La Asamblea Nacional aprobó el Proyecto de Ley Orgánica para el Fortalecimiento de la Ciberseguridad, el cual ha sido remitido al Ejecutivo para su sanción u objeción.

La normativa establece el marco jurídico del Sistema Nacional de Ciberseguridad, regula la protección de infraestructura crítica digital y servicios esenciales, fija obligaciones para entidades públicas y actores privados, y reforma diversos cuerpos normativos para incorporar estándares de seguridad digital, gestión de incidentes y soberanía tecnológica.

PRINCIPALES EJES DE LA LEY

1. RECTORÍA

Se establece un modelo de gobernanza nacional en materia de ciberseguridad, bajo la rectoría del ente encargado de transformación digital, gobierno digital y ciberseguridad (MINTEL), con funciones de:

• Planificación y coordinación estratégica.
• Emisión de lineamientos técnicos generales.
• Articulación interinstitucional.
• Supervisión preventiva en sectores sin órgano especializado.

Se consolida el CSIRT Nacional como organismo técnico responsable de coordinar la gestión de incidentes de seguridad informática a nivel país, en articulación con CSIRTs sectoriales.

2. INFRAESTRUCTURA CRÍTICA DIGITAL Y SERVICIOS ESENCIALES

La ley introduce la clasificación y protección obligatoria de:

• Servicios esenciales.
• Infraestructura crítica digital.

Se dispone la elaboración de un Catálogo Nacional y la adopción de estándares en materia de ciberseguridad.

Las entidades públicas y privadas que operen servicios esenciales deberán implementar medidas técnicas y organizativas proporcionales al nivel de criticidad del servicio.

3. GESTIÓN, EVALUACIÓN Y NOTIFICACIÓN DE INCIDENTES

Se establece un régimen formal de:

• Evaluación de vulnerabilidades.
• Hacking ético regulado.
• Gestión y reporte de incidentes.
• Notificación obligatoria de brechas de seguridad.

Se prevé la emisión de normativa técnica específica dentro de los primeros seis meses desde la publicación de la ley.

4. RÉGIMEN SANCIONADOR

Se incorpora un régimen administrativo sancionador basado en criterios de:

• Gradualidad.
• Proporcionalidad.
• Criticidad del servicio afectado.
• Capacidad económica del sujeto obligado.

Aplicación diferenciada:

• Inmediata en sectores con órgano de control especializado.
• Diferida hasta por 24 meses en sectores sin regulación previa, con período inicial de adecuación preventiva.

OTRAS REFORMAS A CUERPOS NORMATIVOS

A LA LEY ORGÁNICA DE EDUCACIÓN INTERCULTURAL

Se incorpora la seguridad digital como eje obligatorio del sistema educativo:

• Inclusión de contenidos de ciberseguridad en el currículo nacional.
• Desarrollo de competencias digitales y buenas prácticas de higiene digital.
• Implementación de programas institucionales de protección digital.
• Protocolos de prevención y respuesta frente a violencia digital (ciberacoso, grooming, manipulación en línea).
• Reconocimiento del derecho de estudiantes a recibir educación en seguridad digital.

A LA LEY ORGÁNICA DE COMUNICACIÓN

Se reforma el artículo 74 de la Ley Orgánica de Comunicación para establecer la obligación de destinar una hora diaria no acumulable a programas oficiales de:

• Tele-educación
• Cultura
• Salubridad
• Derechos
• Seguridad digital

AL CÓDIGO ORGÁNICO INTEGRAL PENAL

Se reforma el artículo 232 del Código Orgánico Integral Penal para establecer que no constituyen delito las actividades de acceso, prueba o evaluación realizadas con consentimiento expreso del titular del sistema, cuando tengan fines de verificación o fortalecimiento de la seguridad y se ejecuten conforme a la normativa técnica.

A LA LEY ORGÁNICA DE TELECOMUNICACIONES

Se sustituye el artículo 108 de la Ley Orgánica de Telecomunicaciones, estableciendo:

• Régimen diferenciado para internet satelital de órbita baja (LEO).
• Reconocimiento de estas tecnologías como infraestructura crítica digital.
• Administración estatal del espectro radioeléctrico.
• Control técnico, económico y operativo por parte de ARCOTEL.
• Incentivos para programas de alfabetización e inclusión digital.

A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS PERSONALES

Se reforma el artículo 43 de la Ley Orgánica de Protección de Datos Personales para disponer que el responsable del tratamiento deberá notificar vulneraciones de seguridad:

• A la Autoridad de Protección de Datos.
• Al organismo de control competente.
• Al CSIRT correspondiente.

Dentro del plazo máximo de cinco (5) días desde que tenga conocimiento del incidente.

A LA LEY ORGÁNICA DE TRANSPORTE TERRESTRE, TRÁNSITO Y SEGURIDAD VIAL

Se introducen disposiciones que permiten:

• Reglamentar el uso obligatorio de medios tecnológicos automáticos de peaje en situaciones de grave conmoción interna.
• Revisar y verificar acreditaciones de laboratorios que calibran dispositivos automáticos de detección de infracciones, bajo estándares técnicos nacionales.

DISPOSICIONES GENERALES Y TRANSITORIAS RELEVANTES

• La rectoría normativa y de coordinación corresponde al ente rector en transformación digital, gobierno digital y ciberseguridad (el MINTEL), sin interferir en competencias exclusivas de otros órganos.
• La potestad sancionadora recae en los órganos de control especializados.
• Se establece coordinación obligatoria entre niveles de gobierno.
• En 6 meses deberán emitirse estándares mínimos nacionales de ciberseguridad.
• En 12 meses deberá consolidarse la estructura del CSIRT Nacional.
• Se prevé un período de fortalecimiento institucional progresivo de hasta 24 meses.
• Durante los períodos de adecuación, las actuaciones serán preventivas y orientadoras, salvo incumplimientos graves.

ENTRADA EN VIGENCIA

La ley entrará en vigencia a partir de su publicación en el Registro Oficial, una vez concluido el proceso de sanción u objeción por parte del Ejecutivo.

En el caso de requerir más información con mucho gusto le podemos asesorar.

NOTA: El informativo de CCB Abogados no podrá ser considerado como opinión legal, tiene efectos únicamente informativos.