Introducción a la Ley de Ciberseguridad de Costa Rica
En un mundo cada vez más digitalizado, la ciberseguridad se ha convertido en una prioridad crucial para los países de todo el mundo. Costa Rica no es la excepción. En respuesta a las crecientes amenazas cibernéticas y la necesidad de proteger sus infraestructuras críticas, el gobierno costarricense ha elaborado la "Ley de Ciberseguridad de Costa Rica". Esta ley, formalmente aprobada para su trámite en el plenario el 20 de abril de 2023, establece un marco jurídico integral para regular, resguardar y proteger la seguridad cibernética en el país.
¿Qué es la Ley de Ciberseguridad de Costa Rica?
La ley se centra en la creación de la Agencia Nacional de Ciberseguridad (ANC), un organismo dedicado a la gestión preventiva, reactiva y proactiva de las amenazas e incidentes cibernéticos. Además, la ley introduce varias medidas clave para fortalecer la infraestructura cibernética del país, incluyendo la implementación de centros especializados, la declaración de infraestructuras críticas de información como de interés público y de seguridad nacional, y la imposición de obligaciones y responsabilidades a los operadores de estas infraestructuras.
Principales Propuestas de la Ley
Creación de la Agencia Nacional de Ciberseguridad (ANC): Un organismo bajo el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT), encargado de la protección cibernética.
Establecimiento de una estructura especializada de control GSOC que incluye:
Un directorado general u oficina del director general de la agencia
Un consejo asesory órganos administrativos
Un Centro de Respuesta a Incidentes de Seguridad (CSIRT-CR): Órgano con la capacidad de prevenir y mitigar el impacto de un incidente informático
Un Centro de Intercambio y Monitoreo de Redes (CIMR-CR): Órgano diseñado para la detección de eventos y patrones de comportamiento de riesgo.
Un Centro de Inteligencia de Datos en Ciberseguridad (CID-CR): Órgano diseñado para desarrollar procesos de inteligencia de datos y amenazas para la creación de indicadores y alertas preventivas de riesgo ante la probabilidad de amenaza.
Creación del régimen de Infraestructura Crítica Informática: Mediante la declaración de este régmien se crea en Costa Rica las ICI, definidas como la infraestructura informática invetariada, clasificada y aprobada por la ANC que cumple con un rol crítico y estratégico para el correcto funcionameinto de la matriz tecnológica nacional, por tanto se declara como infraestructura regulada por la ANC sin distinción si pertenece a un propietario público o privado.
Creación del registro nacional de incidentes en ciberseguridad: La ANC es la responsable de la creación, mantenimiento y evolución del registro nacional de incidentes en ciberseguridad (RNIC) un compilado de indicadores e información histórica registrado por la ANC para la investigación de patrones de riesgo y el ajuste de estadísticas que apoyen la toma de decisión y entendimiento de sus entidades reguladas y el público general con fines de culturización digital.
Declaración de Interés Público y Seguridad Nacional: Las políticas y acciones relacionadas con la ciberseguridad de las infraestructuras críticas son vitales para la seguridad y el bienestar del país.
Obligaciones y Responsabilidades: Los operadores de infraestructuras críticas de información deben adoptar medidas y normas de seguridad tecnológica y organizacional para gestionar riesgos e incidentes.
Régimen Sancionatorio: Establecimiento de mecanismos para la denuncia de incumplimientos a los reglamentos y regulaciones vigentes para garantizar el cumplimiento de las normativas de ciberseguridad nacional emitida por diferentes órganis reguladores competentes.
Importancia de la Ley
La implementación de esta ley es un paso significativo hacia la protección de los sistemas y datos más sensibles del país. Al establecer una estructura sólida y medidas específicas para la prevención y respuesta a incidentes cibernéticos, Costa Rica se posiciona mejor para enfrentar los desafíos del mundo digital moderno y entra en cumplimiento de la normativa y estándares internacionales para el tratamiento de los datos y sistemas de infraestructura crítica nacional.
Resumen por Capítulos y Artículos de la Ley de Ciberseguridad de Costa Rica
Capítulo I: Objeto de la Ley, Principios y Definiciones
Artículo 1: Objeto de la Ley
Establecer un marco jurídico para la protección de la ciberseguridad en infraestructuras críticas del gobierno y entidades descentralizadas.
Artículo 2: Principios Rectores
Principios como priorización de las personas, respeto a los derechos humanos, confidencialidad, cooperación internacional, resiliencia, educación y responsabilidad en ciberseguridad.
