¿Qué dice la Instrucción General N°4 sobre incidentes de ciberseguridad?

La IG N°4 exige que los OIV inicien la contención de un incidente de ciberseguridad dentro de las 3 horas desde su detección. Además, obliga a mantener un registro de incidentes actualizado, implementar capacidades de monitoreo continuo (SIEM o equivalente) y documentar los procedimientos de respuesta en un plan formalmente aprobado por la autoridad máxima de la organización.

¿Qué requisitos establece la Instrucción General N°3 para el delegado de ciberseguridad?

La IG N°3 exige designar un Delegado de Ciberseguridad con dedicación mínima equivalente a jornada completa, con dependencia directa de la autoridad máxima institucional (no puede reportar al área TI ni al CFO). Debe tener formación acreditada en ciberseguridad o experiencia demostrable de al menos 3 años en la función. Su nombramiento debe comunicarse formalmente a la ANCI.

¿Qué pasa si un OIV no cumplió el plazo del 15 de febrero 2026?

El plazo del 15 de febrero 2026 ya venció. La ANCI puede iniciar fiscalizaciones en cualquier momento. Las multas por incumplimiento van de 100 a 40.000 UTM (hasta CLP 2.781 millones) según la gravedad. La recomendación es documentar un plan de implementación con fechas comprometidas, acreditarlo ante la ANCI si se produce un requerimiento, y priorizar las medidas de mayor impacto regulatorio: delegado, plan de incidentes y SIEM básico.

¿La Instrucción General N°2 aplica solo a OIV o también a proveedores?

La IG N°2 aplica directamente a los OIV designados y a las entidades esenciales. Sin embargo, dado que exige extender controles de seguridad a la cadena de suministro de servicios críticos, los proveedores TI de los OIV quedan indirectamente afectados: sus clientes OIV les exigirán cumplimiento contractual de los estándares de la IG N°2 como condición de contratación.

ANCI 2026: cómo implementar las Instrucciones Generales

En resumen: La ANCI publicó tres Instrucciones Generales en diciembre 2025 con plazo de implementación al 15 de febrero 2026. Ese plazo ya venció. Los 915 Operadores de Importancia Vital que no han cumplido están expuestos a multas de hasta 40.000 UTM. La IG N°4 exige contención de incidentes en 3 horas. La IG N°3 exige un delegado de ciberseguridad con reporte directo a la autoridad máxima. La IG N°2 establece estándares de seguridad de redes y sistemas. Esta guía explica qué requiere cada instrucción y cómo implementarla desde cero.

La regulación de ciberseguridad en Chile pasó de un marco conceptual a obligaciones técnicas específicas con plazos. La Ley 21.663 estableció el marco. Las Instrucciones Generales de la ANCI establecieron los detalles operativos. Y el plazo para cumplirlas ya expiró.

Si tu organización es Operador de Importancia Vital o entidad esencial, esta guía está escrita para el responsable de TI que necesita entender exactamente qué requiere cada instrucción, en qué orden implementarlo, y qué hacer cuando una fiscalización llegue antes de que hayas terminado.

¿Qué son las Instrucciones Generales de la ANCI y a quién aplican?

Las Instrucciones Generales (IG) son regulaciones técnicas vinculantes emitidas por la Agencia Nacional de Ciberseguridad al amparo de la Ley 21.663 (Ley Marco de Ciberseguridad). No son recomendaciones. Son normas de cumplimiento obligatorio cuyo incumplimiento activa el régimen sancionatorio de la misma ley, con multas de hasta 40.000 UTM para los casos más graves.

En diciembre 2025, la ANCI publicó tres instrucciones generales:

IG N°2: Normas de seguridad para redes y sistemas informáticos de los OIV
IG N°3: Requisitos para el Delegado de Ciberseguridad
IG N°4: Gestión y respuesta a incidentes de ciberseguridad

Las tres aplican a los 915 Operadores de Importancia Vital designados formalmente por la ANCI, más las entidades esenciales del Estado. El universo incluye organizaciones de los sectores de energía, telecomunicaciones, agua, salud, banca, infraestructura digital y transporte.

Observación importante: La distinción entre “entidad esencial” y “OIV” es relevante en el ámbito de sanciones. Los OIV tienen el régimen más exigente. Pero la ANCI puede declarar en cualquier momento nuevas organizaciones como OIV. Si tu empresa opera infraestructura crítica aunque no esté en la nómina actual, el riesgo de ser designada es real.

¿Qué exige exactamente la Instrucción General N°4 sobre incidentes?

