Al respecto del texto de ley se presentan las siguientes recomendaciones para ser tomadas en cuenta como potenciales modificaciones o ajustes al texto presentado:
1. Que se denomine a la ley como “Ley Nacional de Ciberseguridad y Ciberdefensa” no “Ley de Ciberseguridad de Costa Rica”, esto por cuanto esta ley toma en cuenta aspectos preventivos, reactivos y proactivos conformando un enfoque tanto de ciberseguridad (preventivo, reactivo) como de ciberdefensa (proactivo) para la defensa del, ciudadano, territorio y la soberanía costarricense.
2. Agregar en el Capítulo I, Artículo 1, inciso c) “y a las infraestructuras críticas de información reguladas” para permitir intervenir estas infraestructuras sin distinción del sector público o privado. Siempre y cuando dicha infraestructura sea identificada como crítica y esté siendo regulada por la Agencia Nacional de Ciberseguridad.
3. Agregar en el Artículo 3 inciso a) la abreviatura de la agencia como la ANC se lea “a) ANC o Agencia: La Agencia Nacional de Cibereguridad”. Para facilidad de lectura del texto y posterior representación pública de la misma en marcas y distintivos.
4. Agregar definición “Certificación de Infraestructura Crítica Informática (ICI): Titulación otorgada por parte de la ANC a cualquier organización regulada, donde se establece cuando mínimo sus características de registro, identificación, tipo de organización, sector, nivel de competencia y grado regulatorio, así como su estatus de cumplimiento actual con la normativa. Esta certificación se crea para garantizar la vigilancia de los operadores y su alineamiento a las regulaciones vigentes que dicte la agencia.”
5. Modificar la rectoría de la agencia: El capítulo II denominado Creación de la Agencia Nacional de Ciberseguridad, donde se indica “Creáse la Agencia Nacional de Ciberseguridad adscrito al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT)…” por “Creáse la Agencia Nacional de Ciberseguridad o ANC adscrito al Ministerio de Seguridad Pública (MSP). Esto por cuanto las competencias contenidas en la Ley 7160 o Ley de Promoción del Desarrollo Científico y Tecnológico, ley órganica del MICITT no contempla en ninguno de sus objetivos mencionados en su artículo 3, las capacidades para que el MICITT adquiera poderes de seguridad nacional o defensa del ciudadano ante delitos, únicamente menciona capacidades de promoción, asesoría, coordinación y fomento de las iniciativas científicas y tecnológicas en Costa Rica. En cambio, la ley 7410 o Ley General de Policía, tanto en su artículo 1 indica que es el estado a través del Ministerio de Seguridad Pública quién garantizará la seguridad pública, cito: “garantizará el orden, la defensa y la seguridad del país…”, adicionalmente en su artículo 4 indica: “prevenir las manifestaciones de delincuencia y cooperar para reprimirlas en la forma en que se determina en el ordenamiento jurídico.” Siendo que la Ley de Delitos Informáticos y Conexos #9048 establece al cibercrimen como un delito dentro del ordenamiento jurídico, es así como se establece sin duda alguna que es competencia del Ministerio de Seguridad Pública y no del MICITT prevenir, contener y reprimir en cualquier parte del país y por les medios que fueran necesarios el cibercrimen como se hace con cualquier otra manifestación de amenaza a la seguridad del país que existe.
6. Modificar Artículo II, punto 2) “La Agencia Nacional de Ciberseguridad, implementará y dará sostenibilidad al Centro de Operaciones de Ciberseguridad (SOC) del país” Esto pues un SOC no es equivalente a la Agencia ni tampoco un SOC es equivalente a un CSIRT, el SOC es un componente de la agencia y el CSIRT es un componente del SOC por lo que debe quedar claro que no son lo mismo. El SOC está conformado por tres órganos internos de la agencia los cuales son mencionados en el Artículo II, punto 3) que son el CIMR-CR, el CSIRT-CR y el CID-CR.
