Skip to content
logo-hackmetrix-blanco (4) (1)

 

Ley Marco de Ciberseguridad

¿Qué exige y cómo prepararte?

La Ley Marco de Ciberseguridad en Chile (Ley N.° 21.663) define reglas para prevenir, contener y responder a incidentes, así como establecer supervisión y responsabilidad.

¿A quién aplica?

La ley establece un marco general para la ciberseguridad y la coordinación con los sectores privados.
En términos prácticos, recae en organizaciones que:
  • Prestan servicios esenciales.
  • Son calificadas como Operadores de Importancia Vital (OIV).
Si tu operación soporta continuidad de servicios críticos, te conviene evaluar tempranamente tu exposición regulatoria.
Diseño sin título (8)-1

Que debe hacer tu empresa: 

 

1) Reporte de incidentes al CSIRT Nacional (con plazos exigentes)

  • Alerta temprana: en un máximo de 3 horas desde que tomas conocimiento.
  • Segundo reporte: dentro de 72 horas (y si eres OIV con servicios esenciales afectados, actualización en 24 horas).
  • Informe final: dentro de 15 días corridos desde el envío de la alerta temprana.

2) Gobernanza, roles y trazabilidad

Necesitas un modelo de operación que asigne responsabilidades claras y que genere evidencia.

3) Gestión de riesgos y medidas mínimas sostenibles

Esta ley impulsa la formalización de controles y prácticas repetibles: evaluación de riesgos, monitoreo, gestión de vulnerabilidades, continuidad y respuesta a incidentes.

¿Qué arriesgas si no cumples?

 

La Ley autoriza a la autoridad a fiscalizar y exigir evidencia de que tus medidas existen y funcionan. 

Si hay incumplimientos, la normativa considera infracciones leves, graves y gravísimas y establece multas que pueden llegar hasta 40.000 UTM en el caso de OIV.

 

Para reducir el riesgo regulatorio, prioriza:

  • Evidencia desde el inicio: define qué registros vas a conservar y quién los actualiza.
  • Capacidad real de reporte: asegúrate de poder emitir alertas con datos mínimos, aunque el análisis siga en curso.

  • Controles auditables: ordena tus procesos con un enfoque tipo SGSI para sostener la trazabilidad y la mejora continua.

 

Planes de 30 – 60 – 90 días

  • 30 días: diagnóstico de alcance, mapa de activos críticos, diseño de flujo de reporte y preparación de evidencias.

  • 60 días: implementación de políticas, procedimientos de respuesta, matriz de severidad y pruebas internas.

  • 90 días: robustecimiento de controles, métricas, auditorías internas y plan de mejora priorizado.

 

 

En qué te podemos acompañar desde Hackmetrix

Te ayudamos a convertir requisitos en ejecución:

  • Plataforma para la gestión y el cumplimiento de la ISO 27001.

  • Ethical Hacking para validar controles técnicos y mejorar el factor humano.

 

 

 

 

Si tu objetivo es ordenar el cumplimiento y la evidencia, un SGSI alineado con ISO 27001 facilita la conversión de exigencias en controles, responsables y auditoría continua.

Preguntas frecuentes 🔍
  • ¿Cómo me ayuda Hackmetrix a cumplir con la Ley Marco de Ciberseguridad? Te ayudamos a convertir la ley en ejecución real mediante un SGSI alineado con ISO 27001, una plataforma para gestionar riesgos, controles y evidencias, y acompañamiento en la definición de roles y flujos de reporte.
  • ¿Cómo demuestro que mis controles funcionan ante una fiscalización? Validamos tus controles con Ethical Hacking, análisis de vulnerabilidades y simulaciones, generando evidencia técnica y trazable que respalda tu cumplimiento.
  • ¿Cómo preparo a mi equipo para cumplir los plazos de reporte de incidentes? Diseñamos flujos de respuesta, matrices de severidad y realizamos pruebas de phishing y ejercicios prácticos para que tu equipo detecte, escale y reporte incidentes dentro de los plazos legales.