Servicios Equipo Publicaciones
Responsabilidad Social Corporativa Sobre Nosotros Únete a PBP Contáctenos Family Office
ES

Buscar

mayo 28, 2026

Ley Orgánica para el Fortalecimiento de la Ciberseguridad

Publicaciones internas

Protección de Datos Personales

El 22 de mayo de 2026, se publicó en el Registro Oficial la Ley Orgánica para el Fortalecimiento de la Ciberseguridad. Esta norma reforma la Ley Orgánica para la Transformación Digital y Audiovisual con el fin de establecer la ciberseguridad como una condición habilitante para la protección de servicios esenciales, derechos fundamentales y la confianza en el ecosistema digital.

 

El objetivo primordial de la ley es establecer estándares nacionales de seguridad digital, definir mecanismos de gestión y notificación de incidentes, y proteger la infraestructura crítica digital y los servicios esenciales del país.

 

Pilares Fundamentales de la Ley:

  • Rectoría: Se ratifica al ente rector de Telecomunicaciones y de la Sociedad de la Información (MINTEL) como la autoridad máxima en ciberseguridad, con capacidad para emitir políticas, directrices y normativa vinculante.

 

  •  Ámbito de Aplicación: Las disposiciones de esta ley son de cumplimiento obligatorio para:
    • Prestadores de servicios digitales (PSD): Personas naturales o jurídicas que provean servicios de nube, centros de datos, pasarelas de pago y plataformas de intermediación.
    • Empresas privadas estratégicas: Aquellas responsables de infraestructura crítica digital o cuya actividad incida directamente en la continuidad de servicios esenciales (energía, sistema financiero, salud, telecomunicaciones, entre otros).

 

  • Notificación de incidentes de Ciberseguridad: Las entidades públicas y operadores de infraestructura crítica digital deben notificar de manera inmediata al ente rector cualquier incidente que comprometa la disponibilidad, integridad o confidencialidad de sistemas o información relevante. Esta notificación debe realizarse en un plazo máximo de setenta y dos (72) horas desde su detección, conforme a los protocolos que establezca la autoridad. 

    Se modifica el artículo 43 de la Ley Orgánica de Protección de Datos Personales, incluyendo la notificación de vulneración de seguridad de datos personales a la Autoridad de Protección de Datos Personales, al organismo de regulación competente, y para efectos informativos y de coordinación técnica al CSIRT correspondiente, a más tardar en el término máximo de cinco (5) días tras tener constancia del hecho.
  • Hacking Ético: Se habilita jurídicamente la realización de pruebas de penetración y hacking ético, siempre que medie consentimiento expreso y escrito, finalidad legítima y el profesional esté inscrito en el Registro Nacional correspondiente.

 

Régimen Administrativo Sancionador:

 

La norma introduce un catálogo de infracciones y sanciones que se aplicarán de forma independiente a las previstas en la LOPDP, bajo el principio de coordinación interinstitucional y el principio de non bis in ídem; es decir, ninguna entidad podrá imponer dos sanciones por los mismos hechos y fundamentos.

 

Los tipos de infracciones y límites de las sanciones establecidas son:

 

  •  Leves (Multa del 0.1% al 0.7%): Incluyen el retraso en la actualización de políticas y protocolos de ciberseguridad sin impacto operativo, así como la omisión de reportes periódicos o notificaciones menores a la autoridad.
  •  Graves (Multa del 0.7% al 1%): Comprenden el incumplimiento en la implementación de la política nacional de ciberseguridad, el ocultar incidentes significativos que afecten la disponibilidad de los sistemas, la falta de medidas técnicas mínimas de seguridad, así como aquellas necesarias para prevenir, mitigar y controlar los riesgos y vulneraciones de seguridad. 
  • Muy Graves (Multa del 1% al 1.5%): Abarcan el ocultar incidentes críticos, la omisión del reporte de ataques o brechas que afecten derechos de terceros, la destrucción de registros digitales en infraestructura crítica y la negativa deliberada a cooperar con la autoridad o manipular evidencia técnica.

 

Consideraciones prácticas:

 

  •  Para sectores que carecen de órgano de control especializado, el régimen sancionador será exigible tras un periodo de adecuación de veinticuatro (24) meses desde la expedición de la normativa técnica.
  • Las entidades deben designar un punto de contacto técnico permanente (24/7) para la coordinación con el CSIRT Nacional.
  • Se impone la obligación de implementar programas de formación y alfabetización en seguridad digital y protección de datos para los usuarios y empleados.

 

En Pérez Bustamante & Ponce brindamos asesoría integral para adaptar su organización a este nuevo marco de ciberseguridad, asegurando el cumplimiento de los nuevos plazos de notificación y la implementación de sistemas de gestión de seguridad de la información alineados con los estándares nacionales.

Consejo Editorial

Compartir artículo