Entry into Force of Key Provisions of the Cybersecurity Framework Law and Publication of Complementary Regulations in the Official Gazette

On March 1, 2025, the pending provisions of Law No. 21,663, known as the Cybersecurity Framework Law, came into effect. These provisions had been deferred until this date as established in Decree with Force of Law No. 1-21,663, published on December 24, 2024.

The provisions that came into force include:

Article 5: Qualification of operators of vital importance.
Article 8: Specific duties of operators of vital importance.
Article 9: Obligation to report to the National CSIRT (Computer Security Incident Response Team) any cyberattacks and cybersecurity incidents that may have significant effects.
Title VII: Regime of sanctions and infractions.

With the enactment of these provisions, as of this date, public and private institutions that provide essential services, as well as operators of vital importance, are required to notify the National CSIRT of any cyberattack or cybersecurity incident that may have a significant effect, in accordance with Article 9 of the law.

In line with this obligation, on March 1, 2025, two regulatory documents were published in the Official Gazette, outlining the requirements and procedures to comply with the incident reporting duty:

Supreme Decree No. 295 of 2024 from the Ministry of the Interior and Public Security, which approves the Cybersecurity Incident Reporting Regulation of Law No. 21,663. This decree establishes, among other aspects, the minimum content that cybersecurity incident reports must contain and the obligations of public and private institutions that provide essential services, as well as operators of vital importance, to report to the National CSIRT any cyberattacks and cybersecurity incidents that may have significant effects.
Exempt Resolution No. 7 of 2025 from the National Cybersecurity Agency. This resolution approves the taxonomy of cybersecurity incidents, classifying them into various categories according to their nature and effect. It also details the process and means for reporting to the National CSIRT, including the official platform available at https://portal.anci.gob.cl, operational 24 hours a day, every day of the year.

The publication of these documents in the Official Gazette complements the regulatory framework applicable to the mandatory reporting of cybersecurity incidents set forth in the Cybersecurity Framework Law, establishing the criteria and procedures that obligated entities must follow to comply with this legal obligation.

AUTHORS: Guillermo Carey, José Ignacio Mercado, Iván Meleda.

Política de privacidad

Carey y Cía Ltda. (“Carey”) se compromete a respetar su privacidad. Usted no está obligado a facilitar ninguna información personal al consultar nuestro sitio web. Sin embargo, puede optar por comunicarse con nosotros completando el formulario disponible en la sección “Contacto” de este sitio, en cuyo caso y para efectos de poder responderle adecuadamente, se le pedirá que proporcione su nombre y dirección de correo electrónico, y acepte en forma expresa esta política de privacidad. En ese evento, haremos tratamiento de sus datos sólo para comunicarnos con usted y poder brindarle la información que usted ha solicitado. No compartiremos su información personal con ningún tercero, excepto cuando sea requerido por ley. También podemos utilizar sus datos para comunicarnos con usted para preguntarle si le gustaría recibir información sobre nuestros eventos, publicaciones y otros servicios que podrían ser de su interés. Sin embargo, no lo añadiremos a ninguna de nuestras listas de distribución de correos sin su consentimiento expreso. Usted también puede registrarse por sí mismo para recibir nuestras alertas legales en la sección de News Alerts disponible en nuestro sitio.

Una “cookie” es un pequeño archivo de datos que puede ser colocado en el disco duro de su computador o en un servidor web. Estas cookies no recuperan la información almacenada en su disco duro y no causan daño ni a su equipo ni a los archivos que se guardan en ella. Usted no está obligado a aceptar cookies, y de hecho, puede modificar su navegador para que no las acepte. Utilizamos cookies para que nuestro sitio web reconozca su idioma preferido, el cual es seleccionado a partir de una visita anterior a nuestro sitio. También realizamos un seguimiento a las pautas de navegación de nuestros usuarios a través de nuestra página web, con el fin de evaluar y mejorar el sitio. Utilizamos esta información para recopilar datos estadísticos sobre el uso de nuestro sitio web, pero dicha información se utiliza de forma anónima, agregada y usted no puede ser identificado a partir de ella. Cuando usted visita nuestro sitio web, nuestro servidor registra su dirección IP junto con la fecha, hora y duración de su visita. Una dirección IP es un número asignado, similar a un número de teléfono, que le permite a su computador comunicarse a través de Internet. Analizamos estos datos para obtener tendencias estadísticas, y luego los descartamos.

Disclaimer

Disclaimer

Política de privacidad

Cookies

Privacy Policy

Cookies