Presentamos el proyecto de ley 24.939, 05 conocido como "Ley Ciber"

Presentación histórica en el Salón de Expresidentes

Este 5 de agosto de 2025, en el solemne Salón de Expresidentes de la Asamblea Legislativa de Costa Rica, se presentó oficialmente el Proyecto de Ley N.° 24.939, mejor conocido como la “Ley Ciber”, una propuesta legislativa que marca un antes y un después en la estrategia nacional para proteger el ciberespacio costarricense.

La sesión fue encabezada por Esteban Jiménez Cabezas, quien ofreció un discurso profundamente emotivo y cargado de sentido histórico. Con un tono mesurado y firme, Jiménez Cabezas evocó los aportes institucionales de dos expresidentes con quienes comparte un linaje familiar: Jesús Jiménez Zamora y Julio Acosta García.

El primero, recordado por haber creado el Registro Público y el Colegio San Luis Gonzaga, y el segundo, por fundar la Oficina de Control, precursora de la actual Contraloría General de la República.

Jiménez Cabezas utilizó estas referencias como símbolo de que cada época requiere sus instituciones protectoras basado en su . Así como aquellas estructuras defendieron la legalidad, la educación y la transparencia en el siglo XIX y XX, hoy, sostuvo, es indispensable contar con un órgano que proteja nuestra soberanía en el ciberespacio.

¿Qué propone la Ley Ciber?

El proyecto crea la Dirección Nacional de Ciberseguridad (DNC) como el ente rector y técnico encargado de diseñar, implementar y coordinar las políticas de ciberseguridad del país.

Bajo su estructura, se consolidan dos unidades operativas:

• CSIRT-CR: Centro de Respuesta a Incidentes de Seguridad Informática.

• SOC-CR: Centro de Operaciones de Ciberseguridad.

Principios rectores de la ley

La ley se fundamenta en principios sólidos, entre ellos:

• Coordinación proactiva entre sectores público y privado para detectar, prevenir y responder a amenazas cibernéticas.

• Resiliencia y continuidad operativa, garantizando que los servicios críticos puedan recuperarse ante ataques.

• Responsabilidad compartida, reconociendo que la ciberseguridad es una tarea de todos.

• Neutralidad tecnológica y no discriminación, promoviendo soluciones flexibles e inclusivas.

Obligaciones para operadores de infraestructuras críticas

Toda entidad que opere sistemas considerados críticos deberá:

• Implementar medidas tecnológicas, organizacionales y físicas.

• Realizar auditorías y evaluaciones de riesgo.

• Mantener planes de continuidad.

• Notificar incidentes en tiempo real.

• Colaborar activamente con la DNC y el CSIRT-CR.

Registro Nacional de Incidentes

Se establece el Registro Nacional de Incidentes de Ciberseguridad, obligatorio para entidades públicas y privadas. Este registro será una fuente de inteligencia estratégica para:

• Identificar patrones de ataques.

• Emitir alertas tempranas.

• Elaborar estadísticas.

• Evaluar el estado de la ciberseguridad nacional.

Una ley para proteger al ciudadano

Más allá de la protección de redes y sistemas, el mensaje fue claro: la Ley Ciber busca defender al ciudadano más vulnerable. Aquel que navega en línea, paga sus servicios digitales, comparte su información personal y confía en que el Estado protegerá su privacidad, su identidad y su acceso seguro a servicios.

A continuación se adjuntan los documentos relacionados al proyecto de ley y sus detalles: