¿Qué es un Operador de Importancia Vital (OIV) según la Ley 21.663?

Un Operador de Importancia Vital es una institución pública o privada que depende de redes y sistemas informáticos, y cuya afectación por un ciberataque podría poner en riesgo la seguridad pública, la prestación continua de un servicio esencial o el funcionamiento normal del Estado. La ANCI declaró 915 entidades como OIV en diciembre de 2025, distribuidas en sectores como energía, telecomunicaciones, banca, salud y servicios digitales.

¿En cuánto tiempo debe un OIV reportar un incidente de ciberseguridad?

Los OIV deben enviar una alerta temprana al CSIRT Nacional dentro de las primeras 3 horas desde que detectan el incidente. Luego, tienen 72 horas para presentar un informe inicial con detalles técnicos, y 15 días para entregar un reporte final que incluya el análisis de causa raíz y las medidas correctivas adoptadas.

¿Cuáles son las multas por incumplir la Ley 21.663 en Chile?

Las sanciones se clasifican en leves (hasta 5.000 UTM), graves (hasta 10.000 UTM) y gravísimas (hasta 20.000 UTM). Para los Operadores de Importancia Vital, los topes se duplican: una infracción gravísima puede alcanzar las 40.000 UTM, equivalentes a aproximadamente CLP 2.781 millones o USD 3.000.000 según el valor de la UTM de noviembre de 2025.

¿Qué certificación necesita un OIV para cumplir con el SGSI?

La Ley 21.663 exige que los OIV implementen un Sistema de Gestión de Seguridad de la Información (SGSI) alineado con la norma ISO/IEC 27001. La certificación debe ser emitida por entidades autorizadas por la ANCI, y los OIV cuentan con un plazo de 24 meses desde su designación para obtenerla.

Ley 21.663: Obligaciones de Ciberseguridad para OIV

En resumen: La Ley 21.663 obliga a los 915 Operadores de Importancia Vital (OIV) declarados por la ANCI a implementar un SGSI certificado bajo ISO 27001, reportar incidentes en un plazo de 3 horas, designar un delegado de ciberseguridad y mantener planes de continuidad operacional. Las multas por incumplimiento pueden alcanzar las 40.000 UTM (aprox. CLP 2.781 millones). Esta guía detalla cada obligación, los plazos y cómo preparar tu organización.

Chile registró 27.600 millones de intentos de ciberataques en 2024, un aumento de casi 360% respecto al año anterior. Frente a este escenario, la Ley 21.663, conocida como Ley Marco de Ciberseguridad, dejó de ser un proyecto aspiracional para convertirse en la normativa más exigente que Chile ha implementado en materia de seguridad digital.

Esta ley no es solo un documento regulatorio. Es un cambio de paradigma. Por primera vez en Chile, las buenas prácticas de ciberseguridad son una obligación legal transversal, con sanciones concretas y una agencia fiscalizadora con dientes: la Agencia Nacional de Ciberseguridad (ANCI).

Si tu organización fue declarada Operador de Importancia Vital, o si provees servicios a una que lo es, necesitas entender exactamente qué se exige, en qué plazos y qué pasa si no cumples. Eso es lo que cubre esta guía.

¿Qué es la Ley 21.663 y por qué cambia las reglas del juego?

La Ley 21.663, promulgada el 8 de abril de 2024 y vigente desde el 1 de enero de 2025, establece la institucionalidad, los principios y las normas mínimas para prevenir, contener y responder a incidentes de ciberseguridad que afecten tanto al Estado como al sector privado.

Sus tres pilares fundamentales son:

Creación de la ANCI. La Agencia Nacional de Ciberseguridad es el ente regulador, coordinador y fiscalizador. Tiene atribuciones para dictar instrucciones generales, calificar operadores, investigar incidentes y aplicar sanciones.

Clasificación de actores regulados. La ley distingue dos grupos: los Prestadores de Servicios Esenciales (PSE) y los Operadores de Importancia Vital (OIV). Ambos tienen obligaciones, pero los OIV enfrentan un régimen reforzado.

Régimen sancionatorio con multas reales. No se trata de recomendaciones. Las infracciones tienen consecuencias económicas que pueden alcanzar los miles de millones de pesos chilenos.

Antes de esta ley, Chile no tenía un marco legal integral para ciberseguridad. Existían normativas sectoriales (como las de la CMF para la banca o las del sector eléctrico), pero nada transversal. La Ley 21.663 llena ese vacío y obliga a sectores que antes operaban sin regulación específica a asumir responsabilidades concretas.

¿Quiénes son los Operadores de Importancia Vital y cómo se determina la nómina?

Un OIV es una institución pública o privada que depende de redes y sistemas informáticos, y cuya interrupción por un ciberataque podría generar efectos graves en la seguridad pública, la continuidad de servicios esenciales o el funcionamiento del Estado.