Artículo 3: Definiciones
Define términos clave como ciberseguridad, incidentes de ciberseguridad, infraestructura crítica, y más.
Capítulo II: Creación de la Agencia Nacional de Ciberseguridad
Artículo 4: Naturaleza Jurídica y Composición
Creación de la ANC bajo el MICITT, incluyendo un SOC, CSIRT-CR, CID-CR y SOC Sectoriales.
Artículo 5: Patrimonio de la Agencia
Recursos financieros de la ANC provenientes del presupuesto nacional, donaciones, multas y venta de servicios.
Artículo 6: Dirección Nacional
Dirección a cargo de un director designado por el MICITT con requisitos específicos de experiencia y educación.
Artículo 7: Atribuciones de la Dirección Nacional
Responsabilidades de planificar, organizar y dirigir la ANC, emitir resoluciones y delegar funciones.
Artículo 8: Consejo Asesor en Ciberseguridad
Composición del consejo asesor formado por representantes de diversas instituciones gubernamentales.
Artículo 9: Funciones del Consejo
Asesorar en ciberseguridad, determinar sectores críticos y operadores de infraestructuras críticas.
Artículo 10: Funcionamiento del Consejo
Detalles sobre la operatividad y convocatorias del consejo asesor.
Artículo 11: Registro Nacional de Incidentes de Ciberseguridad
Registro de ciberincidentes reportados para analizar y mejorar la respuesta a ataques.
Capítulo III: Régimen de Protección de las Infraestructuras Críticas de Información
Artículo 12: Competencias de la ANC y Reguladores Sectoriales
Supervisión del cumplimiento de la ley por parte de los reguladores sectoriales y la ANC.
Artículo 13: Declaratoria de Interés Público y Seguridad Nacional
Artículo 14: Designación de Infraestructuras Críticas de Información
Políticas de ciberseguridad como asunto de interés público y seguridad nacional.
Artículo 15: Requerimientos de Información
Solicitud de información a operadores para evaluar si constituyen infraestructuras críticas.
Artículo 16: Obligaciones Generales
Medidas de seguridad que deben implementar los operadores de infraestructuras críticas.
Artículo 17: Obligaciones de los Operadores
Detalladas responsabilidades de los operadores en la gestión de ciberseguridad.
Artículo 18: Reporte de Incidentes
Requisitos para reportar incidentes de ciberseguridad a la ANC o reguladores sectoriales.
Artículo 19: Auditorías y Evaluaciones de Riesgo
Evaluaciones de riesgo y auditorías periódicas obligatorias para los operadores.
Artículo 20: Suministro de Información
Detalles sobre la información que los operadores deben proporcionar a la ANC.
Artículo 21: Cambio de Titularidad o Control
Procedimiento para notificar cambios en la propiedad o control de infraestructuras críticas.
Artículo 22: Ejercicios de Ciberseguridad
Coordinación y participación en ejercicios de ciberseguridad para evaluar preparación.
Artículo 23: Respuesta a Incidentes
Acciones que la ANC puede tomar al recibir notificaciones de incidentes de ciberseguridad.
Artículo 24: Emisión de Normas Técnicas
Adopción de normas técnicas para la ciberseguridad de infraestructuras críticas.
Artículo 25: Estándares Internacionales
Adopción de estándares internacionales de seguridad de la información.
Artículo 26: Potestad de Girar Instrucciones
Facultades de la ANC y reguladores para emitir directrices a operadores de infraestructuras críticas.
Capítulo IV: Confidencialidad de la Información
Artículo 27: Confidencialidad de la Información
Información sobre ciberseguridad de infraestructuras críticas considerada confidencial y las obligaciones de mantenerla.
Capítulo V: Gestión de la Seguridad de la Información en el Sector Público
Artículo 28: Ámbito de Aplicación y Competencia de Supervisión
Aplicación a entidades gubernamentales y supervisión de la ANC.
Artículo 29: Obligaciones Generales
Responsabilidades de jerarcas en adoptar medidas de seguridad de la información.
Artículo 30: Plan de Seguridad de la Información
Desarrollo e implementación de programas de seguridad de la información.
Artículo 31: Evaluación Independiente
Evaluaciones bienales del plan de seguridad por terceros independientes.
Artículo 32: Inventario
Inventario anual de sistemas de información operados o controlados por entidades públicas.
Artículo 33: Protección de Datos Personales Sensibles
Medidas adicionales para proteger datos personales sensibles almacenados por entidades públicas.
