¿Qué es el Delegado de Ciberseguridad?
El Delegado de Ciberseguridad es un rol formal creado por la Ley Marco de Ciberseguridad (Ley N° 21.663) y precisado por la Instrucción General N° 3 de la ANCI, publicada en diciembre de 2025. Esta figura actúa como contraparte oficial de la organización ante la Agencia Nacional de Ciberseguridad y reporta directamente a la máxima autoridad institucional.
No es simplemente el jefe de TI. La ley es explícita: el Delegado debe tener independencia funcional respecto del área de TI para evitar conflictos de interés, y debe contar con un canal de comunicación directo hacia el nivel directivo, de modo que los riesgos, incidentes y brechas de cumplimiento puedan escalar oportunamente.
Importante: El Delegado de Ciberseguridad es un rol adicional y complementario al encargado de reportar incidentes que exige la Instrucción General N° 1. No lo reemplaza.
¿Quién Debe Designar un Delegado de Ciberseguridad?
La obligación aplica exclusivamente a las instituciones calificadas como Operadores de Importancia Vital (OIV). La ANCI publicó la nómina de los primeros OIV en el Diario Oficial el 17 de diciembre de 2025. Si su empresa aparece en esa lista, la obligación ya está vigente.
Los OIV son entidades públicas o privadas cuya operación continua es crítica para el funcionamiento del país. Incluyen infraestructura de telecomunicaciones, sector financiero, salud, energía, agua potable, transporte y sistemas de información del Estado, entre otros.
Perfil Mínimo y Requisitos del Cargo
La Instrucción General N° 3 establece los requisitos mínimos que debe cumplir quien asuma el rol:
- Formación o experiencia en ciberseguridad o áreas afines (la ley no exige un título específico, pero sí competencia acreditada).
- Independencia funcional respecto de las áreas de TI y operaciones. No puede estar subordinado a presiones de disponibilidad del sistema.
- Acceso directo a la alta dirección: debe poder reportar incidentes y riesgos al nivel ejecutivo sin intermediarios que puedan filtrar o retrasar la información.
- Habilitación formal para representar a la institución ante la ANCI, tanto en la plataforma de reporte como en comunicaciones oficiales.
Señal de alerta: Si está pensando designar a su actual jefe de TI como Delegado de Ciberseguridad, la ley requiere que revise si cuenta con la independencia funcional exigida. Asignar el rol a alguien subordinado a las áreas que debe fiscalizar es precisamente lo que la norma busca evitar.
Cómo Formalizar la Designación ante la ANCI
El proceso de designación es formal y requiere documentación. Estos son los pasos que debe seguir su organización:
- Emitir un documento formal de designación suscrito por la autoridad competente según la naturaleza de la entidad (directorio, gerencia general, máxima autoridad del organismo público, etc.).
- El documento debe identificar al delegado titular y su subrogante, el vínculo jurídico con la institución y la habilitación para actuar ante la ANCI.
- Cargar el documento en el portal oficial de la ANCI dentro del plazo de 60 días corridos desde la publicación de la nómina OIV en el Diario Oficial (17 de diciembre de 2025).
- Ante cualquier cambio posterior — renuncia, cambio de cargo, nueva designación — debe notificar a la ANCI dentro de 5 días hábiles.
Buena práctica: Designe simultáneamente al titular y al subrogante. En caso de indisponibilidad del titular durante un incidente crítico, la ley exige que la institución mantenga en todo momento una contraparte funcional ante la ANCI.
Obligaciones Operativas: Más Allá de la Designación
La Instrucción General N° 4, publicada junto con la N° 3, establece las medidas mínimas que los OIV deben adoptar ante un incidente de ciberseguridad. El Delegado es responsable de coordinar su ejecución:
| Plazo | Medida obligatoria |
|---|---|
| Inmediato | Restringir accesos y aislar sistemas comprometidos |
| 3 horas | Cambiar contraseñas de cuentas administrativas afectadas y notificar a la ANCI via sistema de alerta temprana |
| 3 horas | Eliminar cuentas genéricas o sin responsables activos |
| 72 horas | Enviar reporte técnico detallado del incidente a la ANCI |
| Continuo | Mantener registros de decisiones y evidencia del incidente; coordinar con el nivel directivo |
Adicionalmente, los OIV deben revisar y reforzar de forma permanente su postura de seguridad: cortafuegos configurados bajo principio de bloqueo por defecto, segmentación de redes, accesos remotos restringidos a VPN institucional con MFA, y backups protegidos e inmutables.
Sanciones por Incumplimiento
La Ley 21.663 establece un régimen sancionatorio severo. La ANCI no busca multar por ser víctima de un ataque — busca sancionar la negligencia en la preparación y la falta de cumplimiento normativo:
- Infracciones graves (no designar el Delegado, no reportar a tiempo): multas de hasta 20.000 UTM para Servicios Esenciales.
- Infracciones gravísimas (no implementar las medidas mínimas de respuesta, ocultar un incidente): multas de hasta 40.000 UTM para OIV (~USD 3 millones).
- Responsabilidad directiva personal: si la brecha ocurre por falta de diligencia o por no seguir las recomendaciones del Delegado, los gerentes y directores pueden enfrentar consecuencias personales.
Conclusión: Actúe Ahora
Si su empresa fue calificada como OIV, el plazo de 60 días para designar al Delegado de Ciberseguridad y registrarlo ante la ANCI ya está corriendo desde el 17 de diciembre de 2025. No es una obligación futura — es una exigencia vigente.
En DaiBackup ayudamos a empresas chilenas a alinear su infraestructura de respaldo y recuperación con los requisitos de la Ley 21.663: backups inmutables, planes de continuidad documentados y protocolos de respuesta a incidentes. Solicite una evaluación gratuita de su postura de cumplimiento.
¿Necesita cumplir con la Ley 21.663?
Nuestro equipo evalúa su infraestructura y le ayuda a implementar las medidas exigidas por la ANCI sin complicaciones.