La calificación OIV se realiza mediante un procedimiento reglado establecido en el Decreto Supremo N.o 285/2024, que contempla nómina preliminar, consulta pública y publicación de lista definitiva.

La nómina definitiva: 915 entidades

En septiembre de 2025, la ANCI publicó la Resolución Exenta N.o 50 con una nómina preliminar de 1.712 instituciones. Tras el proceso de consulta pública, en diciembre de 2025 se publicó la Resolución Exenta N.o 87, que aprobó la primera nómina definitiva con 915 OIV.

La distribución por sectores, según datos de la ANCI, es la siguiente:

Servicios digitales e infraestructura TI: 413 entidades
Sector eléctrico: 147 empresas (17% de las entidades reguladas del sector)
Instituciones de salud: 114 (hospitales, clínicas y centros médicos públicos y privados)
Banca, servicios financieros y medios de pago: 111 entidades
Telecomunicaciones: 29 empresas (grandes operadores móviles e internet, 3,8% de las registradas en Subtel)
Administración del Estado y empresas públicas: el resto de la nómina

Si tu organización está en la lista, ya lo sabes. Si no estás seguro, puedes verificar directamente en el sitio de la ANCI o consultar la resolución publicada en el Diario Oficial.

¿Qué obligaciones específicas tiene un OIV bajo la Ley 21.663?

Los OIV deben cumplir tanto las obligaciones generales que aplican a todos los prestadores de servicios esenciales como un conjunto de obligaciones reforzadas. Según el artículo 8 de la ley, estas son las principales:

1. Implementar un Sistema de Gestión de Seguridad de la Información (SGSI)

El artículo 8, letra a) exige a los OIV operar un SGSI continuo que permita identificar riesgos, proteger redes y datos, y asegurar la continuidad operacional. Este no es un documento estático en un estante. Es un sistema vivo que debe:

Mantener un registro actualizado de todas las acciones ejecutadas
Ser auditado periódicamente
Estar alineado con estándares internacionales, siendo ISO/IEC 27001 el marco de referencia central

Los OIV tienen un plazo de 24 meses desde su designación para obtener la certificación ISO 27001 con entidades autorizadas por la ANCI (artículo 28).

2. Designar un delegado de ciberseguridad

La Instrucción General N.o 3 de la ANCI establece los requisitos para este rol. El delegado de ciberseguridad es una figura estratégica dentro de la organización, responsable de:

Coordinar las acciones internas de respuesta ante incidentes
Actuar como enlace formal con la ANCI y el CSIRT Nacional
Supervisar la implementación del SGSI
Garantizar la actualización de los planes de ciberseguridad

Este no es un cargo ceremonial. La ANCI espera que el delegado tenga autoridad real dentro de la organización y acceso directo a la alta dirección.

3. Elaborar planes de continuidad operacional

Los OIV deben contar con planes de continuidad de negocio que incluyan un componente específico de ciberseguridad. Esto implica:

Definir procedimientos de respuesta ante distintos escenarios de ataque
Establecer tiempos de recuperación (RTO) y puntos de recuperación (RPO)
Documentar las dependencias críticas de sistemas y proveedores

Contar con infraestructura de servidores redundante y soluciones de respaldo es fundamental para cumplir estos requisitos de continuidad. Te recomendamos revisar nuestro checklist de continuidad operacional TI con un framework de 7 fases alineado a la Ley 21.663.

4. Realizar ejercicios y simulacros

No basta con tener un plan en papel. La ley exige actividades periódicas de revisión, ejercicios y simulacros que pongan a prueba la capacidad real de respuesta. La ANCI puede solicitar evidencia de que estos ejercicios se realizan.

5. Adoptar medidas para reducir el impacto de incidentes

La Instrucción General N.o 4 de la ANCI detalla las medidas técnicas y operativas que los OIV deben implementar para contener la propagación de incidentes. Esto incluye segmentación de redes, controles de acceso, monitoreo continuo y capacidades de aislamiento de sistemas comprometidos.

6. Mantener programas de capacitación

Todo el personal de un OIV debe recibir formación periódica en ciberseguridad. No solo el equipo de TI. La ley entiende que el factor humano es el eslabón más débil y exige que las organizaciones inviertan en educación continua.

¿Cómo funciona el reporte de incidentes en 3 horas?

El protocolo de reporte de incidentes es uno de los aspectos más exigentes de la Ley 21.663. Los plazos son perentorios, es decir, no admiten prórroga:

Alerta temprana: 3 horas. Desde el momento en que se detecta un incidente de ciberseguridad con efectos significativos, la organización tiene 3 horas para enviar una alerta al CSIRT Nacional. Esta alerta debe incluir una descripción preliminar del incidente, los sistemas afectados y una evaluación inicial del impacto.

