Ley 21.663 (Ley Marco de Ciberseguridad) e ISO 27001: cómo prepararse en Chile

Última actualización: julio de 2026 · Por Marcos Díaz Rojas — Consultor Senior en Sistemas de Gestión ISO, Auditor Líder de SGSI (ISO 27001)

Respuesta directa: la Ley 21.663 (Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información) establece en Chile obligaciones de gestión de ciberseguridad y de reporte de incidentes, especialmente para los operadores de importancia vital (OIV) y los servicios esenciales, bajo la supervisión de la ANCI (Agencia Nacional de Ciberseguridad). ISO/IEC 27001 es el marco de gestión estructurado para responder: un sistema basado en riesgos, con controles, gestión de incidentes y mejora continua que produce la evidencia que el regulador espera.

Qué es la Ley 21.663

Es la ley marco que ordena la ciberseguridad en Chile: crea la Agencia Nacional de Ciberseguridad (ANCI), define categorías de organizaciones sujetas a obligaciones y establece deberes de gestión de riesgos y de notificación de incidentes de ciberseguridad. Su objetivo es elevar la resiliencia del país frente a amenazas digitales y proteger la infraestructura crítica de la información.

A quién aplica y qué exige

Cómo ISO 27001 ayuda a cumplir

ISO/IEC 27001:2022 aporta exactamente la maquinaria que la ley pide: un Sistema de Gestión de Seguridad de la Información basado en riesgos, con los 93 controles del Anexo A (incluidos gestión de incidentes, continuidad, monitoreo e inteligencia de amenazas), roles definidos, medición y mejora continua. No es una equivalencia legal automática, pero implementar ISO 27001 estructura la evidencia de cumplimiento y reduce el esfuerzo frente a la fiscalización.

Qué hacer ahora

  1. Determina si tu organización es OIV o presta servicios esenciales.
  2. Implementa (o alinea) un SGSI conforme a ISO 27001:2022.
  3. Refuerza la gestión de incidentes y el reporte a la autoridad.
  4. Si usas IA, intégralo con ISO 42001 para gobernar también esos riesgos.
Evalúa tu preparación frente a la Ley 21.663: Pre-Evaluación gratuita

Preguntas frecuentes

¿Qué es la Ley 21.663?
La Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información de Chile, que crea la ANCI y establece obligaciones de gestión de ciberseguridad y de reporte de incidentes.
¿A quién aplica?
Principalmente a los operadores de importancia vital (OIV) y servicios esenciales, con obligaciones más estrictas para ellos.
¿ISO 27001 me hace cumplir la Ley 21.663 automáticamente?
No automáticamente, pero aporta el sistema de gestión, los controles y la evidencia que facilitan el cumplimiento y demuestran diligencia.
¿Quién fiscaliza?
La Agencia Nacional de Ciberseguridad (ANCI).

Sobre el autor

Marcos Díaz Rojas es Ingeniero Civil Industrial (Magíster en Gestión de Activos), Consultor Senior con más de 20 años de trayectoria en Sistemas de Gestión ISO, Auditor IRCA/ICQ (SGEn) e Implementador y Auditor Líder certificado. Es Auditor Líder de SGSI (ISO/IEC 27001) con experiencia directa implementando la norma. Perfil en LinkedIn.

Contenido elaborado por Normexus. Información de referencia; los requisitos formales se rigen por la Ley 21.663 y su reglamentación vigentes y por la norma ISO/IEC 27001:2022.