7. Modificar, Artículo 5, punto 1, inciso a) para que se lea: “Definir y gestionar la Política Nacional de Ciberseguridad” eliminar la referencia a plazos.
8. Modificar, Artículo 5, punto 1, inciso b) para que se lea: “Coordinar todas las acciones relacionadas con ciberseguridad en la Administración Pública a través de su Centro de Operaciones de Ciberseguridad (SOC) de la Nación”. Ya que la agencia puede actuar a través de sus órganos internos. El SOC es el conjunto de estructuras internas de monitoreo, control y respuesta, preventivos, reactivos y proactivos, pero no es equivalente a la Agencia pues la agencia puede tener otras dependencias internas adicionales al SOC como órganos administrativos, normativos y de culturización digital.
9. Modificar, Artículo 5, punto 1, inciso c) la palabra garantizar tiene una falta ortográfica que debe corregirse “ggarantizar”.
10. Modificar, Artículo 5, punto 1, inciso k) léase “Proponer al jerarca del MSP” ya que lo correcto es que sea el Ministerio de Seguridad Pública y no el MICITT quién dirija la agencia.
11. Modificar, Artículo 5, punto 1, inciso n) léase: “Crear y gestionar los CSIRT Sectoriales a través de su órgano interno el CSIRT-CR. Requerir de los CSIRT Sectoriales…” Esto es importante pues es la ANC a través de su Dirección General y su CSIRT-CR y quién pueda crear nuevos CSIRT sectoriales donde sean requeridos, darles funciones y tareas de cumplimiento según sea necesario.
12. Modificar, Artículo 5, punto 1, inciso p) léase “Recomendar al jerarca del Ministerio de Seguridad Pública (MSP)” ya que lo correcto es que sea el Ministerio de Seguridad Pública y no el MICITT quién dirija la agencia.
13. Modificar, Artículo 5, punto 2, inciso a). Este inciso crea un problema pues se considera obtener un 1.5% de todas las entidades públicas. Sin embargo, esta situación no es ideal, ya que para la oferta de servicios de ciberseguridad se debe crear una tabla de contribuciones para que instituciones más grandes colaboren con un mayor porcentaje de sus ganancias e instituciones menores colaboren con un porcentaje menor. Así es como se pretende más bien que este punto se modifique y que sea el MSP a través de un estudio anual que fije las tarifas y contribuciones a las instituciones del sector público con ajuste anualizado. Esto con el fin que la Agencia determine un porcentaje variable que parta del 0% (pues se deben considerar excepciones al cobro a ciertas organizaciones del estado). Este monto será refrendado por la ARESEP al tratarse de un servicio público o por los medios que se consideren adecuados.
14. Agregar inciso: Artículo 5, punto 2, inciso e). “La emisión de certificados, permisos y licencias para la administración y gestión de infraestructura crítica informática. La agencia tendrá la capacidad de crear licencias, permisos y certificados para que los operadores puedan administrar infraestructura crítica informática en el territorio nacional. El cobro por la emisión y renovación de estos comprobantes, así como los procesos y auditorías que sean necesarios para garantizar la vigilancia y cumplimiento de los mismos podrán ser también ingresos directos de establecidos en un tarifario emitido por la ANC”
15. Modificar, Artículo 6, punto 1) respecto a los atestados del director o directora. Léase: “La persona directora deberá poseer: 1. Título académico de bachiller universitario, con postgrado en ciberseguridad, seguridad de la información o seguridad informática.” Esto con el fin de permitir que, aunque una persona se haya graduado como bachiller en otra carrera, si pueda presentar atestados de educación en ciberseguridad posteriores y ser considerado.
16. Modificar, Artículo 6, punto 1) respecto a los atestados del director o directora. Léase: “La persona directora deberá poseer: 2. Tener al menos 10 años de experiencia en puestos de dirección de un departamento u operación de ciberseguridad en rol de jefe de seguridad de la información o afín” Se debe considerar que 10 años son el mínimo que un candidato a una oficina nacional de ciberseguridad debe presentar para certificar su experiencia y señorío en este campo especializado.