Informe inicial: 72 horas. Dentro de las 72 horas siguientes, se debe presentar un informe más detallado que incluya los indicadores de compromiso (IoC), el alcance técnico del incidente y las medidas de contención adoptadas.

Reporte final: 15 días. El cierre formal del incidente requiere un análisis de causa raíz, las acciones correctivas implementadas y las lecciones aprendidas.

La Instrucción General N.o 1 de la ANCI además establece que los prestadores de servicios esenciales deben designar un encargado de ciberseguridad específicamente para el reporte de incidentes, asegurando que siempre exista un punto de contacto disponible.

Para cumplir con la ventana de 3 horas, las organizaciones necesitan capacidades de detección en tiempo real. Esto implica contar con un SOC (Centro de Operaciones de Seguridad) interno o externalizado, herramientas SIEM configuradas correctamente y protocolos de escalamiento bien definidos. La infraestructura tecnológica adecuada es el punto de partida para habilitar estas capacidades de monitoreo.

¿Qué sanciones aplican por incumplimiento y cuánto cuestan?

La Ley 21.663 clasifica las infracciones en tres niveles, con sanciones que para los OIV se duplican respecto a los prestadores de servicios esenciales regulares. Según los datos de Carey Abogados y el texto legal vigente:

Infracciones leves

Incumplimientos menores o formales. Multas de hasta 5.000 UTM para operadores regulares, duplicándose para OIV.

Infracciones graves

Fallas en la implementación de medidas de seguridad o en el cumplimiento de plazos de reporte. Multas de 5.000 a 10.000 UTM.

Infracciones gravísimas

Negligencia deliberada, ocultamiento de incidentes o fallas que afecten la continuidad de servicios esenciales. Multas de 10.000 a 20.000 UTM, que para OIV pueden alcanzar 40.000 UTM.

Para dimensionar estos montos: con una UTM de aproximadamente CLP 69.542 a noviembre de 2025, una multa de 40.000 UTM equivale a cerca de CLP 2.781 millones (aproximadamente USD 3.000.000).

Las sanciones se determinan considerando varios factores:

Las medidas preventivas que la organización tenía implementadas
La probabilidad de ocurrencia del incidente
La gravedad de los efectos
La cooperación con la ANCI durante la investigación
El tamaño y los recursos de la entidad infractora

Es decir, una organización que demuestre esfuerzo genuino en cumplir la norma puede recibir sanciones menores que una que simplemente ignoró sus obligaciones.

¿Cómo preparar a tu organización para cumplir con la Ley 21.663?

El cumplimiento no se logra en un trimestre. Es un proceso que requiere planificación, inversión y cambio cultural. Aquí va una hoja de ruta práctica:

Paso 1: Diagnóstico de brechas (mes 1-2)

Antes de implementar nada, necesitas saber dónde estás. Realiza una evaluación de madurez en ciberseguridad que identifique:

Estado actual de controles técnicos y organizacionales
Brechas respecto a los requisitos de la Ley 21.663
Inventario de activos críticos y dependencias
Capacidades de detección y respuesta existentes

Paso 2: Diseño del SGSI (mes 2-6)

Con el diagnóstico en mano, diseña tu Sistema de Gestión de Seguridad de la Información alineado a ISO 27001. Esto incluye:

Política de seguridad de la información aprobada por la dirección
Metodología de evaluación y tratamiento de riesgos
Declaración de aplicabilidad (SoA)
Procedimientos de gestión de incidentes, continuidad y recuperación

Paso 3: Implementación técnica (mes 4-12)

Aquí es donde la planificación se convierte en acción. Los componentes típicos incluyen:

Despliegue o mejora de soluciones de monitoreo (SIEM, EDR, NDR)
Segmentación de redes y hardening de sistemas
Implementación de controles de acceso privilegiado (PAM)
Configuración de respaldos inmutables y planes de disaster recovery
Fortalecimiento de la infraestructura de servidores y almacenamiento para soportar las nuevas cargas de monitoreo

Paso 4: Formación y cultura (continuo)

Capacita a todo el personal, no solo a TI. Ejecuta simulacros de phishing, talleres de respuesta a incidentes y sesiones de concientización para la alta dirección.

Paso 5: Auditoría y certificación (mes 12-24)

Contrata un organismo certificador autorizado por la ANCI para la auditoría ISO 27001. Prepárate con auditorías internas previas y cierra las no conformidades antes de la evaluación formal.

Paso 6: Mejora continua (permanente)

El SGSI no termina con la certificación. Requiere revisiones periódicas, actualización de controles y adaptación a nuevas amenazas y regulaciones.

¿Qué rol juega la infraestructura tecnológica en el cumplimiento?

