Con la entrada en vigencia de la Ley Marco de Ciberseguridad N°21.663 y la creación de la Agencia Nacional de Ciberseguridad (ANCI), han surgido numerosas consultas sobre cómo gestionar incidentes de ciberseguridad y cumplir con el nuevo régimen de reporte obligatorio.
El primer paso esencial es determinar si su organización ha sido calificada como prestador de servicios esenciales o como operador de importancia vital, conforme al procedimiento iniciado por la ANCI. Esta calificación define si se está sujeto o no al deber legal de reporte de incidentes, así como la aplicación de plazos, obligaciones y responsabilidades.
¿Por qué reportar incidentes de ciberseguridad a ANCI?
Una vez determinada dicha condición, se debe revisar con atención los instrumentos normativos que regulan el deber de reporte:
• El Reglamento de Reporte de Incidentes de Ciberseguridad de la Ley N°21.663 (Decreto Supremo N°295, de 2024), que establece la estructura, plazos y contenidos mínimos exigidos para los reportes ante el CSIRT Nacional.
• La Resolución Exenta N°7, de 2025, de la Agencia Nacional de Ciberseguridad, que aprueba la Taxonomía oficial de incidentes de ciberseguridad, clasificando los eventos reportables según áreas de impacto y efectos observables.
“A partir de este marco normativo, se vuelve fundamental que cada organización cuente con un proceso interno de gestión de incidentes estructurado conforme a estándares internacionales. En particular, la norma ISO/IEC 27001:2022, y su anexo ISO/IEC 27002, ofrece controles específicos sobre la gestión de incidentes de seguridad de la información, que permiten alinear la respuesta técnica y documental con los requisitos legales vigentes”, explica César Pallavicini Z., CEO de Pallavicini Consultores.
Este proceso debe comprender una política formal, procedimientos claros, protocolos de escalamiento, criterios de decisión y designación de responsabilidades. La alta dirección debe participar activamente en la decisión de reportar, evaluando no solo el cumplimiento normativo, sino también los posibles efectos sobre la continuidad del negocio y la reputación institucional.
“Con el fin de apoyar a las empresas en esta implementación, hemos diseñado un curso/taller práctico, que entrega las bases para desarrollar o actualizar el proceso de gestión de incidentes de ciberseguridad y reportes a ANCI conforme a la Ley 21.663, integrando tanto el enfoque técnico como las implicancias jurídicas del reporte. Además, entregaremos recomendaciones sobre cómo escalar internamente, quiénes deben intervenir, y cómo estructurar la gobernanza de este proceso“, concluye el ejecutivo.
El detalle del curso, los valores de inversión y la forma de inscripción en https://lnkd.in/dCA3wDS2