17. Modificar, Artículo 6, punto 1) respecto a los atestados del director o directora. Léase: “La persona directora deberá poseer: 3. Contar con atestados comprobados, estudios y certificaciones que la acrediten como experta o experto en materia de ciberseguridad, seguridad informática o seguridad de la información, y que dichos documentos sean avalados por el colegio de profesionales en informática y computación CPIC”.
18. Agregar, Artículo 6, punto 1) respecto a los atestados del director o directora. Léase: “Demostrar un conocimiento avanzado del idioma inglés” Sin dominio del idioma inglés no se puede comunicar de manera efectiva con organismos internacionales.
19. Modificar, Artículo 7, inciso i) Léase: “…a esta ley que la Agencia o el Ministerio de Seguridad Pública (MSP)…” ya que lo correcto es que sea el Ministerio de Seguridad Pública y no el MICITT quién dirija la agencia.
20. Modificar Artículo 8. Los integrantes del consejo asesor de ciberseguridad, órganos adscritos a la dirección general de la ANC deberá estar conformado además del director de la ANC, quién es quién preside. Definir, un nivel primario que estará conformado por representantes o miembros permanentes del consejo asesor y un nivel secundario que estará conformado por miembros invitados. Se propone que el nivel primario o miembros permanentes del consejo asesores esté conformado por:
Un representante del Colegio de Profesionales en Informática y Computación (CPIC) al ser el órgano que por ley representa al gremio informático en Costa Rica según su ley de creación #7537 ya que la ciberseguridad es una especialización de las ciencias de la computación y la informática.
Un representante del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) por ser el asesor oficial del gobierno en temas científicos y tecnológicos,
Un representante del Ministerio de la Presidencia.
Un representante del Ministerio Público.
Un representante del Organismo de Investigación Judicial (OIJ). Así mismo se propone que dicho consejo permanente pueda citar representantes en un nivel secundario cuando sea requerido siendo estos los miembros invitados que podrán ser representantes de otras instituciones del gobierno, organizaciones sin fines de lucro, cámaras o personas físicas según sea necesario y por el tiempo que el consejo permanente defina. Esto con el fin de optimizar el uso de recursos públicos y la efectividad del órgano asesor.
21. Modificar Artículo 10. Léase “El consejo, sólo podrá sesionar con la asistencia de al menos, cuatro de sus miembros…” Esto debido a que el consejo permanente está compuesto por 6 miembros.
22. Modificar Artículo 12. Punto 1. Léase “La ANC a través de su CSIRT-CR podrá constituir Centros Sectoriales de Respuesta a Incidentes de Ciberseguridad…” La habilitación y formación de nuestros CSIRT es competencia de la ANC ya que es el CSIRT-CR quién los dirige, certifica y capacita.
23. Agregar Artículo 16. Punto 4. Agregar un nuevo inciso e) “Otorgar licencias y permisos de operación de infraestructura de manera directa o a través de convenio con otros reguladores sectoriales.”
24. Agregar Artículo 27. Renombrar por “Emisión de normas técnicas, directrices, permisos y certificaciones” Esto con el fin de alinear la emisión de permisos de operación y certificaciones tanto de infraestructura como de personal a las entidades reguladas.
25. Agregar Artículo 27. Punto 1. Léase: “La Agencia Nacional de Ciberseguridad podrá adoptar normas técnicas y directrices generales para el fortalecimiento y gestión unificada de la ciberseguridad, así como tener la potestad de emisión de permisos de operación y certificaciones de la infraestructura crítica informática”, Se debe tomar en cuenta que la emisión de estos permisos, el cobro por las auditorías y la emisión de certificaciones es una línea de financiamiento muy importante que garantiza no solo la independencia de la agencia del presupuesto nacional evitando cargos adicionales al MSP sino que también estos montos sumados al recaudo por multas, donaciones y otros rubros permiten tener el recurso suficiente para garantizar las maniobras y operaciones de cumplimiento anuales de la ANC.
