Este viernes, 22 de mayo de 2026, la Ley Orgánica para el Fortalecimiento de la Ciberseguridad se publicó en el Registro Oficial. La normativa consta en el quinto suplemento nº 290.
La ley entra en vigencia casi dos meses después de que el pleno de la Asamblea Nacional se allanara al veto parcial que hizo el presidente Daniel Noboa, con 83 votos.
La norma refuerza conceptos como infraestructura crítica digital, ciberespacio, ciberataque, activo digital o informático, incidente de ciberseguridad y riesgo de ciberseguridad.
Asimismo, reforma la Ley Orgánica de Transformación Digital y Audiovisual; la Ley Orgánica de Educación Intercultural; la Ley Orgánica de Comunicación; el Código Orgánico Integral Penal; la Ley Orgánica de Transporte Terrestre, Tránsito y Seguridad Vial; la Ley Orgánica de Telecomunicaciones; y la Ley Orgánica de Protección de Datos Personales.
Entre los puntos más relevantes de esta norma está, por ejemplo, la reforma a la Ley de Educación Intercultural (LOEI) para que el ministerio rector incorpore en el currículo nacional contenidos sobre seguridad digital, destinados a educar a estudiantes en el uso responsable de la tecnología, identificación de riesgos en línea y buenas prácticas de higiene digital.
Asimismo, establece que las escuelas, los colegios y las universidades deberán determinar dentro de sus ofertas educativas los programas o las materias que puedan ser cursados por los estudiantes de manera virtual, incorporando progresivamente contenidos de seguridad digital, ciberseguridad, ética digital y protección de datos personales.
En tanto que, reformando la Ley de Comunicación, la Ley de Ciberseguridad dispone que se destine una hora diaria, no acumulable, para la transmisión de programas oficiales de teleeducación, cultura, salubridad, derechos y seguridad digital, elaborados por los ministerios o secretarías competentes en estas materias.
En cuanto a las responsabilidades del sector privado en materia de ciberseguridad, la ley establece que los proveedores de servicios esenciales y operadores de infraestructura crítica deberán:
- Implementar sistemas de gestión de seguridad de la información basados en estándares internacionales reconocidos u otros equivalentes conforme a la normativa técnica sectorial aplicable.
- Contar con mecanismos de monitoreo, detección y respuesta ante incidentes.
- Notificar incidentes relevantes al ente rector en los términos del artículo 20-G.
- Participar en simulacros, auditorías o ejercicios de ciberseguridad promovidos por el Estado.
Mientras que las entidades públicas y los operadores de infraestructura crítica digital podrán autorizar la realización de pruebas controladas de seguridad, conocidas como hacking ético o pruebas de penetración, con el objeto de identificar, evaluar y mitigar vulnerabilidades de sus sistemas, redes o servicios digitales.
La norma también ordena la creación del Comité Nacional de Ciberseguridad, que será la instancia de coordinación estratégica interinstitucional para la formulación, la articulación y el seguimiento de la política nacional de ciberseguridad. Este comité será presidido por el ente rector y estará conformado por las instituciones establecidas en el reglamento de esa ley.
En relación con las reformas al COIP, la propuesta añade un inciso al final del artículo 232 del Código Orgánico Integral Penal que refiere a ataque a la integridad de sistemas informáticos y que dice:
“No constituyen delito las acciones de acceso, prueba o evaluación realizadas con el consentimiento expreso del titular o responsable del sistema, siempre que se ejecuten con fines de verificación o fortalecimiento de la seguridad, conforme a los procedimientos y registros establecidos en la Ley Orgánica para el Fortalecimiento de la Ciberseguridad y su normativa técnica”.
Mientras que sobre la reforma a la Ley de Tránsito, esta normativa ordena que, en el plazo de 180 días, la entidad competente en materia de transporte terrestre, tránsito y seguridad vial realizará un proceso de análisis, verificación y revisión de las acreditaciones nacionales emitidas a favor de los laboratorios con competencia.
De otra manera, sobre las reformas a la Ley de Telecomunicaciones, Regulación y Control, la Ley para el Fortalecimiento de la Ciberseguridad dice que el uso del espectro radioeléctrico asociado a redes satelitales, así como la prestación de servicios realizada a través de tales redes, será administrado, regulado y controlado por el Estado.
Otro de los puntos más relevantes de esta ley es el establecimiento de que la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel) ejercerá el control técnico, económico y operativo sobre los servicios de acceso a internet satelital, pudiendo realizar auditorías, verificaciones de cobertura y evaluaciones de desempeño de los operadores autorizados. (I)
Fuente: El Universo