El sector financiero chileno ante la Ley 21.663: CMF y nuevas obligaciones

El sector financiero chileno ya contaba antes de la Ley 21.663 con exigencias de ciberseguridad impuestas por la Comisión para el Mercado Financiero (CMF). La nueva ley añade una capa adicional de obligaciones y crea una dualidad regulatoria que los bancos, aseguradoras y gestores de fondos deben gestionar con cuidado para evitar solapamientos o contradicciones.

La CMF tiene competencias de supervisión sobre las entidades financieras reguladas e impone sus propias normas de gestión de riesgos tecnológicos y ciberseguridad. Con la entrada en vigor de la Ley 21.663, la coordinación entre la CMF y la ANCI será fundamental para que las entidades financieras reciban instrucciones coherentes y puedan demostrar cumplimiento ante ambos organismos.

Qué cambia en la práctica

Las entidades financieras que ya cumplían con las exigencias de la CMF parten con ventaja, pero deberán revisar si sus controles cubren también los nuevos requisitos de la ANCI. En particular, los plazos de notificación al CSIRT Nacional (tres horas para incidentes críticos) pueden ser más estrictos que los que venía aplicando el sector bajo la normativa CMF anterior.

El sector financiero también debe prestar atención a la seguridad de sus proveedores tecnológicos. Los sistemas de core bancario, las plataformas de pagos y los servicios cloud que usan los bancos chilenos quedarán escrutados bajo la óptica de la nueva ley. Un programa de gestión de proveedores con criterios de seguridad claros es ahora una obligación, no una opción.

El sector financiero chileno ahora responde ante la CMF y la ANCI. Blindara monitoriza accesos, detecta comportamientos anómalos y genera los registros de seguridad que ambos reguladores pueden requerir.