).