El 10 de febrero de 2026, se aprobó la Ley Orgánica para el Fortalecimiento de la Ciberseguridad. Esta ley forma parte de una reforma estructural a la Ley Orgánica para la Transformación Digital y Audiovisual, integrando la seguridad digital como un eje habilitante y obligatorio para el desarrollo tecnológico del país.
El objetivo primordial de esta reforma es dotar al Estado de una arquitectura moderna para enfrentar amenazas cibernéticas, proteger activos estratégicos y garantizar la resiliencia de los servicios esenciales. La norma reconoce que no existe una transformación digital efectiva sin mecanismos que aseguren la confidencialidad, integridad y disponibilidad de la información.
Pilares Fundamentales de la Ley:
- Rectoría y Gobernanza: Se ratifica al ente rector de Telecomunicaciones y de la Sociedad de la Información (MINTEL) como la autoridad máxima en materia de ciberseguridad, con capacidad para emitir políticas y directrices vinculantes.
- Infraestructura Crítica y Servicios Esenciales: Se crea el Catálogo Nacional de Servicios Esenciales e Infraestructura Crítica Digital, un instrumento técnico para identificar y priorizar sistemas cuya interrupción afectaría gravemente la vida, salud, economía o seguridad nacional.
- Gestión y Notificación de Incidentes: Se establece la obligación de notificar incidentes de ciberseguridad relevantes al ente rector en un plazo máximo de setenta y dos (72) horas desde su detección.
- Hacking Ético: Por primera vez, se habilita jurídicamente la realización de pruebas de penetración y hacking ético bajo condiciones estrictas de consentimiento expreso, finalidad legítima y registro obligatorio de profesionales ante la autoridad.
- Adaptabilidad Tecnológica: La ley introduce la obligación de actualizar mecanismos criptográficos frente a amenazas emergentes, como la computación cuántica, siguiendo estándares internacionales.
Responsabilidades para los Sectores Público y Privado:
La normativa diferencia las obligaciones según el rol de cada actor en el ecosistema digital:
- Sector Público: Implementación obligatoria de políticas de gestión de riesgos y planes de continuidad operativa.
- Prestadores de Servicios Digitales (PSD): Responsabilidad compartida sobre los elementos bajo su control, debiendo acreditar medidas de seguridad mediante auditorías y certificaciones internacionales.
- Sector Privado (Proveedores de Servicios Esenciales y Operadores de Infraestructura crítica): Obligación de implementar sistemas de gestión de seguridad de la información, contar con mecanismos de monitoreo, detección, y respuesta ante incidentes, y participar en simulacros nacionales.
La ley garantiza la armonización normativa con la LOPDP. Toda acción que involucre el tratamiento de datos personales en el marco de la ciberseguridad debe coordinarse con la Autoridad de Protección de Datos Personales, respetando los principios de privacidad desde el diseño y por defecto. Además, se reforma el término para notificar vulneraciones de seguridad de datos personales, fijándolo en un máximo de cinco (5) días.
Régimen Sancionador:
Se establece un régimen de infracciones (leves, graves y muy graves) con sanciones proporcionales:
Para el sector privado y empresas públicas: Multas calculadas sobre el volumen de negocio del ejercicio anterior, que oscilan entre el 0.1% y el 1.5% según la gravedad de la falta.
Para servidores públicos: Multas de 1 a 40 salarios básicos unificados.
Las obligaciones de notificación y los estándares mínimos comenzarán a exigirse tras la expedición de la normativa secundaria.
En Pérez Bustamante & Ponce brindamos asesoría integral para adaptar su empresa a esta normativa, reducir riesgos regulatorios y fortalecer la confianza de sus clientes.
Consejo Editorial