Ningún SGSI funciona sin la infraestructura que lo soporte. Los requisitos de la Ley 21.663 tienen implicaciones directas sobre el hardware y la arquitectura de TI:

Monitoreo 24/7. Para cumplir con la ventana de 3 horas, necesitas sistemas de detección que operen sin interrupciones. Esto exige servidores dedicados para tu SIEM, con capacidad de procesamiento y almacenamiento suficientes para retener logs por períodos extendidos.

Alta disponibilidad. Los planes de continuidad requieren infraestructura redundante: servidores en configuración de alta disponibilidad, almacenamiento replicado y conectividad dual. Puedes revisar opciones de equipamiento empresarial certificado para dimensionar correctamente esta capa.

Respaldo y recuperación. La norma exige capacidades de recuperación ante desastres. Esto implica soluciones de backup con copias inmutables, idealmente en ubicaciones geográficamente separadas. Nuestra guía de backup inmutable contra ransomware detalla cómo implementar la estrategia 3-2-1-1-0 paso a paso.

Segmentación y control de acceso. La arquitectura de red debe permitir aislar segmentos comprometidos sin afectar la operación completa. Firewalls de nueva generación, microsegmentación y controles Zero Trust son componentes habituales.

Gestión de vulnerabilidades. Mantener los sistemas actualizados y parchados es una obligación implícita. Las herramientas de scanning de vulnerabilidades y gestión de parches necesitan infraestructura dedicada para operar eficientemente.

Si tu organización necesita asesoría para dimensionar la infraestructura que soportará tu estrategia de cumplimiento, en Elite Center trabajamos con equipamiento Dell y HPE de grado empresarial, con soporte local en Chile.

Contexto regulatorio: la Ley 21.663 no viene sola

Es importante entender que la Ley Marco de Ciberseguridad se inserta en un ecosistema regulatorio más amplio:

Ley 21.719 de Protección de Datos Personales. Complementa la Ley 21.663 en lo referente a la protección de información personal. Muchos OIV deberán cumplir ambas normativas simultáneamente.

Regulaciones sectoriales. La CMF para el sector financiero, la SEC para el sector eléctrico y otras regulaciones sectoriales siguen vigentes. La Ley 21.663 se suma a ellas, no las reemplaza.

Estándares internacionales. Chile se alinea con tendencias globales como la Directiva NIS2 de la Unión Europea y el marco NIST de Estados Unidos. Las organizaciones con operaciones internacionales pueden aprovechar sinergias entre estos marcos.

Según el Reporte de Ciberseguridad 2025 de Entel Digital, el cibercrimen organizado aumentó un 30% durante 2024, lo que refuerza la urgencia de estas medidas regulatorias.

Preguntas frecuentes sobre la Ley 21.663 y los OIV

¿Qué pasa si mi organización no estaba en la nómina preliminar pero sí en la definitiva?

La nómina definitiva es la que rige. Si tu organización aparece en la Resolución Exenta N.o 87 de diciembre de 2025, eres OIV y debes cumplir todas las obligaciones desde tu notificación formal. El plazo para certificación ISO 27001 corre desde la fecha de designación.

¿Puedo apelar la calificación como OIV?

El procedimiento contempla instancias de consulta pública y observaciones. Sin embargo, una vez publicada la nómina definitiva, las vías de impugnación se canalizan a través de los mecanismos administrativos y jurisdiccionales regulares.

¿Los proveedores de un OIV también deben cumplir?

La ley no obliga directamente a los proveedores, pero los OIV son responsables de gestionar el riesgo de su cadena de suministro. En la práctica, esto significa que los OIV exigirán a sus proveedores de tecnología estándares de seguridad alineados con la norma.

¿Cada cuánto se revisa la nómina de OIV?

La ANCI debe revisar periódicamente la nómina. Nuevas entidades pueden ser incorporadas y otras removidas según evolucione el panorama de riesgos y la criticidad de los servicios que proveen.

Conclusión: el cumplimiento es una inversión, no un gasto

La Ley 21.663 representa un antes y un después para la ciberseguridad en Chile. Para los 915 OIV declarados, el mensaje es claro: la seguridad digital dejó de ser opcional.

Las organizaciones que vean el cumplimiento como una inversión estratégica, y no como un trámite regulatorio, van a estar mejor posicionadas. Un SGSI bien implementado no solo evita multas de hasta 40.000 UTM. También reduce el riesgo real de incidentes que pueden paralizar operaciones, dañar la reputación y generar pérdidas millonarias.

El primer paso es evaluar dónde estás hoy. El segundo, armar un plan realista. Y el tercero, ejecutarlo con la infraestructura y el equipo correctos.

Si necesitas orientación sobre el equipamiento tecnológico necesario para soportar tu estrategia de cumplimiento de la Ley 21.663, conversemos.