Ha sido publicada la Ley Orgánica para el Fortalecimiento de la Ciberseguridad. La norma reforma, entre otros cuerpos legales, la Ley Orgánica para la Transformación Digital y Audiovisual, la Ley Orgánica de Protección de Datos Personales (LOPDP), la Ley Orgánica de Telecomunicaciones, la Ley Orgánica de Educación Intercultural y el Código Orgánico Integral Penal.
La Ley establece un marco nacional para la prevención, gestión y respuesta frente a incidentes de ciberseguridad, con énfasis en la protección de la infraestructura crítica digital, la continuidad de servicios esenciales y la coordinación institucional. También crea el Comité Nacional de Ciberseguridad como instancia de articulación estratégica de la política pública en esta materia.
Entre los principales aspectos de la Ley destacan: la definición de conceptos clave como ciberataque, incidente de ciberseguridad, riesgo de ciberseguridad e infraestructura crítica digital; la regulación de pruebas controladas de seguridad o hacking ético; la obligación de fortalecer capacidades de monitoreo, detección y respuesta; y la incorporación progresiva de contenidos de seguridad digital, ciberseguridad, ética digital y protección de datos personales en el ámbito educativo.
Para el sector privado, especialmente proveedores de servicios esenciales y operadores de infraestructura crítica, la Ley impone obligaciones relevantes: implementar sistemas de gestión de seguridad de la información basados en estándares internacionales o equivalentes; contar con mecanismos de monitoreo, detección y respuesta; notificar incidentes relevantes al ente rector; y participar en simulacros, auditorías o ejercicios promovidos por el Estado.
Adicionalmente, la Ley regula expresamente las actividades de hacking ético o pruebas de penetración, estableciendo que los profesionales y empresas que realicen este tipo de evaluaciones deberán inscribirse obligatoriamente en el Registro Nacional de Profesionales y Empresas de Pruebas de Seguridad, administrado por el ente rector en materia de ciberseguridad.
El régimen sancionatorio clasifica las infracciones en leves, graves y muy graves. Las multas pueden calcularse sobre el volumen de negocio del ejercicio económico anterior, con rangos que van del 0,1% al 1,5%, según la gravedad; para servidores públicos, se prevén multas de 1 a 40 salarios básicos unificados.
En este sentido las organizaciones deben iniciar una revisión inmediata de su madurez en ciberseguridad, gobierno de datos, planes de continuidad, protocolos de respuesta a incidentes y cumplimiento coordinado con la LOPDP.
Desde AVL estamos listos para asesorarlos en la implementación legal de la Ley.
Fuente: Ley Orgánica para el Fortalecimiento de la Ciberseguridad, publicada el 22 de mayo de 2026, en el Quinto Suplemento del Registro Oficial No. 29.
Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL.