¿Qué es la Ley de Ciberseguridad en Chile?
La Ley 21.663, publicada en el Diario Oficial en 2024 y en proceso de entrada en vigencia plena durante 2025-2026, establece el primer marco regulatorio integral de ciberseguridad para Chile. Crea la Agencia Nacional de Ciberseguridad (ANCI), define obligaciones para operadores de infraestructura crítica y establece un sistema de reporte de incidentes.
Esta ley tiene implicancias directas en cómo las organizaciones deben gestionar su seguridad de la información, incluyendo los sistemas de backup y continuidad operacional.
¿Quién está afectado? La ley distingue entre "operadores de importancia vital" (OIV) — energía, agua, telecomunicaciones, finanzas, salud, transporte — y otras organizaciones. Los OIV tienen obligaciones más estrictas, pero la ley también establece estándares mínimos para el sector privado en general.
Las Obligaciones Principales que Afectan a su Empresa
1. Gestión de riesgos de ciberseguridad
Las organizaciones deben implementar un proceso formal de identificación, evaluación y mitigación de riesgos de ciberseguridad. Esto incluye el riesgo de pérdida de datos y la evaluación de la efectividad de los controles de backup.
2. Planes de continuidad operacional
Se exige contar con planes documentados de continuidad operacional que incluyan procedimientos de respaldo de información, recuperación ante desastres y definición de RTO y RPO. Estos planes deben probarse periódicamente.
3. Notificación de incidentes
Los incidentes de ciberseguridad significativos deben reportarse a la ANCI dentro de plazos definidos (72 horas para incidentes graves). Esto incluye ataques de ransomware, pérdidas de datos y brechas de seguridad.
4. Medidas técnicas mínimas
La ley exige implementar medidas técnicas básicas: autenticación robusta, cifrado de datos sensibles, gestión de accesos, monitoreo de seguridad y — explícitamente — sistemas de respaldo de información.
5. Auditorías y certificaciones
Los OIV deben someterse a auditorías periódicas de ciberseguridad realizadas por terceros certificados. Los resultados pueden incluir evaluación de los sistemas de backup.
Cómo el Backup se Vincula con la Ley
El respaldo de información no es solo una buena práctica — la Ley 21.663 lo convierte en una obligación legal para muchas organizaciones chilenas. Específicamente:
- Continuidad operacional: El plan de continuidad debe incluir procedimientos de backup documentados y probados.
- Integridad de datos: Se exige implementar controles para garantizar que los datos no sean alterados sin autorización, lo que incluye copias de seguridad verificadas.
- Recuperación ante incidentes: La ley exige capacidad de recuperación demostrable, no solo la existencia de backups.
- Retención de evidencia: Ante un incidente reportable, la organización debe conservar evidencia digital, lo que requiere un sistema de backup con retención adecuada.
Otras Normativas que Complementan
La Ley 21.663 no actúa sola. Otras normativas chilenas también imponen requisitos relacionados con el respaldo y protección de información:
Ley 19.628 (y su reforma — nueva Ley de Protección de Datos)
Exige medidas técnicas para proteger datos personales. La nueva ley 21.719, en proceso de implementación, eleva significativamente las multas y los requisitos técnicos, incluyendo la obligación de notificar brechas de datos en 72 horas.
Normativas CMF para el sector financiero
La Comisión para el Mercado Financiero exige planes de continuidad operacional auditables y sistemas de backup que cumplan requisitos específicos de RTO, RPO y retención para bancos, financieras, corredoras y fintech.
Exigencias del SII
El Servicio de Impuestos Internos requiere conservar documentos tributarios (libros contables, facturas, declaraciones) por al menos 6 años, con garantía de integridad y disponibilidad.
Conclusión
La Ley de Ciberseguridad transforma el backup de buena práctica a obligación legal. Las organizaciones que no implementen sistemas adecuados de respaldo, continuidad y recuperación ante desastres se exponen a sanciones económicas significativas, además del riesgo operacional.
El enfoque correcto es implementar un sistema de backup que cumpla simultáneamente con la Ley 21.663, la normativa de protección de datos y los requisitos sectoriales aplicables. DaiBackup le ayuda a lograrlo con documentación auditable y políticas de retención configurables.