La Asamblea Nacional aprobó el proyecto de Ley Orgánica para el Fortalecimiento de la Ciberseguridad, normativa reforma varios cuerpos legales, como la Ley Orgánica de Transformación Digital y Audiovisual, la Ley Orgánica de Educación Intercultural, la Ley Orgánica de Comunicación, el Código Orgánico Integral Penal (COIP), la Ley de Transporte Terrestre, Tránsito y Seguridad Vial, la Ley de Telecomunicaciones, entre otros.
El Parlamento aprobó la normativa con 82 votos a favor, en segundo debate, el pasado 10 de febrero.
Este documento refuerza conceptos como infraestructura crítica digital, ciberespacio, ciberataque, activo digital o informático, incidente de ciberseguridad y riesgo de ciberseguridad.
Entre los puntos más relevantes de esta norma está, por ejemplo, la reforma a la Ley de Educación Intercultural (LOEI) para que el ministerio rector incorpore en el currículo nacional contenidos sobre seguridad digital, destinados a educar a estudiantes en el uso responsable de la tecnología, identificación de riesgos en línea y buenas prácticas de higiene digital.
Asimismo, establece que las escuelas, los colegios y las universidades deberán determinar dentro de sus ofertas educativas los programas o las materias que puedan ser cursados por los estudiantes de manera virtual, incorporando progresivamente contenidos de seguridad digital, ciberseguridad, ética digital y protección de datos personales.
En tanto que, reformando la Ley de Comunicación, la Ley de Ciberseguridad dispone que se destine una hora diaria, no acumulable, para la transmisión de programas oficiales de teleeducación, cultura, salubridad, derechos y seguridad digital, elaborados por los ministerios o secretarías competentes en estas materias.
A su vez, la normativa ordena implementar programas de ciberseguridad y protección digital en todas las instituciones educativas en coordinación con el Ministerio de Telecomunicaciones y la sociedad de la información. Estos programas, señala el texto, deberán incluir herramientas para la detección y la prevención de riesgos digitales.
La ley también establece que las instituciones públicas y privadas tendrán que implementar planes y programas accesibles y gratuitos de formación y capacitación al usuario en el ámbito de desarrollo tecnológico por digitalizar, incluyendo la alfabetización en seguridad digital, ciberseguridad y protección de datos personales.
En un principio, esta ley aprobada en la legislatura garantiza que los datos, los sistemas y los activos digitales sean accesibles únicamente para personas, entidades o sistemas autorizados, evitando divulgaciones, accesos o exposiciones indebidas.
La norma considera, además, que las medidas de ciberseguridad deben tener carácter estrictamente defensivo y no habilitar operaciones ofensivas.
Por otro lado, plantea la responsabilidad compartida que determina que las obligaciones de prevención, protección, respuesta y recuperación frente a incidentes de ciberseguridad deben distribuirse entre los distintos actores del ecosistema digital, públicos y privados, de acuerdo con su rol, nivel de exposición y capacidad operativa.
En cuanto a la gestión de incidentes de ciberseguridad, la ley señala que las entidades del sector público deberán implementar políticas y procedimientos para la gestión de incidentes digitales que incluyan mecanismos de prevención, monitoreo, detección, evaluación de impacto, notificación temprana, contención y recuperación.
Sobre este mismo aspecto, la normativa indica que el reglamento de esta ley establecerá los criterios técnicos y el procedimiento de escalamiento para la determinación de incidentes de ciberseguridad que comprometan la seguridad y la defensa nacional.
“Dicho procedimiento garantizará la coordinación inmediata entre el ente rector en materia de ciberseguridad y el Ministerio de Defensa Nacional, en el marco de la seguridad integral”, detalla el texto.
En cuanto a las responsabilidades del sector privado en materia de ciberseguridad, la ley establece que los proveedores de servicios esenciales y operadores de infraestructura crítica deberán:
- Implementar sistemas de gestión de seguridad de la información basados en estándares internacionales reconocidos u otros equivalentes conforme a la normativa técnica sectorial aplicable.
