Santiago, 3 de febrero de 2026 – El Gobierno de Chile publicó el Reglamento de Ciberseguridad de la Defensa Nacional, normativa que desarrolla la Ley Marco de Ciberseguridad (Ley N.º 21.663) y fija los principios, estructuras y procedimientos para proteger los sistemas de información del sector defensa frente a amenazas y ciberataques.
El reglamento establece un marco obligatorio para las instituciones dependientes del Ministerio de Defensa Nacional y las Fuerzas Armadas, definiendo roles, responsabilidades y mecanismos de coordinación para prevenir, detectar, reportar y responder a incidentes de ciberseguridad que puedan afectar información estratégica o servicios esenciales.
En este contexto, el Subsecretario de Defensa, Ricardo Montero, destacó la relevancia de la normativa:“Este reglamento marca un avance histórico en las políticas de seguridad del sector, ya que provee los principios necesarios para proteger nuestra información estratégica —y, con ello, nuestra soberanía— de potenciales amenazas o ciberataques. De esta manera, nos permite enfrentar con mayor confianza los desafíos del ciberespacio y garantizar que la información del sector defensa y de todos los chilenos esté totalmente protegida”.
La norma se alinea con la Política Nacional de Ciberseguridad y con la nueva institucionalidad encabezada por la Agencia Nacional de Ciberseguridad (ANCI), reforzando la coordinación entre organismos civiles y militares ante riesgos en el ciberespacio. Y tiene por objeto estructurar, regular y coordinar las acciones de ciberseguridad en la Defensa Nacional, regulando tanto el Equipo de Respuesta a Incidentes de la Defensa Nacional (CSIRT-DN) como los Equipos de Respuesta a Incidentes Institucionales (CSIRT-IDN), además de los procedimientos de reporte de incidentes. Para ello, incorpora definiciones clave como activo informático, ciberataque, incidente de ciberseguridad, resiliencia, riesgo y vulnerabilidad, y fija principios rectores como el control de daños, la cooperación con las autoridades, la coordinación, la seguridad en el ciberespacio, la respuesta responsable, la seguridad informática, la racionalidad y la seguridad por defecto.
El reglamento define los servicios esenciales para la Defensa Nacional y establece la obligación de elaborar políticas de seguridad de la información y ciberseguridad alineadas con las normativas nacionales. Entre los deberes generales se incluye la aplicación de medidas preventivas, el reporte de incidentes, la realización de análisis de riesgos anuales y el cumplimiento de los protocolos dictados por la Agencia Nacional de Ciberseguridad (ANCI) y el CSIRT-DN. Asimismo, se dispone que el CSIRT-DN fijará estándares mínimos de ciberseguridad considerando las capacidades institucionales, sin perjuicio de que las instituciones puedan adoptar estándares superiores.
La obligación de reporte contempla la comunicación de ciberataques e incidentes significativos al CSIRT-DN, el cual informará a la ANCI, salvo en aquellos casos en que se comprometa la seguridad nacional. En el proceso de calificación de operadores de importancia vital, la ANCI requerirá informes al Ministerio de Defensa, con información de carácter secreto. Además, los contratos con proveedores de tecnologías de la información deberán exigir el reporte de vulnerabilidades e incidentes, resguardando la confidencialidad de la información.
El CSIRT-DN dependerá del Estado Mayor Conjunto del Ministerio de Defensa Nacional y será responsable de coordinar la protección de redes, sistemas y operadores vitales para resguardar la defensa y la seguridad nacional. Entre sus funciones se encuentra coordinar la protección frente a riesgos en el ciberespacio y articular a los CSIRT-IDN, colaborar con la ANCI y el CSIRT Nacional, establecer protocolos mínimos de ciberseguridad, asesorar en políticas, emitir alertas y recomendaciones, supervisar el cumplimiento normativo, coordinar ejercicios, gestionar incidentes e informar infracciones al Ministro de Defensa. Asimismo, podrá realizar exploraciones proactivas, elaborar reportes y emitir alertas urgentes, además de recomendaciones voluntarias, recibiendo retroalimentación de los CSIRT-IDN.
Los CSIRT-IDN tendrán como finalidad responder a vulnerabilidades e incidentes que afecten las instalaciones, redes y sistemas de los organismos e instituciones del sector Defensa, conforme a los lineamientos del CSIRT-DN. Sus funciones incluyen proteger la confidencialidad, integridad y disponibilidad de las redes y de la infraestructura crítica, establecer protocolos institucionales alineados con el CSIRT-DN y la ANCI, reportar incidentes al CSIRT-DN con información detallada de los planes de acción, compartir alertas e inteligencia de amenazas, realizar ejercicios de simulación y supervisar el cumplimiento de las medidas adoptadas, así como informar cuando no sea posible implementar directrices ministeriales.
En cuanto al procedimiento de reporte, el reglamento establece la obligación de informar los incidentes con efecto significativo, como interrupciones de servicios o afectaciones a la salud o a datos personales, al CSIRT-DN, cuyo incumplimiento será comunicado a la ANCI para la aplicación de sanciones. El efecto significativo se evaluará considerando el número de afectados, la duración del incidente y su extensión geográfica, mientras que los CSIRT-IDN deberán apoyar el restablecimiento bajo la coordinación del CSIRT-DN. Se exceptúa el reporte a la ANCI cuando este comprometa la seguridad nacional, debiendo informarse directamente al Ministerio de Defensa. Los plazos consideran una alerta temprana dentro de tres horas, una actualización en setenta y dos horas —o veinticuatro horas si se trata de operadores vitales afectados— y un informe final dentro de quince días, que deberá incluir la descripción del incidente, sus causas, las medidas adoptadas y sus repercusiones. En los reportes deberán omitirse datos personales, salvo direcciones IP, y toda información secreta.
El reglamento también establece un régimen de reserva de la información en materia de ciberseguridad, declarando secretos los antecedentes, datos e informes del CSIRT-DN y los CSIRT-IDN, con circulación restringida y obligación de confidencialidad incluso después del término de funciones. Esta reserva abarca matrices de riesgos, planes de continuidad, planes de mitigación y documentos vinculados a la seguridad del Estado, la Defensa Nacional o el orden público.
Finalmente, las normas transitorias fijan plazos para la implementación del sistema. En un plazo de seis meses, las instituciones deberán realizar un diagnóstico de madurez en ciberseguridad y remitir sus resultados al CSIRT-DN. En doce meses, deberán implementar los protocolos y estándares mínimos definidos por este organismo, cuya elaboración también deberá concretarse en ese mismo plazo, en coordinación con la ANCI.
