Newsletter Informativo: Nueva Ley Orgánica para el Fortalecimiento de la Ciberseguridad

1. Objeto y ámbito de aplicación

La ley tiene como fin primordial establecer estándares nacionales de seguridad digital, definir mecanismos para la notificación y gestión de incidentes, y consolidar la coordinación entre instituciones.

Su cumplimiento es obligatorio para:

• Sector público:Entidades que gestionen servicios esenciales o infraestructura crítica digital.

• Prestadores de Servicios Digitales (PSD): Bajo el principio de responsabilidad compartida por los elementos bajo su control.

• Sector privado Personas jurídicas responsables de infraestructura crítica o cuya actividad incida directamente en la continuidad de servicios esenciales.

2. Definiciones clave para el Compliance:

La norma incorpora conceptos técnicos fundamentales para la gestión de riesgos legales:

• Servicio esencial Actividades cuya interrupción comprometa la vida, salud, seguridad o estabilidad económica.

• Infraestructura crítica digital: Redes y sistemas indispensables para la provisión de servicios esenciales o la seguridad nacional.

• Incidente de ciberseguridad Eventos que comprometan la confidencialidad, integridad o disponibilidad de la información, ya sea por fallos técnicos o ataques maliciosos.

• Resiliencia digital Capacidad de anticipar, resistir y recuperarse ante incidentes, asegurando la continuidad operativa.

3. El Catálogo Nacional y el Ente Rector

El Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) asume la rectoría en ciberseguridad y es responsable de crear el Catálogo Nacional de Servicios Esenciales e Infraestructura Crítica Digital. Este catálogo, que incluirá sectores como energía, finanzas, salud y telecomunicaciones, deberá revisarse al menos cada dos años para adaptarse a nuevos riesgos y tecnologías.

4. Gestión y notificación obligatoria de incidentes

Las entidades obligadas deben implementar procedimientos de detección y respuesta. Existe la obligación de notificar al ente rector cualquier incidente relevante de forma inmediata y en un plazo máximo de 72 horas tras su detección. La omisión injustificada de este reporte será sancionada, aunque la notificación de buena fe no se usará como prueba de negligencia si se adoptaron medidas preventivas razonables.

5. Hacking Ético: Un Marco Seguro

Una innovación destacada es la habilitación jurídica del hacking ético y las pruebas de penetración para identificar vulnerabilidades. Estas actividades requieren:

• Consentimiento expreso y escrito del titular del sistema.

• Registro obligatorio de los profesionales en un catastro administrado por el ente rector.

• Finalidad legítima, sin alterar la integridad o disponibilidad de los datos. Además, se reforma el Código Orgánico Integral Penal para establecer que estas acciones autorizadas no constituyen delito.

6. Régimen administrativo sancionador

La ley clasifica las infracciones en leves, graves y muy graves, con sanciones proporcionales al volumen de negocios o salarios básicos:

• Infracciones leves Multas de 1 a 10 SBU para funcionarios públicos o del 0.1% al 0.7% del volumen de negocios para empresas privadas.

• Infracciones graves Multas de 10 a 20 SBU o del 0.7% al 1% del volumen de negocios.

• Infracciones muy graves: Multas de 20 a 40 SBU o del 1% al 1.5% del volumen de negocios. Para los sectores que actualmente no cuentan con un órgano de control especializado, se establece un periodo de adecuación de 24 meses antes de que el régimen sancionador sea exigible.

Nota de VR Legal & Compliance: Es fundamental que las empresas comiencen la revisión de sus políticas de seguridad y contratos con proveedores de servicios digitales para alinearse con los estándares que el ente rector emitirá en los próximos meses.

Contacto

Estamos aquí para ayudarte con tus consultas legales.

Email

Teléfono

alejandrovasquez.ec@outlook.com

0980600093

© 2025. All rights reserved.