Convergencia Ley 21.719 + Ley 21.663 + NERC-CIP
Un incidente de seguridad en el sector energia puede activar notificaciones simultaneas a la APDP (proteccion de datos) y a la ANCI (ciberseguridad). Ambas tienen plazos estrictos y requisitos distintos. Tu organizacion debe tener un proceso unificado.
Por que las empresas de energia tienen doble obligacion
Las empresas del sector electrico en Chile estan sujetas a tres marcos regulatorios que se superponen:
| Regulacion | Que protege | Autoridad | Aplica a |
|---|---|---|---|
| Ley 21.719 | Datos personales | APDP (Agencia de Proteccion de Datos) | Toda organizacion que trate datos personales |
| Ley 21.663 | Infraestructura critica (ciberseguridad) | ANCI (Agencia Nacional de Ciberseguridad) | Operadores de Importancia Vital (OIV) |
| NERC-CIP | Sistemas electricos (confiabilidad) | SEC / Coordinador Electrico Nacional | Empresas del sistema electrico interconectado |
Una empresa generadora, transmisora o distribuidora de energia cumple tipicamente con las tres.
Que es un OIV y como determinarlo
Un Operador de Importancia Vital (OIV) es una organizacion que provee servicios esenciales cuya interrupcion tendria impacto significativo en la seguridad, salud, economia o funcionamiento del pais.
Criterios para el sector energia
Tu empresa es probablemente un OIV si:
- Genera energia electrica conectada al sistema interconectado
- Transmite energia en lineas de alta tension
- Distribuye energia a consumidores finales
- Opera infraestructura critica del sistema electrico (subestaciones, centros de despacho)
- Provee servicios esenciales al sistema electrico (SCADA, telecomunicaciones de red)
La clasificacion como OIV es determinada por la ANCI mediante un proceso formal. Si crees que tu empresa podria ser clasificada como OIV, consulta con tu asesoria juridica antes de la entrada en vigencia.
Mapa de convergencia entre las tres regulaciones
Gestion de activos y datos
| Requisito | Ley 21.719 | Ley 21.663 | NERC-CIP |
|---|---|---|---|
| Inventario de activos | RAT (actividades de tratamiento) | Inventario de activos criticos | CIP-002 (identificacion de activos) |
| Clasificacion | Datos personales / sensibles | Activos criticos / no criticos | BES Cyber Systems |
| Registro obligatorio | Si (RAT) | Si (plan de seguridad) | Si (evidencia auditoria) |
Control de acceso
| Requisito | Ley 21.719 | Ley 21.663 | NERC-CIP |
|---|---|---|---|
| Acceso a datos | Principio de minimizacion | Acceso basado en necesidad | CIP-004 (acceso personal) |
| Autenticacion | Medidas de seguridad adecuadas | Autenticacion robusta | CIP-007 (gestion de acceso) |
| Biometricos | DPIA + consentimiento explicito | Medida de seguridad fisica | CIP-006 (seguridad fisica) |
| Auditoria de acceso | Registro de tratamiento | Registro de eventos | CIP-007 (monitoreo) |
Gestion de incidentes
| Requisito | Ley 21.719 | Ley 21.663 | NERC-CIP |
|---|---|---|---|
| Deteccion | Medidas de seguridad | Monitoreo continuo | CIP-007 (monitoreo de seguridad) |
| Plazo notificacion | 72 horas a la APDP | "Sin demora" a la ANCI | 1 hora (eventos reportables) |
| A quien notificar | APDP + titulares afectados | ANCI + CSIRT | NERC + SEC |
| Que reportar | Datos afectados, titulares, medidas | Naturaleza del incidente, impacto | Evento de seguridad, sistemas |
Evaluacion de riesgos
| Requisito | Ley 21.719 | Ley 21.663 | NERC-CIP |
|---|---|---|---|
| Evaluacion | DPIA | Evaluacion de riesgos de ciberseguridad | CIP-010 (evaluacion de vulnerabilidades) |
| Periodicidad | Antes del tratamiento de alto riesgo | Continua | Anual minimo |
| Alcance | Datos personales | Infraestructura critica | BES Cyber Systems |
Como DPOLab integra con Wazuh para brechas
DPOLab se integra con Wazuh (plataforma open source de deteccion de amenazas) para automatizar la cadena de notificacion de brechas.
