La ANCI y su rol con la ley 21.663: Ciberseguridad con reglas claras en empresas en Chile

La Agencia Nacional de Ciberseguridad (ANCI) llegó en el momento justo. Con los ciberataques creciendo sin pausa y volviéndose cada vez más complejos, era urgente tener una autoridad que pusiera orden. El 2025 DBIR de Verizon lo deja claro: el ransomware subió un 37 %, la explotación de vulnerabilidades llegó al 20 % y los terceros involucrados en brechas se duplicaron. No basta con tener buenas intenciones—hay que cumplir con reglas claras y que alguien las haga valer.

Por eso Chile creó la ANCI, bajo la Ley Marco de Ciberseguridad (Ley 21.663), que está operativa desde enero de 2025. Es una agencia técnica, autónoma, y dirigida por Daniel Álvarez Valenzuela, que tiene una tarea clave: reforzar la seguridad digital del país. Si tu empresa maneja infraestructura crítica o servicios digitales, esta ley y esta agencia ya son parte de tu día a día, te hayas dado cuenta o no.

¿Qué es la ANCI?

La ANCI, o Agencia Nacional de Ciberseguridad, fue creada con un propósito claro: reforzar la seguridad digital en todo el país. Su rol no es solo reactivo ante incidentes, sino estratégico. Busca anticiparse a las amenazas, mejorar la preparación de instituciones públicos y privadas para garantizar que las reglas del juego se cumplan.

Se clasifica como un organismo técnico y autónomo, lo que significa que no depende políticamente de otro ministerio y tiene margen para actuar con foco en lo que realmente importa: la seguridad. Aunque es parte del aparato público, su mandato se extiende también al sector privado, sobre todo a empresas que entregan servicios críticos o que podrían impactar la seguridad nacional si son atacadas.

Funciones principales de la ANCI

La ANCI no está para decorar ni para emitir recomendaciones blandas. Tiene poder, y lo usa. Esta agencia no solo diseña reglas, también las aplica, supervisa su cumplimiento y sanciona cuando corresponde. Si tu empresa está en sectores estratégicos o maneja servicios digitales importantes, estas funciones pueden afectar directamente cómo operas y te preparas ante incidentes.

Entre sus principales funciones se encuentran:

• Dictar normas y estándares técnicos obligatorios: establece los requisitos mínimos que deben cumplir las organizaciones en ciberseguridad.
• Supervisar y coordinar al CSIRT Nacional y los CSIRT sectoriales: se encarga de que los equipos de respuesta ante incidentes estén alineados, colaboren y funcionen de forma efectiva.
• Fiscalizar operadores de servicios esenciales y de importancia vital (OIV): monitorea si están cumpliendo con sus obligaciones legales en ciberseguridad.
• Aplicar sanciones en caso de incumplimiento: puede imponer multas considerables a quienes ignoren la normativa.
• Coordinar planes y ejercicios nacionales de ciberseguridad: organiza simulacros y estrategias para evaluar la preparación del país ante ataques.
• Promover la cultura de ciberseguridad en el país: impulsa campañas de concientización, asesorar al Presidente y formación para que la ciberseguridad no quede solo en manos de los técnicos.
• Asesorar al Presidente de la República: participa en la formulación de políticas y planes nacionales en la materia.
• Crear y administrar el Registro Nacional de Incidentes (RNI): centraliza información clave sobre incidentes para prevenir futuros ataques.

¿Cómo afecta la ANCI a tu empresa?

Como verás, tener una empresa en Chile ya no es solo cumplir con impuestos y regulaciones laborales. Si tu negocio depende de sistemas digitales o entrega servicios esenciales, la ANCI puede tener algo que decir sobre cómo gestionas tu seguridad. No se trata de intenciones: hay nuevas obligaciones claras que podrían aplicarte… y sanciones si no las cumples.

¿Tu empresa puede ser calificada como Operador de Importancia Vital?

Sí, si tu empresa entrega servicios cuya interrupción puede afectar la seguridad, salud, economía o el orden público. La ANCI tiene la facultad de calificar organizaciones como OIV, lo que implica un mayor nivel de exigencia en ciberseguridad y vigilancia constante de sus sistemas críticos.