La IG N°4 es la instrucción de mayor urgencia operativa porque define tiempos específicos que aplican a cada incidente que ocurra, no solo a una implementación inicial. Un OIV puede estar en proceso de implementar su SIEM, pero si un incidente ocurre hoy, los plazos de la IG N°4 son exigibles hoy.

Los cuatro plazos de la IG N°4:

Acción	Plazo desde detección	Responsable
Inicio de contención	3 horas	Equipo de respuesta a incidentes
Alerta de emergencia a la ANCI	3 horas	Delegado de ciberseguridad
Reporte técnico detallado a la ANCI	72 horas	Delegado de ciberseguridad
Cierre formal del incidente	15 días hábiles	Delegado de ciberseguridad

El plazo de 3 horas es el más exigente. Para cumplirlo en la práctica, la organización necesita:

Un canal de alerta establecido y conocido: los equipos de TI y el personal de guardia deben saber a quién reportar y cómo hacerlo. Un incidente detectado a las 2 AM del sábado tiene el mismo plazo que uno detectado un lunes al mediodía.
Capacidad de contención sin esperar autorizaciones: los procedimientos deben permitir que el equipo técnico aísle sistemas afectados de forma inmediata, sin depender de aprobaciones de niveles superiores para ejecutar las primeras acciones.
Acceso pre-configurado al portal de la ANCI: el delegado de ciberseguridad debe tener acceso al sistema de reporte de la ANCI antes de que ocurra un incidente. No es algo que se configura durante una crisis.
Documentación de incidentes en tiempo real: la IG N°4 exige un registro actualizado de todos los incidentes. Esto requiere un sistema de ticketing o ITSM configurado para este propósito.

Para empresas que necesitan una arquitectura de seguridad que haga posible la contención en ese plazo, la implementación de Zero Trust con segmentación de red y ZTNA es el marco técnico más compatible con este requerimiento.

¿Qué exige la IG N°3 para el delegado de ciberseguridad?

La IG N°3 establece que los OIV deben designar un Delegado de Ciberseguridad que reúna tres condiciones simultáneas: experiencia técnica acreditada, dedicación mínima equivalente a jornada completa, y dependencia directa de la autoridad máxima de la organización.

Ese tercer punto es el que más resistencia genera en la práctica. La instrucción es explícita: el delegado no puede depender jerárquicamente del área de tecnología ni del área financiera. Debe reportar directamente al CEO, rector, director ejecutivo o equivalente.

La razón es funcional: cuando un incidente de ciberseguridad afecta la continuidad operacional, el delegado necesita autoridad para tomar decisiones que pueden afectar sistemas de producción, contratos con proveedores o comunicaciones hacia afuera. Si depende del CTO, hay un conflicto de interés implícito. Si depende del CFO, puede haber presiones de costo que interfieran con decisiones de seguridad.

Implicancia práctica: Para muchas pymes y organizaciones medianas que son OIV, esto significa que el “encargado de informática” no puede ser el delegado de ciberseguridad si ese rol reporta al gerente de operaciones. Necesitan o elevar el cargo jerárquicamente, o contratar un perfil externo con la dependencia correcta, o externalizar la función con un proveedor de seguridad gestionada bajo un modelo que cumpla el requisito de responsabilidad directa ante la alta dirección.

Los requisitos de perfil que establece la IG N°3:

Formación acreditada: título profesional en áreas de tecnología, seguridad informática o equivalente, con certificaciones vigentes relevantes (CISSP, CISM, CEH o equivalente reconocido).
Experiencia mínima: al menos 3 años en funciones de ciberseguridad, gestión de riesgos TI o equivalente.
Comunicación a la ANCI: el nombramiento debe ser comunicado formalmente al registro de la ANCI dentro del plazo establecido.
Plan anual: el delegado debe elaborar y ejecutar un plan anual de ciberseguridad aprobado por la autoridad máxima.

Para organizaciones que necesitan externalizar esta función, los servicios de ciberseguridad gestionada (vSOC, MSSP) pueden cubrir el rol técnico, pero la responsabilidad del delegado ante la ANCI sigue siendo de la organización. Cualquier modelo de outsourcing debe contemplar esto explícitamente en el contrato de servicio.

¿Qué exige la IG N°2 sobre seguridad de redes y sistemas?

La IG N°2 es la instrucción más amplia en términos de requisitos técnicos. Cubre nueve dominios de seguridad que los OIV deben implementar y mantener documentados.

Los nueve dominios de la IG N°2

1. Gestión de inventario de activos: listado actualizado de todos los activos TI (hardware, software, servicios cloud) con clasificación por criticidad. La ANCI puede solicitar este inventario ante una fiscalización.

2. Gestión de accesos e identidades: control de acceso con principio de mínimo privilegio, autenticación multifactor obligatoria para accesos a sistemas críticos, gestión del ciclo de vida de cuentas (alta, modificación, baja).