Capítulo VI: Régimen Sancionatorio
Artículo 34: Procedimiento
Procedimiento para sancionar incumplimientos de la ley.
Artículo 35: Sanciones
Multas por infracciones administrativas leves, graves y muy graves.
Artículo 36: Criterios de Valoración
Factores a considerar al valorar sanciones.
Artículo 37: Infracciones Administrativas Leves
Tipos de infracciones consideradas leves.
Artículo 38: Infracciones Administrativas Graves
Tipos de infracciones consideradas graves.
Artículo 39: Infracciones Administrativas Muy Graves
Tipos de infracciones consideradas muy graves.
Artículo 40: Prescripción de Infracciones
Plazos de prescripción para infracciones administrativas.
Capítulo VII: Colaboración con las Autoridades Judiciales
Artículo 41: Colaboración de la ANC
Obligación de la ANC de notificar a autoridades judiciales sobre incidentes de ciberseguridad.
Capítulo VIII: Reformas
Artículo 42: Reforma a la Ley N°8488
Modificación de la Ley Nacional de Emergencias para incluir factores de riesgo cibernético.
Artículo 43: Reforma a la Ley N°7169
Modificación de la Ley de Promoción de Desarrollo Científico y Tecnológico para incluir la ciberseguridad.
Disposiciones Transitorias
Transitorio I
Plazo de un año para la adopción de medidas por la ANC.
Transitorio II
Transferencia de recursos del CSIRT al ANC.
Transitorio III
Plazo de seis meses para la reglamentación de la ley.
Resumen Comparativo de las Principales Propuestas de la "Ley de Ciberseguridad de Costa Rica"
Propuesta | Descripción | Comentarios |
Creación de la Agencia Nacional de Ciberseguridad (ANC) | Establece una agencia bajo el MICITT encargada de la gestión preventiva, reactiva y proactiva de amenazas e incidentes cibernéticos. | Fortalece la estructura institucional de ciberseguridad en el país. |
Centro de Operaciones en Seguridad (GSOC) | Conjunto de elementos humanos, tecnológicos y administrativos que proveen las capacidades en ciberseguridad para analizar, investigar, gestionar y dar soporte a las entidades reguladas | Mejora y provee las herrameintas para habilitar las capacidades de prevención, detección y respuesta ante incidentes informáticos. |
| Subdivisión que realiza labores continuas de detección de eventos y anomalías de riesgo en las redes informáticas | Genera indicadores de riesgo y provee la visibilidad necesaria para activar mecanismos de respuesta |
2. (GSOC-CSIRT) Centro de Respuesta a Incidentes de Seguridad | Subdivisión que coordina con instituciones para la prevención y respuesta a incidentes de seguridad cibernética. | Aumenta la cooperación entre entidades para manejar incidentes. |
3. (GSOC-CID) Centro de Inteligencia de Datos en Ciberseguridad | Subdivisíón que crea y proporciona datos para apoyar la toma de decisiones. | Utiliza datos para anticipar y mtigar amenazas. |
Declaración de Interés Público y Seguridad Nacional | Conjunto de políticas y acciones relacionadas con la ciberseguridad de infraestructuras críticas son de interés público y seguridad nacional. | Reconoce la importancia crítica de la ciberseguridad para el país. |
Obligaciones de los Operadores de Infraestructuras Críticas de Información | Crea el nuevo régimen de Infraestructuras críticas de información (ICI) y crea nuevos requerimientos y medidas de seguridad tecnológica, organizacional y física para gestionar riesgos e incidentes alrededor de ellas. | Establece claras responsabilidades para los operadores de infraestructuras críticas. |
Registro Nacional de Incidentes de Ciberseguridad | Registro a cargo de la ANC que documenta los ciberincidentes reportados, y genera investigación a partir de ellos. | Facilita la recopilación y análisis de datos sobre incidentes para mejorar la respuesta y prevención. |
Sanciones y Multas | Establece los mecanismo de denuncia mediante los cuales la ANC puede ejercer su derecho a reportar infracciones a las instituciones competentes del estado. | Proporciona un régimen sancionatorio para asegurar el cumplimiento. |
Áreas de reglamentación requeridas
Claridad en la designación de capital humano: Los atestados de quienes integren la agencia deben ser de origen técnico y con responsabilidades claramente definidas y entendibles para todos los actores involucrados.
Evaluación de Impacto: Implementar un mecanismo para evaluar regularmente el impacto de la ley en la ciberseguridad nacional y hacer ajustes según sea necesario.
