Skip to main content
Protección de Datos

Ley Orgánica para el Fortalecimiento de la Ciberseguridad

2 de junio de 2026
Escrito por:

La Ley Orgánica para el Fortalecimiento de la Ciberseguridad fue publicada el 22 de mayo de 2026 en el Quinto Suplemento del Registro Oficial N.° 290. 

  1. Objeto y Alcance normativo

Su ámbito de aplicación comprende las entidades del sector público que gestionen servicios esenciales o infraestructura crítica digital, los prestadores de servicios digitales en el marco del principio de responsabilidad compartida, y las personas jurídicas privadas cuya actividad tenga incidencia directa en la continuidad de servicios esenciales, conforme a criterios establecidos en la normativa técnica.

  1. Disposiciones generales destacadas

La norma incorpora definiciones legales de conceptos como ciberataque, incidente de ciberseguridad, resiliencia digital, infraestructura crítica digital, riesgo de ciberseguridad y prestador de servicios digitales. Adicionalmente, crea el Catálogo Nacional de Servicios Esenciales e Infraestructura Crítica Digital, a cargo del Ministerio de Telecomunicaciones y de la Sociedad de la Información (MINTEL), como ente rector del sector de Telecomunicaciones y de la Sociedad de la Información en Ecuador, que deberá revisarse al menos cada dos años. La ley también habilita jurídicamente actividades de hacking ético y pruebas de penetración, bajo los principios de consentimiento, finalidad legítima y protección de datos personales, con el fin de identificar vulnerabilidades en sistemas tecnológicos.

  1. Nuevas obligaciones

Las instituciones públicas y los operadores de infraestructura digital crítica están obligados a informar de forma inmediata a la autoridad competente sobre cualquier incidente de ciberseguridad que comprometa la disponibilidad, integridad o confidencialidad de sistemas o información sensible. Dicho reporte deberá efectuarse dentro de un plazo máximo de setenta y dos (72) horas desde que se detecte el incidente, siguiendo los lineamientos y protocolos definidos por el ente rector.

Se reforma el artículo 43 de la Ley Orgánica de Protección de Datos Personales, incorporando la obligación de notificar las vulneraciones de seguridad relacionadas con datos personales tanto a la Autoridad de Protección de Datos Personales como al organismo regulador correspondiente. Con fines de coordinación técnica e informativa, deberá también notificarse al CSIRT competente en un plazo máximo de cinco (5) días contados desde que se tenga conocimiento del hecho.

  1. Régimen sancionador

Infracciones Leves: Desde uno (1) hasta diez (10) Salarios Básicos Unificados (SBU) para funcionarios y servidores públicos; y desde el 0.1% hasta el 0.7% del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. Incluyen retrasos en la actualización de políticas o protocolos de ciberseguridad que no generen afectaciones operativas, así como la omisión de reportes periódicos o notificaciones de menor impacto ante la autoridad competente.

Infracciones Graves: Desde diez (10) hasta veinte (20) SBU para funcionarios y servidores públicos; y desde el 0.7% hasta el 1.0% del del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. Abarcan el incumplimiento de la política nacional de ciberseguridad, la ocultación de incidentes relevantes que afecten la disponibilidad de los sistemas, la ausencia de medidas técnicas mínimas de protección y la falta de acciones destinadas a prevenir, mitigar o controlar riesgos y vulneraciones de seguridad.

Infracciones muy Graves: Desde veinte (20) hasta cuarenta (40) SBU para funcionarios y servidores públicos; y desde el 1.0% hasta el 1.5% del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. Comprenden el ocultamiento de incidentes críticos, la omisión deliberada de reportar ataques o brechas que afecten derechos de terceros, la eliminación de registros digitales vinculados a infraestructura crítica y la negativa intencional de colaborar con la autoridad o la manipulación de evidencia técnica.


© TobarZVS

Esta publicación contiene información de interés general y no constituye opinión legal sobre asuntos específicos. Cualquier análisis particular, requerirá asesoramiento legal de la Firma.