El 22 de mayo de 2026 se publicó en el Quinto Suplemento del Registro Oficial No. 290, la Ley Orgánica para el Fortalecimiento de la Ciberseguridad.
La norma reforma, entre otros cuerpos legales, la Ley Orgánica para la Transformación Digital y Audiovisual, la Ley Orgánica de Protección de Datos Personales, la Ley Orgánica de Transporte Terrestre, Tránsito y Seguridad Vial, la Ley Orgánica de Telecomunicaciones, la Ley Orgánica de Educación Intercultural, la Ley Orgánica de Comunicación, y el Código Orgánico Integral Penal.
La Ley establece un marco nacional para la prevención, gestión y respuesta frente a incidentes de ciberseguridad, con énfasis en la protección de la infraestructura crítica digital, la continuidad de servicios esenciales y la coordinación institucional. También esta norma crea el Comité Nacional de Ciberseguridad como instancia de articulación estratégica de la política pública en esta materia.
Entre los principales aspectos de la Ley destacan: la definición de conceptos clave como ciberataque, incidente de ciberseguridad, riesgo de ciberseguridad e infraestructura crítica digital; la regulación de pruebas controladas de seguridad o hacking ético; la obligación de fortalecer capacidades de monitoreo, detección y respuesta; y la incorporación progresiva de contenidos de seguridad digital, ciberseguridad, ética digital y protección de datos personales, así como la adopción progresiva de estándares de seguridad avanzados, incluyendo mecanismos criptográficos resilientes frente a tecnologías emergentes como la computación cuántica.
Para el sector privado, a los proveedores de servicios digitales y responsables de infraestructura crítica digital o cuya actividad tenga incidencia directa en la continuidad de servicios esenciales, la ley impone obligaciones relevantes, como implementar sistemas de gestión de seguridad de la información basados en estándares internacionales o equivalentes; contar con mecanismos de monitoreo, detección y respuesta; notificar incidentes relevantes al ente rector; y participar en simulacros, auditorías o ejercicios promovidos por el Estado.
Adicionalmente, la ley regula expresamente las actividades de hacking ético o pruebas de penetración, estableciendo que los profesionales y empresas que realicen este tipo de evaluaciones deberán inscribirse obligatoriamente en el Registro Nacional de Profesionales y Empresas de Pruebas de Seguridad.
Por otro lado, la ley establece un régimen sancionatorio que clasifica las infracciones en leves, graves y muy graves. Las multas pueden calcularse sobre el volumen de negocio del ejercicio económico anterior, con rangos que van del 0,1% al 1,5%, según la gravedad; para servidores públicos, se prevén multas de 1 a 40 salarios básicos unificados.
En este sentido, las organizaciones antes mencionadas, deben iniciar una revisión inmediata de su madurez en ciberseguridad, gobierno de datos, planes de continuidad, protocolos de respuesta a incidentes.
Es importante destacar que, si bien la Ley ya se encuentra en vigencia, aún está pendiente la expedición del marco reglamentario y las directrices técnicas necesarias para su aplicación íntegra.
De acuerdo con la Primera Disposición Transitoria de la norma, el ente rector tiene un plazo máximo de doce meses para emitir la normativa técnica indispensable, regulaciones clave como el Catálogo Nacional de Servicios Esenciales e Infraestructura Crítica Digital y la reglamentación específica de responsabilidades y obligaciones para los Prestadores de Servicios Digitales y del sector privado, entre otras.
Durante los primeros seis meses se deberán publicar los estándares mínimos nacionales de ciberseguridad y los reglamentos para la gestión y notificación de incidentes de seguridad digital y evaluación de vulnerabilidades y hacking ético.
En AVL continuaremos monitoreando de cerca la publicación de estas normativas para mantenerlos informados sobre los parámetros técnicos específicos que deberán adoptarse.
Esta información es un resumen de novedades jurídicas de interés y por tanto no podrá ser considerada como una asesoría provista por AVL. Cualquier inquietud comunícate con el equipo de AVL.