Objetivo de la Ley
El objetivo de la Ley, plasmada ahora en los objetivos de la Ley de Transformación Digital y Audiovisual es fortalecer la ciberseguridad nacional como condición habilitante de la transformación digital, garantizando la protección de servicios esenciales, infraestructura crítica digital, derechos fundamentales y confianza en el ecosistema digital; y garantizar la neutralidad tecnológica en la adopción de marcos y soluciones de ciberseguridad y transformación digital, promoviendo la interoperabilidad, la innovación abierta y la adaptabilidad a los avances tecnológicos.
La ley nace de la necesidad de enfrentar amenazas transnacionales y la creciente sofisticación de incidentes digitales que pueden comprometer servicios esenciales.; considera a la Ciberseguridad como la protección de servicios esenciales e infraestructura crítica digital, gestión de riesgos e incidentes, resiliencia del ecosistema digital y fortalecimiento de la confianza nacional en el entorno digital.
- Protección de Servicios Esenciales: Define con claridad conceptos como “Servicio Esencial” (salud, seguridad, energía, estabilidad económica) e “Infraestructura Crítica Digital”, garantizando su protección frente a interrupciones graves.
- Neutralidad y Adaptabilidad: Se eleva a rango legal el principio de adaptabilidad tecnológica, obligando al Estado a actualizar sus mecanismos criptográficos ante riesgos emergentes como la computación cuántica.
Principales Cambios y Estructura Operativa
Esta legislación no constituye un cuerpo aislado, sino que se integra como una reforma estructural a la Ley Orgánica para la Transformación Digital y Audiovisual, consolidando a la Ciberseguridad como una condición habilitante indispensable para el desarrollo de la economía digital, la confianza ciudadana y la continuidad del Estado.
El presente de la Ciberseguridad en Ecuador se define por una arquitectura institucional robusta y una integración técnica sin precedentes, que institucionaliza la respuesta a incidentes a través de la operatividad del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT Nacional).
La cual estará bajo la rectoría del Ministerio de Telecomunicaciones y de la Sociedad de la Información, que otorga al país una instancia técnica con autonomía operativa para detectar, gestionar y mitigar ataques cibernéticos de forma inmediata, eliminando la necesidad de autorizaciones previas para acciones defensivas críticas.
Establece una arquitectura institucional coordinada:
a) Nueva Gobernanza y el CSIRT Nacional
- Ente Rector: El Ministerio de Telecomunicaciones y de la Sociedad de la Información asume la rectoría en Ciberseguridad.
- CSIRT Nacional: Centro Nacional de Respuesta a Incidentes de Seguridad Informática; esta instancia tiene autonomía técnica y operativa para ejecutar acciones inmediatas de detección y respuesta frente a incidentes críticos, sin requerir autorización previa.
- Comité Nacional de Ciberseguridad: Instancia interinstitucional que coordinará la Política Nacional de Ciberseguridad con participación de los sectores público, privado y la academia.
b) Obligaciones y Transparencia
Para el sector empresarial, el cumplimiento normativo migra de un enfoque reactivo a una cultura de debida diligencia y gestión de riesgos. La ley determina responsabilidades específicas para los Prestadores de Servicios Digitales (PSD) dentro de su esfera de control, bajo el principio de responsabilidad compartida:
- Sistemas de Gestión e Infraestructura: Es mandatorio implementar medidas técnicas y organizativas basadas en estándares internacionales reconocidos (como las certificaciones ISO) para salvaguardar la confidencialidad, integridad y disponibilidad de los activos informáticos.
- Auditorías y certificaciones: Las entidades contratantes se encuentran facultadas para exigir a sus proveedores e investigadores externos informes de auditoría técnica independientes que acrediten el cumplimiento de estas directrices.
- Notificación de Incidentes obligatoria: Se establece una obligación sin precedentes para que las entidades públicas y privadas notifiquen incidentes de seguridad relevantes en un plazo máximo de 72 horas, lo que permite una coordinación nacional para evitar que las amenazas escalen o se propaguen a otros sectores.
- Hacking Ético: Por primera vez, se habilitan jurídicamente las actividades de hacking ético y pruebas de penetración, siempre bajo consentimiento expreso del titular y la inscripción de profesionales acreditados en un registro nacional, Ecuador busca transformar su cultura digital, pasando de un enfoque administrativo a uno de higiene y seguridad proactiva que proteja los derechos fundamentales de los ciudadanos en el ciberespacio.
c) Régimen Sancionador
Se establece un sistema de multas proporcional al daño y al tamaño del infractor:
- Infracciones Leves: Desde uno (1) hasta diez (10) Salarios Básicos Unificados (SBU) para funcionarios y servidores públicos; y desde el 0.1% hasta el 0.7% del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. (Por ejemplo, retrasar actualización de políticas, planes o protocolos de Ciberseguridad)
- Infracciones Graves: Desde diez (10) hasta veinte (20) SBU para funcionarios y servidores públicos; y desde el 0.7% hasta el 1.0% del del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. (Por ejemplo, ocultar incidentes significativos que afecten la disponibilidad o integridad de sistemas)
- Infracciones Muy Graves: Desde veinte (20) hasta cuarenta (40) SBU para funcionarios y servidores públicos; y desde el 1.0% hasta el 1.5% del volumen de negocio del ejercicio anterior para empresas privadas o una empresa pública. (Por ejemplo, ocultar incidentes críticos o comprometer la integridad de la información.)
La autoridad competente establecerá la multa aplicable en función del principio de proporcionalidad, asegurando que la ciberseguridad sea una prioridad operativa y no solo administrativa.