Cómo saber si tu empresa debe cumplir con la nueva Ley de Ciberseguridad 2025
En un país donde cada día más servicios se digitalizan y los ataques informáticos son más sofisticados, la ciberseguridad ha dejado de ser una opción. Desde 2025, en Chile entra en vigencia una nueva Ley de Ciberseguridad que, lejos de ser un marco genérico, establece obligaciones concretas para empresas públicas y privadas. Si tienes una empresa o trabajas en una, este cambio normativo podría afectarte directamente, aunque todavía no lo sepas.
Muchas organizaciones creen que la normativa solo aplica a grandes bancos o entidades del Estado. Pero eso no es del todo cierto. La ley incorpora categorías de empresas que prestan servicios considerados esenciales para la economía, la salud o la seguridad nacional. Y ahí es donde vale la pena detenerse.
- ¿De qué trata esta nueva ley?
- ¿Cómo saber si tu empresa está obligada?
- ¿Qué implica estar bajo esta normativa?
- ¿Y si tu empresa no cae en las categorías definidas?
- ¿Cómo se definen los incidentes relevantes?
- ¿Qué puedo hacer si no estoy seguro?
- Recomendaciones prácticas para empresas
- Una normativa con doble filo
- Un cambio de mentalidad empresarial
¿De qué trata esta nueva ley?
La Ley de Ciberseguridad y Resiliencia de la Infraestructura Crítica (Ley N.º 21.663, publicada en el Diario Oficial el 8 de abril de 2024) establece un nuevo marco institucional y normativo. Entre otras cosas, crea la Agencia Nacional de Ciberseguridad (ANCI), una entidad autónoma encargada de coordinar, fiscalizar y apoyar las acciones de ciberseguridad en el país.
Uno de los pilares de esta ley es su aplicación sobre los llamados operadores de servicios esenciales (OSE) y los proveedores de servicios digitales relevantes. Ambos grupos están obligados a cumplir estándares mínimos de seguridad, informar incidentes y someterse a fiscalizaciones periódicas.
La normativa está inspirada en estándares europeos como la directiva NIS 2 y busca mejorar la capacidad del país para enfrentar ataques informáticos a gran escala, como los que han afectado recientemente a instituciones como el Poder Judicial y la Comisión para el Mercado Financiero.
¿Cómo saber si tu empresa está obligada?
No todas las empresas están bajo el alcance de la ley, pero sí muchas más de las que uno podría imaginar. Para saber si tu organización debe cumplir con la normativa, el primer paso es revisar si se encuentra dentro de alguno de estos grupos definidos por la legislación:
| Categoría | Ejemplos de entidades incluidas |
|---|---|
| Servicios esenciales | Empresas de electricidad, agua potable, telecomunicaciones, salud, transporte, banca, servicios financieros, entre otros. |
| Proveedores digitales relevantes | Empresas que prestan servicios de alojamiento web, computación en la nube, motores de búsqueda y marketplaces. |
| Órganos del Estado | Todos los ministerios, servicios públicos, municipalidades y empresas públicas. |
Fuente oficial: Ley N.º 21.663 en Biblioteca del Congreso Nacional
Si tu empresa encaja en alguno de estos rubros, es altamente probable que tenga obligaciones específicas bajo la nueva ley.
¿Qué implica estar bajo esta normativa?
Ser considerado operador esencial o proveedor digital relevante implica que tu empresa deberá cumplir con al menos las siguientes exigencias:
- Implementar medidas técnicas y organizativas para prevenir incidentes.
- Designar un responsable de ciberseguridad dentro de la empresa.
- Informar incidentes graves a la ANCI en un plazo de 72 horas.
- Someterse a auditorías y fiscalizaciones.
- Participar en ejercicios de ciberseguridad nacionales.
Estas exigencias no son simplemente sugerencias. Su incumplimiento puede generar multas importantes, que, en casos graves, pueden llegar hasta las 20.000 UTM. También podría haber sanciones penales si se comprueba negligencia en la protección de información crítica.
