La entrada en vigor de la Ley N° 21.663 de Ciberseguridad marcó un paso clave para proteger la infraestructura crítica en un entorno digital chileno que evoluciona, se complejiza y abre flancos de exposición.
Sin embargo, entre el propósito normativo y las capacidades reales de las empresas para cumplirlo, se abre un espacio que debe ser atendido con realismo regulatorio y visión de sostenibilidad.
La ley llegó en el momento correcto, pero su éxito dependió de la capacidad institucional para acompañar su implementación. Una regulación efectiva debía procurar mantener un equilibrio entre la exigencia y la proporcionalidad.
Fortalecer la seguridad del ecosistema digital no puede recaer exclusivamente sobre quienes operan los sistemas, especialmente cuando los recursos humanos y tecnológicos son limitados.
En lo puntual, el requerimiento de reportar incidentes en tres horas, con actualizaciones en 24 o 72 horas, buscó transparencia, pero puso a prueba la capacidad operativa de muchas instituciones.
En un ciberataque, la precisión es tan importante como la rapidez. Forzar reportes prematuros podría generar ruido y debilitar la calidad de la información.
La seguridad se mide por capacidad de respuesta coordinada, no solo por velocidad.
Otro de los cambios más relevantes fue la responsabilidad directa que recayó sobre los directorios y las altas direcciones.
Esta transformación resultó positiva: por fin la ciberseguridad ingresó al centro de la gestión corporativa. Pero también implicó un nuevo nivel de exposición legal.
Exigir certificaciones internacionales como ISO 27001 o ISO 22301 elevó el estándar del país, pero el desafío práctico fue enorme y podría poner un freno a la innovación en un gran número de emprendimientos.
Aunque aspirar a niveles globales era deseable, no todas las organizaciones contaban con los medios para alcanzarlos en los plazos definidos.
Así también, la extensión de la responsabilidad a la cadena de suministro fue otro punto crítico.
Incorporar a los proveedores y socios tecnológicos en el perímetro de la ley fortaleció la resiliencia del sistema, pero aumentó los costos de control, la carga operativa y el riesgo reputacional.
La Ley de Ciberseguridad representó un avance innegable, pero su efectividad dependió —y sigue dependiendo— de la colaboración entre Estado, empresas y organismos supervisores.
