Ley Orgánica para el Fortalecimiento de la Ciberseguridad: aspectos relevantes

La promulgación de la Ley Orgánica para el Fortalecimiento de la Ciberseguridad tiene como objetivo fortalecer la protección de la información y garantizar la confidencialidad, integridad y disponibilidad de los activos digitales en sectores estratégicos y esenciales.

La normativa tiene especial relevancia para (i) las entidades del sector público vinculadas a servicios esenciales e infraestructura crítica (ii) prestadores de servicios digitales (iii) empresas privadas responsables de infraestructura crítica digital o cuya actividad incida directamente en servicios esenciales, especialmente en sectores financiero, salud, telecomunicaciones, energía y transporte.

Entre otros aspectos, la se Ley destaca por lo siguiente:

Las entidades obligadas deberán implementar mecanismos de gestión de riesgos de ciberseguridad, gestionar incidentes de seguridad informática que afecten servicios esenciales o infraestructura crítica y notificar incidentes de ciberseguridad dentro de las 72 horas siguientes a su detección.
El Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL) será la autoridad rectora en materia de ciberseguridad y tendrá a su cargo la emisión de la normativa secundaria, políticas y directrices necesarias para la implementación de la Ley.
Se crea el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional), organismo encargado de coordinar acciones de prevención, detección y respuesta frente a incidentes de ciberseguridad. En tal sentido, la Ley reforma el artículo 43 de la LOPDP, en el cual no solo se deberá notificar a la Superintendencia de Protección de Datos Personales, sino adicionalmente para efectos de coordinación técnica y mitigación al CSIRT correspondiente.
Por primera vez se regula expresamente la realización de pruebas de penetración y hackeo ético autorizado. Actividades que podrán ser utilizadas para identificar vulnerabilidades y fortalecer los controles de seguridad de las organizaciones. Quienes realicen actividades de hackeo ético deberán estar inscritos en el Registro Nacional de Profesionales y Empresas de Pruebas de Seguridad, administrado por el ente rector en materia de ciberseguridad.

Finalmente, la Ley incorpora un régimen administrativo sancionador frente al incumplimiento de las obligaciones en materia de ciberseguridad. Las infracciones se clasifican en leves, graves y muy graves, y pueden ser aplicables tanto a servidores o funcionarios del sector público como a entidades de derecho privado o empresas públicas, conforme a la naturaleza del sujeto infractor.

BACLAW brinda asesoría integral en cumplimiento normativo, implementación de sistemas de gestión de seguridad de la información, gestión de incidentes de ciberseguridad y adecuación al nuevo régimen legal, con el fin de minimizar riesgos regulatorios y evitar un régimen sancionador relevante.

Si usted desea conocer mayor información sobre el contenido, no dude en contactarnos:

Miguel Costta – Asociado
mcostta@baclaw.ec

Patrick Barrera – Socio
pbarrera@baclaw.ec

Connie Frías – Socia
cfrias@baclaw.ec

19 de junio de 2026Alerta para tu empresa sobre criterios recientes de la Autoridad de Datos que podrían aplicarte

9 de junio de 2026Principales reformas al Reglamento del Centro de Arbitraje de la Cámara de Comercio Internacional

5 de junio de 2026Ley Orgánica para el Fortalecimiento de la Ciberseguridad: aspectos relevantes

1 de junio de 2026Norma para la Administración del Riesgo de Lavado de Activos y Financiación de Otros Delitos (PARLAFT)

22 de mayo de 2026Ecuador acelera las Zonas Francas Tecnológicas