26. Modificar Artículo 29. Agregar Punto 5. Léase: “La agencia podrá revocar licencias, permisos y certificaciones a cualquier operador que infrinja cualquier disposición obligatoria de cumplimiento estipulada en esta ley o en los reglamentos internos de la ANC”
27. Modificar Artículo 35. Léase: “Un mínimo de una vez al año y un máximo de una vez cada tres años, las instituciones deberán realizar…” y continúa, “La evaluación deberá ser efectuada por un tercero independiente registrado ante la ANC para brindar este servicio. Será la ANC quién gestione este registro de terceros autorizados quienes deberán cumplir una serie de requisitos previo a realizar las autorías requeridas para el cumplimiento de este requisito.” Se propone este cambio en el texto debido a que para realizar estas evaluaciones se requiere de proveedores maduros y competentes en el tema de la ciberseguridad que deben ser certificados por la agencia, registrados y administrados para mantener una vigilancia y garantizar un alto nivel de profesionalismo en los resultados emitidos. Se elimina la referencia exclusiva a academia y CPIC con la intención de que el registro quede abierto a todo aquel que cumpla con los requisitos y no se limite a actores en específico.
28. Modificar Artículo 40. Punto 1. Inciso a) Léase: “… de uno hasta diez salarios base”.
29. Modificar Artículo 40. Punto 1. Inciso b) Léase: “… de 10 hasta 25 salarios base, adicional a la restricción parcial de uso de permisos, certificaciones o licencias de operación emitidas por la ANC".
30. Modificar Artículo 40. Punto 1. Inciso c) Léase: “… de 25 hasta 100 salarios base” adicional a la revocación total o parcial de los permisos, certificaciones o licencias de operación emitidos por la ANC” De esta manera se garantiza un peso y consecuencias plausibles por el no cumplimiento de la normativa y disposiciones.
31. Modificar Artículo 40. Se debe especificar que el pago de las multas se hará ante la ANC directamente a través de convenios bancarios o interinstitucionales.
32. Agregar Artículo 41. Incumplir con el pago puntual de renovaciones de licencias, certificaciones o permisos de operación por un mes más un día.
33. Agregar Artículo 42. Reincidir en el incumplimiento del pago puntual de renovaciones de licencias, certificaciones o permisos de operación por tres meses más un día.
34. Agregar Artículo 43. Reincidir en el incumplimiento del pago puntual de renovaciones de licencias, certificaciones o permisos de operación por doce meses más un día.
35. Modificar Artículo 43. El título del artículo debe leerse “Infracciones administrativas gravísimas” en lugar de “Infracciones administrativas muy graves”.
36. Modificar Artículo 44. Título Léase: “Sanción a funcionarios irresponsables” en lugar de “Sanción a funcionarios responsables”.
37. Modificar Artículo 44. Debe agregarse una referencia a la ley 9048 Ley de Delitos Informáticos y Conexos así como establecer la colaboración continua de la agencia con el Ministerio Público y otras autoridades competentes para la denuncia de estos casos potenciales de negligencia y corrupción, pues no será la ANC la que investigue directamente sino otros organismos de la seguridad nacional del país.
38. Modificar Artículo 45. Aumentar la prescripción de estas infracciones de 3 a 5 años debido a que este tipo de delitos son muy complejos de investigar, en tres años no pueden ser manejados de manera apropiada por el plazo tan corto.
39. Modificar Capítulo VIII, Se deben explorar reformas también a la ley 9048 Ley de Delitos Informáticos y Conexos, así como a la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales 8968 para establecer potenciales conflictos y o reformas necesarias. Así también explorar reformas relacionadas con la Ley General de Policía 7410 para dar más fortaleza al proyecto en cuestión una vez que sea adscrita su rectoría al Ministerio de Seguridad Pública.
40. Se debe también derogar el Decreto Ejecutivo 37052 que crea al CSIRT-CR y asigna su operación al Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT) para que dicha estructura sea transferida al Ministerio de Seguridad Pública (MSP).