Конгресс Эквадора утвердил Органический закон об укреплении кибербезопасности — норму, которая направлена на создание комплексной основы для предотвращения, обнаружения и реагирования на инциденты в киберпространстве и которая, среди прочего, обязывает школы, колледжи и университеты реализовывать учебные программы в области цифровой безопасности, кибербезопасности и защиты персональных данных.
Проект обрабатывался Постоянной специализированной комиссией по суверенитету, интеграции и комплексной безопасности, которая представила отчет на второе обсуждение 30 января 2026 года. В этом документе подробно описан законодательный процесс, который включал в себя унификацию предыдущих инициатив по кибербезопасности и цифровой защите, а также получение замечаний от членов ассамблеи, государственных организаций, частного сектора, академических кругов и экспертов в области цифрового и компьютерного права.
В ходе обработки в комитете были собраны взносы от таких учреждений, как Национальная телекоммуникационная корпорация (CNT), Управление банков, Управление защиты персональных данных, Управление народной и солидарной экономики, а также от специалистов в области кибербезопасности и цифрового права. Среди наиболее обсуждаемых тем были определение критической цифровой инфраструктуры, объем обязательств частного сектора, межведомственная координация и режим уведомления об инцидентах.
Закон устанавливает создание и укрепление национальных координационных органов по управлению компьютерными инцидентами, включая координацию между руководящим органом в области цифровой трансформации, группами реагирования на инциденты (CSIRT) и организациями, ответственными за оборону и внутреннюю безопасность. Цель состоит в том, чтобы перейти от фрагментированного управления к стратегическому и скоординированному реагированию на атаки, которые могут повлиять на основные услуги, персональные данные или критически важную инфраструктуру.
Одним из центральных направлений стандарта является включение превентивного подхода. В этих рамках образовательные учреждения, от школьного до университетского уровня, обязаны разрабатывать программы и контент, направленные на обучение цифровой безопасности, кибербезопасности и защите персональных данных. Эта мера отвечает диагнозам, представленным в ходе законодательных дебатов, в ходе которых было предупреждено, что значительная часть инцидентов возникает из-за человеческих ошибок, незнания рисков или плохой практики управления информацией.
Согласно данным, собранным Комиссией, раннее обучение цифровым рискам, краже личных данных, защите учетных данных и безопасному использованию электронных платформ считается ключевым компонентом снижения уязвимости страны к таким угрозам, как программы-вымогатели, фишинг и другие компьютерные атаки. В соответствии с этим стандарт стремится гарантировать, что образование в области кибербезопасности не ограничивается специализированной технической подготовкой, а скорее интегрировано как сквозная компетенция в образовательную систему.
Утвержденный текст также включает в себя такие принципы, как технологическая нейтральность, пропорциональность и устойчивость, в соответствии с международными стандартами, такими как стандарты ISO 27000, и справочными системами, такими как NIST. Кроме того, установлено обязательство сообщать об инцидентах безопасности в определенные сроки, чтобы активировать протоколы раннего реагирования и предотвратить распространение атак, которые могут поставить под угрозу государственные услуги или конфиденциальные данные.
На институциональном уровне закон разграничивает обязанности между руководящим органом в области цифровой трансформации и отраслевыми контролирующими организациями, такими как Управление банков или орган по защите данных, чтобы избежать дублирования полномочий. Аналогичным образом, он предполагает разработку национального каталога критической цифровой инфраструктуры и принятие минимальных стандартов безопасности в государственных организациях и стратегических операторах.
В ходе дебатов также обсуждалась необходимость укрепления международного сотрудничества в соответствии с такими обязательствами, как Будапештская конвенция о киберпреступности, а также консолидация сетей для обмена информацией об угрозах как на региональном, так и на глобальном уровне.