Flujo de deteccion y notificacion
Deteccion automatica
Wazuh detecta un evento de seguridad (acceso no autorizado, exfiltracion de datos, malware, anomalia en red OT). Genera una alerta con severidad.
Webhook a DPOLab
Wazuh envia la alerta al endpoint de webhook de DPOLab:
POST /api/v1/webhooks/wazuh/{tenant-slug}El payload incluye: tipo de evento, sistemas afectados, severidad, timestamp.
Creacion automatica del incidente
DPOLab crea un registro de brecha con los datos del webhook. Calcula automaticamente la severidad segun:
- Tipo de datos potencialmente afectados (personales, sensibles)
- Volumen estimado de registros
- Sistemas involucrados (IT vs OT)
- Intencionalidad (detectada por Wazuh)
Arbol de decision: a quien notificar
DPOLab evalua automaticamente:
| Condicion | Notificar a APDP | Notificar a ANCI | Notificar a titulares |
|---|---|---|---|
| Datos personales afectados | Si (72 horas) | — | Si, si riesgo alto |
| Infraestructura critica afectada | — | Si (sin demora) | — |
| Datos personales + infra critica | Si (72 horas) | Si (sin demora) | Si, si riesgo alto |
| Solo datos operacionales (no personales) | No | Si (si OIV) | No |
Gestion del incidente
El equipo investiga, contiene, resuelve y documenta. Todo queda registrado en la linea de tiempo del incidente con timestamps y responsables.
Generacion de reportes
DPOLab genera los reportes de notificacion en el formato requerido por cada autoridad: APDP (proteccion de datos), ANCI (ciberseguridad), SEC (sector electrico si aplica).
Configuracion del webhook de Wazuh
<!-- En la configuracion de Wazuh (ossec.conf) -->
<integration>
<name>custom-dpolab</name>
<hook_url>https://api.dpolab.com/api/v1/webhooks/wazuh/tu-tenant-slug</hook_url>
<level>10</level>
<alert_format>json</alert_format>
<api_key>TU_WAZUH_WEBHOOK_SECRET</api_key>
</integration>// Ejemplo de payload que recibe DPOLab
{
"source": "wazuh",
"rule_id": 100200,
"rule_level": 12,
"rule_description": "Unauthorized access to database server",
"agent": {
"id": "003",
"name": "db-server-01"
},
"timestamp": "2026-06-15T14:30:00Z",
"data": {
"srcip": "10.0.1.50",
"dstip": "10.0.2.10",
"action": "blocked"
}
}Recomendaciones para empresas de energia
-
Unifica el equipo de respuesta: No tengas equipos separados para proteccion de datos y ciberseguridad. Un solo equipo con doble competencia es mas efectivo.
-
Documenta la convergencia: Manten un mapa actualizado de como cada control satisface multiples regulaciones. Esto reduce el trabajo de auditoria.
-
Automatiza la deteccion: La integracion Wazuh + DPOLab elimina el riesgo de no detectar o no notificar a tiempo.
-
Simula incidentes duales: Al menos una vez al ano, realiza un simulacro que active notificaciones a APDP y ANCI simultaneamente.
-
Clasifica datos en zona OT: Los sistemas SCADA no suelen tener datos personales, pero si tienen logs con credenciales, IPs internas o datos de operadores que podrian ser datos personales. Mapea esto explicitamente.
DPOLab es la unica plataforma chilena que integra gestion de datos personales con deteccion de brechas via Wazuh, permitiendo cumplir simultaneamente con la Ley 21.719 y la Ley 21.663 desde una sola herramienta. Consulta el caso de uso de empresa de energia para ver una implementacion paso a paso.