Impacto en empresas que prestan servicios digitales o manejan infraestructura crítica

Proveedores de telecomunicaciones, salud, energía, transporte y servicios financieros están en la mira. Pero también empresas tecnológicas o con plataformas digitales que soporten actividades clave. El impacto es directo: controles más estrictos, reportes obligatorios y la necesidad de demostrar que se está haciendo todo lo posible por prevenir ataques.

Estos son algunos de los controles y cambios impuestos:

Obligación de implementar Sistemas de Gestión de Seguridad de la Información (SGSI)

Si estás regulado por la Ley 21.663, tendrás que implementar un SGSI. Esto no es solo un documento: implica políticas, procedimientos de continuidad, responsables y monitoreo continuo. El objetivo es tener una estructura clara para prevenir, detectar y reaccionar frente a amenazas que pongan en riesgo la continuidad de tu operación.

Necesidad de designar un delegado de ciberseguridad

Tal como existe un delegado de protección de datos, las empresas reguladas deben nombrar a una persona responsable de la ciberseguridad. Esta figura será el punto de contacto con la ANCI y tendrá que coordinar la implementación de controles, reportes y respuestas ante incidentes dentro de la organización. No tener designado un delegado de ciberseguridad incurre en una falta leve.

Requisitos para reportar incidentes al CSIRT Nacional

Ante un ciberataque relevante, el tiempo apremia. Las empresas afectadas deben reportar al CSIRT Nacional en un plazo de hasta 3 horas desde la detección del incidente. Omitir este reporte no solo compromete la respuesta nacional, también puede traducirse en sanciones importantes.

Riesgos de fiscalización y sanciones

La ANCI tiene poder de fiscalización y no solo en papel. Si no cumples con los estándares exigidos, puedes enfrentar multas que van desde las 5.000 hasta las 40.000 UTM, dependiendo de la gravedad. Pero más allá del castigo económico, está el daño reputacional y operativo que puede significar una brecha mal manejada.

¿Qué deben hacer las empresas para cumplir con la ANCI?

Cumplir con la ANCI puede sonar complejo, pero no tiene por qué serlo si se aborda de forma ordenada. El primer paso es entender si tu empresa está en la mira de la ley. Desde ahí, se trata de implementar medidas concretas que te preparen para prevenir incidentes, responder cuando ocurren y demostrar que estás haciendo las cosas bien.

Pasos clave para alinearte con la ANCI:

1. Determina si estás regulado
2. Revisa si tu empresa califica como Operador de Importancia Vital o presta un servicio esencial. La ANCI puede incluirte en estas categorías según el impacto que tendría una falla de tu servicio en la seguridad nacional. Si la respuesta es sí (o incluso un “tal vez”), entonces es hora de dar los siguientes pasos.
3. Haz un diagnóstico de madurez en ciberseguridad
4. Evalúa tu situación actual: ¿tienes políticas? ¿controles técnicos implementados? ¿respuestas definidas? Este análisis te ayuda a identificar brechas y establecer prioridades claras.
5. Implementa un SGSI basado en estándares reconocidos
6. Utiliza marcos como ISO 27001 o NIST. No contar con un SGSI si estás obligado por ley es considerado una falta grave. Además, te entrega estructura y trazabilidad en tu gestión de riesgos.
7. Diseña políticas de respuesta a incidentes
8. Debes saber qué hacer si algo falla. Define protocolos de detección, comunicación, contención y recuperación. Y asegúrate de que estén claros para todos los involucrados.
9. Capacita a tu equipo
10. La ciberseguridad no depende solo del área técnica. Todos deben entender los riesgos y saber qué hacer. Desde la recepción hasta la alta dirección, todos tienen un rol que cumplir.
11. Alinea compliance con ciberseguridad
12. La seguridad no es solo un tema TI: es parte del cumplimiento normativo. Asegúrate de que tus políticas internas, contratos y prácticas estén alineados con los requisitos de la Ley 21.663.

