Ley de Ciberseguridad

La Ley 21.663 de Ciberseguridad establece el marco regulatorio nacional para la protección de infraestructuras críticas y servicios esenciales, definiendo obligaciones específicas para los Organismos de Importancia Vital (OIV) y entidades reguladas.

Objetivo de la Ley

Asegurar la resiliencia operativa, la continuidad de los servicios críticos y la protección de la seguridad nacional frente a incidentes de ciberseguridad, alineándose con estándares internacionales como ISO/IEC 27001:2022.

Alineación con Instrucciones Generales de la ANCI

El cumplimiento de la ley requiere la adopción efectiva de las Instrucciones Generales (IG) emitidas por la ANCI, las cuales establecen controles mínimos obligatorios:

• IG N°2 – Inscripción: Registro activo en la plataforma ANCI, uso obligatorio de Clave Única y MFA, información institucional actualizada y mecanismos de acceso alternativos formalmente acreditados.
• IG N°3 – Delegado de Ciberseguridad: Designación formal por la Alta Dirección, con experiencia en ciberseguridad o gestión de riesgos, reporte directo a nivel ejecutivo y cumplimiento estricto de plazos de registro y actualización.
• IG N°4 – Gestión de Incidentes: Capacidad de respuesta inmediata, aislamiento de sistemas comprometidos, control estricto de accesos privilegiados, uso de VPN con MFA, segmentación de red, respaldos protegidos y documentación completa de decisiones.

Gobernanza y Responsabilidad

La ley refuerza que la ciberseguridad es una responsabilidad directa de la Alta Dirección, incluyendo la facultad de detener servicios cuando sea necesario para proteger activos críticos y reducir impactos sistémicos.

Cumplir con la Ley de Ciberseguridad no es solo un requisito regulatorio: es un pilar clave para la resiliencia organizacional, la continuidad del negocio y la confianza del ecosistema digital.