Qué resolvió la consulta pública
La Agencia Nacional de Ciberseguridad (ANCI) publicó en el Diario Oficial la resolución que dio inicio a la consulta pública para establecer como obligatorias seis de las nueve recomendaciones contenidas en su documento "Los 9 básicos de ciberseguridad", aplicables a todos los sujetos obligados por la Ley 21.663, Marco de Ciberseguridad.
El plazo para ingresar observaciones a través del Portal ANCI venció el 29 de junio de 2026. La Agencia analiza ahora los comentarios recibidos para elaborar la propuesta normativa definitiva. Es el paso previo obligatorio para que la ANCI pueda emitir nuevas medidas de ciberseguridad exigibles.
El cambio de fondo: lo que hasta ahora era una guía de buenas prácticas pasará a ser un piso normativo fiscalizable. Una empresa regulada que no cumpla los básicos obligatorios quedará expuesta a las sanciones de la Ley 21.663, que alcanzan las 40.000 UTM para los casos más graves.
Cuáles son los 9 básicos de la ANCI
El documento de la Agencia condensa las medidas de mayor impacto y menor complejidad de implementación. Entre ellas se cuentan:
- Autenticación multifactor (MFA) en accesos críticos y remotos.
- Copias de seguridad periódicas, verificadas y separadas de la red de producción.
- Actualizaciones y parches aplicados de forma oportuna.
- Gestión de contraseñas robustas y sin reutilización.
- Protección de endpoints frente a malware moderno.
- Capacitación del personal ante phishing e ingeniería social.
- Inventario de activos, segmentación de red y plan de respuesta a incidentes completan la lista.
La norma definitiva precisará cuáles seis de estas recomendaciones serán exigibles y con qué gradualidad, algo que la propia Agencia enmarcó en un avance "progresivo, proporcional y responsable".
A quiénes aplicará la obligación
El universo regulado por la Ley 21.663 es amplio: comprende a los organismos del Estado, a los prestadores de servicios esenciales y a los Operadores de Importancia Vital (OIV) — 915 instituciones ya calificadas formalmente por la ANCI, entre empresas eléctricas, telecomunicaciones, banca, salud y servicios TI.
El efecto práctico irá más allá: los sujetos obligados trasladarán estas exigencias a sus proveedores y prestadores de servicios mediante contratos, tal como ocurrió en Europa con la directiva NIS2. Una pyme que provee servicios a un OIV terminará cumpliendo los básicos aunque la ley no la mencione directamente.
Cómo prepararse desde ya
No hay razón para esperar el texto definitivo: las seis medidas saldrán del mismo listado conocido. Un diagnóstico honesto contra los 9 básicos hoy — MFA, respaldo verificado y aislado, parches al día, protección de endpoints, contraseñas y capacitación — deja a cualquier organización cubierta ante lo que la norma exija mañana. Si su empresa aún no verifica sus copias de seguridad ni cuenta con protección EDR, esos son los dos puntos con mayor brecha según los reportes de incidentes en Chile.
Seguiremos esta normativa en detalle cuando la ANCI publique el texto definitivo.
¿Su empresa cumple los básicos que serán obligatorios?
Respaldo verificado, EDR y MFA son el núcleo de la exigencia. Evalúe gratis su brecha.