3. Seguridad de la red: segmentación de redes por nivel de criticidad, firewalls con reglas documentadas, registro de tráfico para análisis forense posterior.

4. Gestión de vulnerabilidades: proceso documentado para aplicar parches de seguridad críticos en un plazo máximo de 30 días desde su publicación, y parches de severidad alta en 90 días.

5. Cifrado de datos: cifrado de datos en tránsito (TLS 1.2 mínimo, preferible TLS 1.3) y en reposo para datos clasificados como críticos o sensibles.

6. Continuidad operacional: plan de continuidad y recuperación ante desastres documentado, con pruebas anuales verificadas. El backup inmutable es la herramienta más directa para cumplir este dominio, y nuestra guía de backup inmutable con estrategia 3-2-1-1-0 cubre la implementación técnica.

7. Gestión de la cadena de suministro: evaluación de seguridad de proveedores críticos de tecnología, con cláusulas contractuales de cumplimiento. Si un proveedor TI tiene acceso a sistemas del OIV, ese proveedor queda bajo el alcance de la instrucción.

8. Monitoreo y registro: capacidad de monitoreo continuo de eventos de seguridad, con retención de logs por un período mínimo (la ANCI definirá los estándares específicos en normativa complementaria). Un SIEM básico cubre este requisito.

9. Capacitación del personal: programa anual de concientización en ciberseguridad para todo el personal con acceso a sistemas de información, con registro documental de participación.

Nota del equipo Elite Center: En los proyectos de adecuación a la Ley 21.663 que hemos acompañado en Chile, la gestión de vulnerabilidades y el inventario de activos son los dos dominios con mayor deuda técnica en organizaciones medianas. La mayoría tiene algún antivirus y algún firewall, pero pocos tienen un proceso documentado de parches con SLA de 30 días para vulnerabilidades críticas. Es el primer punto a abordar porque también es el más visible para una auditoría.

¿El plazo venció el 15 de febrero: qué hacer ahora?

El 15 de febrero 2026 fue la fecha límite para la implementación inicial de las tres instrucciones generales. Si tu organización no cumplió completamente ese plazo, la situación es la siguiente:

Lo que puede ocurrir:

La ANCI tiene facultad de iniciar fiscalizaciones en cualquier momento, sin previo aviso.
Si se detecta incumplimiento en una fiscalización, las multas van desde 100 UTM (incumplimientos menores) hasta 40.000 UTM (40.000 × CLP 69.521 ≈ CLP 2.781 millones).
El incumplimiento reiterado puede derivar en sanciones adicionales, incluyendo inhabilitación para operar en servicios esenciales.

Lo que debes hacer: La ANCI ha señalado en comunicaciones oficiales que el enfoque inicial de fiscalización considerará la buena fe y el avance documentado de los procesos de adecuación. Esto significa que tener un plan documentado con fechas comprometidas es mejor que no tener nada.

El plan de implementación debe incluir:

Diagnóstico de brechas (brecha analysis): documento que identifica qué requisitos de cada IG están cumplidos, cuáles están en proceso y cuáles no han comenzado.
Roadmap con fechas: cronograma de implementación priorizado, con responsables y fechas de entrega por dominio.
Evidencia de avance: actas de directorio o gerencia donde se aprueben las medidas y presupuestos asociados.
Designación del delegado: este es el paso de mayor visibilidad para la ANCI. Si no hay delegado, es el primer ítem a resolver.

Para organizaciones que necesitan apoyo en la preparación de este diagnóstico y roadmap, el equipo de consultoría de Elite Center trabaja directamente con los responsables técnicos y de cumplimiento.

¿Qué infraestructura técnica mínima requieren las tres instrucciones?

Traduciendo los requisitos de las tres instrucciones generales a tecnología concreta, una organización OIV necesita al menos:

Componente	Instrucción	Función	Solución mínima
Firewall de próxima generación	IG N°2	Segmentación, control de tráfico	Fortinet FortiGate, Cisco ASA
MFA para accesos críticos	IG N°2	Control de identidad	Microsoft Entra, Duo, YubiKey
Sistema de parches	IG N°2	Gestión de vulnerabilidades	WSUS + herramienta de scan
Backup inmutable	IG N°2	Continuidad operacional	Veeam + repositorio inmutable
SIEM básico	IG N°4	Monitoreo y registro	Microsoft Sentinel, Wazuh (open source)
Plataforma de tickets de incidentes	IG N°4	Registro y seguimiento	ServiceNow, Jira SM, osTicket
Cifrado TLS 1.3	IG N°2	Protección en tránsito	Configuración en servidores web

Esta infraestructura no es nueva ni exótica. La mayoría de las organizaciones ya tiene partes de ella. El trabajo real está en documentar que existe, que está configurada correctamente y que hay procesos operativos que la sostienen.