Si gustas de saber de medidas más concretas, puedes echarle una mirada a los artículos 8º y 9º de la ley Nº 21.663. En dichos artículos se mencionan los deberes específicos de ciberdefensa y reporte para los operadores de importancia vital.

¿Y si no cumples? Riesgos y sanciones

La ANCI tiene el poder de fiscalizar tanto a instituciones públicas como privadas. Y no hablamos de fallas catastróficas: bastan omisiones como no reportar a tiempo un incidente, no contar con un plan de respuesta, o entregar información incompleta o errónea. Cualquier desajuste puede activar una revisión y derivar en sanciones.

Incumplir con la Ley 21.663 no solo expone a tu empresa a multas millonarias, también puede abrir la puerta a consecuencias mucho más complejas: pérdida de confianza, interrupciones operativas, daño reputacional y hasta la fuga de clientes. Un incidente mal gestionado puede tener más impacto que la propia sanción económica… y dejar una huella difícil de borrar.

Infracciones leves

Las infracciones leves se refieren a descuidos o faltas administrativas que no comprometen directamente la respuesta ante incidentes. Aun así, pueden costar hasta 5.000 UTM, o 10.000 UTM si eres un Operador de Importancia Vital.

Ejemplos de infracciones leves:

• No entregar información requerida a tiempo, si no es crítica para un incidente.
• No mantener registro de acciones de seguridad.
• No tener programas de capacitación en ciberseguridad.
• No designar un delegado de ciberseguridad.
• Incumplir instrucciones generales sin mayor impacto.

Infracciones graves

Este tipo de infracciones afecta directamente la capacidad de prevenir o responder ante incidentes. Se sancionan con multas de hasta 10.000 UTM, o 20.000 UTM si se trata de un OIV.

Ejemplos de infracciones graves:

• No implementar un SGSI conforme a los estándares exigidos.
• No reportar incidentes de ciberseguridad al CSIRT Nacional.
• Entregar información falsa o tardía durante una gestión de incidente.
• Reincidir en una infracción leve dentro del mismo año.
• No aplicar medidas para contener un ciberataque en curso.
• Obstaculizar deliberadamente las atribuciones de la ANCI en un incidente crítico.

Infracciones gravísimas

Estas son las más severas, ya que suelen darse en contextos de alto impacto o por reincidencia grave. Se castigan con multas de hasta 20.000 UTM, o hasta 40.000 UTM si el infractor es un OIV.

Ejemplos de infracciones gravísimas:

• No entregar información esencial durante un incidente de alto impacto.
• Incumplir instrucciones de la ANCI durante la gestión de una crisis crítica.
• No actuar para frenar un ciberataque con consecuencias significativas.
• Reincidir en infracciones graves dentro de un período de un año.

Relación con otras leyes y agencias: ANCI y la  Agencia de Protección de Datos Personales

Aunque la ANCI y la Agencia de Protección de Datos Personales operan por separado, sus funciones se cruzan más seguido de lo que parece. La ANCI se enfoca en proteger la infraestructura y prevenir ciberataques; la otra agencia vela por el buen uso de los datos personales. ¿El problema? Muchas brechas comprometen ambos frentes, lo que significa una doble obligación: asegurar los sistemas y cuidar la privacidad.

Un mismo incidente puede activar a ambas agencias, por ejemplo, cuando un ataque informático extrae datos personales de clientes o empleados. Por eso, hoy las empresas deben mirar la seguridad y la privacidad como dos caras del mismo problema. Cumplir con una no exime de cumplir con la otra.

Aquí puedes ver una comparación rápida de ambas agencias:

Cumplimiento y seguridad: dos caras de la misma moneda

La ANCI no es solo un tema del gobierno: las empresas también tienen que ponerse las pilas. Si prestas servicios digitales o manejas infraestructura crítica, más vale que estés al día. Cumplir no solo te evita sanciones, también te hace más fuerte frente a ciberataques. No lo dejes para después: la Ley 21.663 está vigente desde el 1 de enero de 2025. Revisa hoy mismo dónde estás parado.

‍