Ciberseguridad y Ley 21.663 en Chile

La Ley Marco de Ciberseguridad (Ley 21.663) y la protección de datos no son dos problemas separados. La obligación de seguridad de la LPDP, los controles que la ANCI exige a los Operadores de Importancia Vital y los marcos internacionales se cruzan en una sola arquitectura. Integramos abogados e ingenieros para diseñar ese programa unificado, sin duplicar esfuerzos ni dejar zonas grises.

Convergencia entre la Ley 21.663 y la protección de datos

El deber de adoptar medidas de seguridad de la Ley de Protección de Datos, las obligaciones de la Ley 21.663 hacia la Agencia Nacional de Ciberseguridad (ANCI) y estándares como ISO/IEC 27001:2022 y NIST CSF 2.0 apuntan al mismo objetivo. Tratarlos por separado genera duplicación y huecos; integrarlos los convierte en un solo sistema.

Tres líneas de acción

  • OIV y acompañamiento ANCI: designación y operación para Operadores de Importancia Vital.
  • Programa de ciberseguridad para no-OIV: cumplimiento del deber de seguridad de la LPDP.
  • SGSI y respuesta a incidentes: operación continua de su sistema de gestión de seguridad.
  • Articulación de notificaciones: coordinamos el reporte de vulneraciones de la LPDP (sin dilaciones indebidas) con los plazos de reporte que exige la Ley 21.663 a la ANCI, en un solo procedimiento.
  • Gestión de riesgos en la cadena de suministro: due diligence técnico-legal de proveedores críticos.

Entregables clave

  • SGSI documentado alineado a ISO/IEC 27001:2022 y a los controles sectoriales de la ANCI.
  • Matriz de riesgos de ciberseguridad: activos críticos, amenazas, vulnerabilidades y controles compensatorios.
  • Plan de respuesta a incidentes coordinado entre la notificación de la LPDP y el reporte a la ANCI.
  • Programa de gestión de terceros: due diligence, cláusulas contractuales tipo y monitoreo de cadenas críticas.

Por qué Idónea

Pocos equipos integran de verdad lo legal y lo técnico. Nosotros diseñamos el programa con abogados e ingenieros en la misma mesa, de modo que la seguridad técnica y las obligaciones legales queden articuladas en una sola arquitectura auditable.

Preguntas frecuentes

¿Cómo sé si mi organización es sujeto obligado u OIV?

Depende del sector y del rol de su organización en servicios esenciales. Lo evaluamos en el diagnóstico. Puede revisar también nuestro análisis: ¿es tu institución sujeto obligado de la Ley 21.663?

¿La Ley 21.663 reemplaza mis obligaciones de protección de datos?

No. Son marcos complementarios. La 21.663 regula la ciberseguridad y la LPDP regula los datos personales; un incidente suele activar obligaciones bajo ambas, por eso conviene articularlas.

Un incidente toca datos y seguridad a la vez: combine esto con su DPO externo y su programa de datos. Agende un diagnóstico.