Para dimensionar los servidores que soportarán estas capacidades (especialmente SIEM y herramientas de monitoreo), puedes revisar nuestra guía de selección de servidor empresarial o explorar opciones en servidores.elitecenter.cl.

Ley 21.663 y las IG: obligaciones que no están en las instrucciones

Las Instrucciones Generales no reemplazan la Ley 21.663; la complementan. Hay obligaciones de la ley que no están en ninguna instrucción general pero siguen siendo exigibles:

Sistema de Gestión de Seguridad de la Información (SGSI) alineado a ISO 27001: la ley lo requiere para OIV aunque ninguna IG lo repita explícitamente.
Programa de gestión de riesgo: metodología documentada para identificar, evaluar y tratar riesgos de ciberseguridad.
Auditorías periódicas: la ANCI puede requerir evidencia de auditorías internas o externas de los controles implementados.

Para el marco completo de obligaciones de la Ley 21.663, incluyendo los plazos de reporte ante incidentes y el régimen de multas, consulta nuestra guía detallada de obligaciones para OIV.

Acompañamiento técnico para cumplir con la ANCI

El camino desde el estado actual al cumplimiento de las tres instrucciones generales es técnico y administrativo al mismo tiempo. Requiere diagnóstico, priorización, implementación de controles, documentación de procesos, designación de roles y evidencia para una eventual fiscalización.

En Elite Center llevamos años trabajando con organizaciones en Chile que gestionan infraestructura crítica. Podemos acompañar desde el diagnóstico inicial de brechas hasta la implementación técnica de los controles requeridos: firewalls de segmentación, soluciones MFA, sistemas de backup inmutable, SIEM básico y gestión de vulnerabilidades.

Si tu organización necesita acelerar el proceso de adecuación, contacta a nuestro equipo de consultoría para una evaluación inicial sin costo. También puedes revisar nuestras soluciones de ciberseguridad o explorar el hardware compatible con los requisitos técnicos en nuestra tienda de servidores.

Preguntas frecuentes sobre las Instrucciones Generales ANCI 2026

¿Qué son las Instrucciones Generales de la ANCI?

Son regulaciones técnicas vinculantes emitidas por la Agencia Nacional de Ciberseguridad al amparo de la Ley 21.663. Las IG N°2, N°3 y N°4 publicadas en diciembre 2025 establecen requisitos específicos de seguridad de redes, delegado de ciberseguridad y gestión de incidentes. Son de cumplimiento obligatorio para los 915 OIV y entidades esenciales, con plazo vencido el 15 de febrero 2026.

¿Qué dice la IG N°4 sobre los tiempos de respuesta ante incidentes?

La IG N°4 exige que los OIV inicien la contención de un incidente dentro de las 3 horas desde su detección, envíen alerta a la ANCI en ese mismo plazo, presenten un reporte técnico en 72 horas y cierren formalmente el caso en 15 días hábiles. Requiere además capacidad de monitoreo continuo, registro de incidentes y simulacros anuales.

¿El delegado de ciberseguridad puede ser un proveedor externo?

La IG N°3 no prohíbe explícitamente la externalización, pero exige que el delegado tenga dedicación equivalente a jornada completa y reporte directamente a la autoridad máxima de la organización. Un servicio MSSP puede proveer la capacidad técnica, pero la responsabilidad formal ante la ANCI sigue siendo de la organización y debe estar documentada con un contrato que establezca claramente esa responsabilidad.

¿Qué pasa si un OIV recibe una fiscalización y aún no ha terminado de implementar las instrucciones?

La ANCI tiene un enfoque inicial de orientación y corrección antes que sanción inmediata para incumplimientos de buena fe. Sin embargo, no hay garantía. Lo más prudente es documentar un plan de implementación con fechas comprometidas, acreditarlo ante la ANCI, y priorizar los elementos de mayor visibilidad: designación del delegado, plan de incidentes y SIEM básico. Las multas pueden ir de 100 a 40.000 UTM según la gravedad del incumplimiento.

¿La IG N°2 requiere certificación ISO 27001?

La IG N°2 no exige explícitamente la certificación ISO 27001, pero sus requisitos son altamente compatibles con ese estándar. La Ley 21.663 sí requiere un SGSI alineado a estándares internacionales reconocidos para los OIV. ISO 27001 es el marco más utilizado para ese fin. Las organizaciones que ya tienen o están implementando ISO 27001 tienen una ventaja significativa en el proceso de adecuación.