- Contar con mecanismos de monitoreo, detección y respuesta ante incidentes.
- Notificar incidentes relevantes al ente rector en los términos del artículo 20-G.
- Participar en simulacros, auditorías o ejercicios de ciberseguridad promovidos por el Estado.
Mientras que las entidades públicas y los operadores de infraestructura crítica digital podrán autorizar la realización de pruebas controladas de seguridad, conocidas como hacking ético o pruebas de penetración, con el objeto de identificar, evaluar y mitigar vulnerabilidades de sus sistemas, redes o servicios digitales.
“Las personas naturales o jurídicas que realicen actividades de hacking ético deberán inscribirse en el Registro Nacional de Profesionales y Empresas de Pruebas de Seguridad, administrado por el ente rector en materia de ciberseguridad”, esclarece el documento.
Otro de los aspectos de la ley es que “toda información obtenida durante las pruebas se considerará reservada y no podrá divulgarse ni utilizarse para otros fines distintos de la evaluación de seguridad, conforme a la Ley Orgánica de Protección de Datos Personales”.
La norma también ordena la creación del Comité Nacional de Ciberseguridad, que será la instancia de coordinación estratégica interinstitucional para la formulación, la articulación y el seguimiento de la política nacional de ciberseguridad. Este comité será presidido por el ente rector y estará conformado por las instituciones establecidas en el reglamento de esa ley.
De acuerdo con ella, la Asamblea Nacional, la Función Judicial, la Contraloría General del Estado, el Banco Central del Ecuador, la Fiscalía General del Estado, el Consejo Nacional Electoral (CNE) deberán adoptar las medidas de seguridad pertinentes para la protección de sus redes y sistemas informáticos.
En relación con la clasificación de infracciones, la normativa puntualiza que “las infracciones administrativas en materia de ciberseguridad se clasifican en leves, graves y muy graves”.
“Los servidores o funcionarios del sector público por cuya acción u omisión hayan incurrido en alguna de las infracciones muy graves establecidas en la presente ley serán sancionados con una multa de entre 20 y 40 salarios básicos unificados del trabajador en general; sin perjuicio de la responsabilidad extracontractual del Estado”, sostiene la ley aprobada en el pleno.
En relación con las reformas al COIP, la propuesta añade un inciso al final del artículo 232 del Código Orgánico Integral Penal que refiere a ataque a la integridad de sistemas informáticos y que dice:
“No constituyen delito las acciones de acceso, prueba o evaluación realizadas con el consentimiento expreso del titular o responsable del sistema, siempre que se ejecuten con fines de verificación o fortalecimiento de la seguridad, conforme a los procedimientos y registros establecidos en la Ley Orgánica para el Fortalecimiento de la Ciberseguridad y su normativa técnica”.
Mientras que sobre la reforma a la Ley de Tránsito, esta normativa ordena que, en el plazo de 180 días, la entidad competente en materia de transporte terrestre, tránsito y seguridad vial realizará un proceso de análisis, verificación y revisión de las acreditaciones nacionales emitidas a favor de los laboratorios con competencia.
De otra manera, sobre las reformas a la Ley de Telecomunicaciones, Regulación y Control, la Ley para el Fortalecimiento de la Ciberseguridad dice que el uso del espectro radioeléctrico asociado a redes satelitales, así como la prestación de servicios realizada a través de tales redes, será administrado, regulado y controlado por el Estado.
Otro de los puntos más relevantes de esta ley es el establecimiento de que la Agencia de Regulación y Control de las Telecomunicaciones (Arcotel) ejercerá el control técnico, económico y operativo sobre los servicios de acceso a internet satelital, pudiendo realizar auditorías, verificaciones de cobertura y evaluaciones de desempeño de los operadores autorizados.
Luego de su aprobación en el pleno de la Asamblea Nacional, la ley pasará al despacho del presidente Daniel Noboa para su veto o su sanción. (I)