¿Y si tu empresa no cae en las categorías definidas?
Aunque tu negocio no sea considerado “esencial” ni preste servicios digitales relevantes, eso no significa que puedas desentenderte del tema. La ANCI puede declarar nuevas entidades como operadores esenciales mediante resolución fundada, sobre todo si un incidente demuestra que su actividad impacta significativamente en la seguridad nacional o el bienestar de la población.
Por eso, anticiparse es clave. Tener una estrategia interna de seguridad informática no solo es prudente, sino que también puede marcar la diferencia en una eventual investigación o fiscalización futura.
¿Cómo se definen los incidentes relevantes?
Un punto que ha generado muchas preguntas es qué se considera exactamente un incidente que debe ser notificado. La ley habla de aquellos eventos que afectan la continuidad operativa del servicio, comprometen datos personales o estratégicos, o provocan daños materiales relevantes.
En términos prácticos, esto puede incluir desde un ataque de ransomware que detiene operaciones por varias horas, hasta filtraciones de datos de clientes o accesos no autorizados a bases de datos críticas.
¿Qué puedo hacer si no estoy seguro?
Lo primero es hacer una evaluación interna. Existen consultoras y equipos de especialistas que realizan auditorías de ciberseguridad para identificar vulnerabilidades y definir si tu empresa entra dentro del alcance de la ley. Pero también puedes consultar con la ANCI directamente. En su sitio oficial (www.anci.gob.cl) ofrecen guías, noticias y documentos que pueden ayudarte a aclarar tu situación.
Otra fuente confiable es el CSIRT de Gobierno, que publica alertas y protocolos actualizados, además de guías para prevenir ataques frecuentes como phishing o malware.
Recomendaciones prácticas para empresas
Aunque no todas las empresas estén obligadas por ley, adoptar buenas prácticas de ciberseguridad es hoy más necesario que nunca. Algunas recomendaciones concretas:
- Capacita a tu personal en detección de amenazas comunes como correos falsos o links maliciosos.
- Actualiza tus sistemas y evita trabajar con software obsoleto o sin soporte.
- Haz respaldos periódicos y almacénalos en lugares seguros, fuera de línea.
- Implementa doble autenticación en servicios críticos.
- Documenta tu política interna de manejo de incidentes y designa responsables.
Estas acciones no requieren grandes inversiones, pero pueden evitarte dolores de cabeza costosos.
Una normativa con doble filo
El espíritu de la nueva ley es proteger a la ciudadanía y a las infraestructuras críticas del país, pero también obliga a las empresas a profesionalizar su gestión de riesgos digitales. Para muchas pymes, esta exigencia puede parecer una carga más en un entorno ya complejo. No obstante, es una oportunidad para elevar los estándares, acceder a nuevas certificaciones y generar confianza entre clientes y socios estratégicos.
Ignorar la ley no es una estrategia. Aunque no todas las organizaciones están directamente al alcance de la ANCI hoy, eso podría cambiar con una simple resolución. Y cuando llegue el momento, lo peor que puede pasar es estar desprevenidos.
Un cambio de mentalidad empresarial
La ciberseguridad no se resuelve con un antivirus ni con una contraseña larga. Requiere cultura, protocolos, y sobre todo, compromiso desde la alta dirección. Lo que antes era un asunto del área de TI, ahora involucra a toda la empresa, desde recursos humanos hasta gerencia general.
Chile está siguiendo el camino de países como Alemania, Francia y España, donde las sanciones por fallas en ciberseguridad no son anecdóticas. Y las empresas que se adaptan a tiempo, no solo evitan multas: también ganan reputación, estabilidad y confianza de sus usuarios.
En tiempos donde un solo ataque puede dejar fuera de línea todo un sistema hospitalario o paralizar una línea de producción, la prevención ya no es opcional.
También te puede interesar