Aclaraciones prácticas sobre la implementación de la Ley Marco entregadas por la ANCI
- Juan Jose Bascuñan
- 14 jul 2025
- 2 Min. de lectura
Esta semana tuve la oportunidad de sostener una reunión directa con Monserrat Castro y Gonzalo Caracholi, jefaturas del área jurídica de la Agencia Nacional de Ciberseguridad (ANCI). El objetivo era profundizar en los criterios que se están adoptando para aplicar la Ley Marco de Ciberseguridad (Ley 21.663), especialmente en sectores estratégicos como logística, transporte, energía y servicios financieros.
Lo más interesante es que, más allá de lo que establece la ley y su reglamento, la conversación permitió acceder a información clave, no publicada oficialmente, pero absolutamente relevante para cualquier empresa que esté evaluando si debe prepararse —y cómo— frente a este nuevo marco legal.
Aquí comparto tres revelaciones esenciales de la reunión, que podrían marcar la diferencia entre estar preparado o arriesgar sanciones:
1. Logística y transporte: Serán operadores de importancia vital (OIV)
La ANCI confirmó que todas las empresas de logística y transporte —incluyendo puertos y operadores de carga— serán consideradas OIV debido al impacto que una interrupción de sus servicios tendría en el abastecimiento nacional.
Esto implica la obligación de implementar un Sistema de Gestión de Seguridad de la Información, planes de continuidad operacional certificados, simulacros periódicos, designación de un delegado de ciberseguridad y reportes obligatorios ante incidentes.
2. Las fallas de proveedores pueden costarte una multa, aunque tengas todo implementado Uno de los puntos más sensibles:
las empresas serán responsables por las brechas de ciberseguridad que se generen a través de sus contratistas o proveedores. Si bien la ANCI no obligará a incluir cláusulas específicas en contratos con terceros, sí se evaluará si el sistema completo —incluyendo a los externos— es seguro. Es decir, si un proveedor hace vulnerable tu operación, serás tú quien arriesgue la sanción, incluso si cumpliste internamente.
Esto obliga a elevar los estándares exigidos a toda la cadena.
3. El primer año será de transición, pero el incumplimiento será sancionado igual:
Aunque en el primer año no habrá fiscalizaciones formales, las empresas que no reporten incidentes o que incumplan las alertas emitidas por ANCI o el CSIRT serán sancionadas. Además, las alertas serán vinculantes y podrán tener alcance sectorial o general.
Estar inscrito en la ANCI y el CSIRT será fundamental para recibir estas instrucciones.
¿Qué significa todo esto?
Significa que esperar a que se publique otro reglamento, o creer que esto aplica solo a bancos o al Estado, es un error estratégico. La ANCI ya tiene claridad sobre qué sectores serán priorizados, cómo se evaluará el cumplimiento y qué estándares se considerarán aceptables (aunque no estén aún formalizados).
Y lo más importante: no cumplir puede tener consecuencias operativas, reputacionales y legales significativas.
¿Te ayudamos a prepararte?
En Izquierdo & Hurtado, ya estamos trabajando con empresas del rubro logístico y de transporte para:
• Identificar si serán OIV o servicios esenciales.
• Evaluar sus brechas actuales.
• Preparar sus políticas, planes y sistemas para cumplir con la ley.
• Diseñar cláusulas para sus contratos con terceros.
Contamos con un equipo legal y técnico que entiende la ley, la operación y lo que exige la ANCI. Si quieres una evaluación preliminar o agendar una reunión, escríbeme directamente a sizquierdo@izquierdohurtado.cl o visita www.izquierdohurtado.cl
Comentarios