Capacitación Continua: Asegurar la forma en que se van a desarrollar programas de capacitación continua para los operadores de infraestructuras críticas y el personal de la Agencia Nacional de Ciberseguridad.
Cooperación Internacional: Fortalecer la cooperación internacional y las alianzas estratégicas para el intercambio de información y mejores prácticas en ciberseguridad.
Actualización de Normativas: Establecer un proceso para la revisión y actualización periódica de las normativas y estándares de ciberseguridad según los avances tecnológicos y nuevas amenazas, La ANC debe ser la entidad que apruebe y determine cuales estándares son aplicados para la protección de infraestructura crítica informática en el país y se debe reglamentar la manera en que la ANC va a asesorar a otras entidades tanto del sector público como privado.
Transparencia y Rendición de Cuentas: Garantizar la transparencia y rendición de cuentas en la gestión de la ciberseguridad de la ANC, incluyendo la publicación de informes periódicos sobre el estado de la ciberseguridad en el país.
Financiamiento de la agencia:
Mediante la designación de un porcentaje del presupuesto nacional anual no menor al 0.014% el cual puede ser aumentado por parte del MICITT si fuera necesario.
Donaciones y subvenciones que reciba el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (MICITT)
Un porcentaje de las multas recolectadas por los reguladores cuando se ejecuten sentencias sancionatorias en firme por la violación de regulaciones o normativas nacionales relacionadas a la seguridad de la información y protección de datos.
La emisión de patentes de funcionamiento u operación de infraestructuras críticas informáticas, licencias, permisos, carnets, certificados, credenciales u otras figuras de verificación de requerimeintos o cumplimiento que apoyen en el mantenimiento de las buenas prácticas en ciberseguridad en la infraestructura o el recurso humano en apego a las leyes, regulaciones, normativas y otras guías nacionales vigentes.
Problemas con el texto actual (revisión 27-02-2024):
Un total de 10 mociones fueron presentadas entre los meses de Enero y Febrero que modificaron el texto en perjuicio de la estructura teórica oficial presentada originalmente dando como resultado un documento que pasa de 43 artículos y más de 20 páginas de detalle a solo 20 Artículo y 4 páginas. Las m0dificaciones que se consideran más preocupantes son:
La Dirección Nacional Dirige y Asigna labores y funciones al GSOC y sus órganos de ejecución, así como también asume la presidencia del consejo Rector. Este detalle fue removido y en cambio hay una referencia circular hacia si misma en caunto a asignacion de labores en el Artículo 7. punto a).
Se modifico la estructura en Delta de los órganos CIMR-CSIRT-CID y se eliminaron todos menos el CSIRT. El uso del término "SOC" en el Articulo 8 ubicando al "GSOC" al mismo nivel que el CSIRT es incorrecto ya que un CSIRT es un órgano reactivo de un "SOC" no son estructuras independientes sino que una depende de la otra. ESto crea en el texto una imprecisión y un conflicto entre el GSOC y el CSIRT.
Se eliminó por completo el régimen de infraestructuras críticas de información (ICI) lo cuál definitivamente socava por completo la intención de crear en primer la ANC ya que la protección de ellas es la razón de ser principal de todo directorado de ciberseguridad a nivel internacional.
Se eliminó por completo la creación del registro nacional de incidentes de ciberseguridad dejando sin memoria a la agencia y destruyendo la capacidad de la agencia de funcionar como un componente de creación de indicadores estadísticos de ciberseguridad.
El artículo 9 es innecesario pues ya existe en el decreto Nº 37052-MICIT el cual mas bien queda sin efecto en la promulgación de esta ley y se pretende más bien integrar las funcionalidades del CSIRT dentro del GSOC. Este artículo es innecesario.
En el artículo 11 se eliminan las líneas de financiamiento 3 y 4 lo que deja a la ANC prácticamente sin presupuesto o posibilidades de desarrollar un trabajo real en el ciberespacio, es decir, nace sin presupeusto. El monto asignado que ahora es de 0.014% es muy reducido para las necesidades de este tipo de operaciones, sin líneas de financiameinto adicionales la Agencia nace sin capacidades reales de ejercer su función.
Los requerimientos para el Director Nacional fueron modificados, lo ideal es que el Director de la Agencia siga los mismos protocolos de reclutamiento establecidos por el servicio civil, esté adscrito y activo en el colegio profesional respectivo, cumpla con el requerimeinto de grado mínimo de maestría en las ciencias de la computación e informática con una especialidad en ciberseguridad. Con más de 10 años de experiencia comprobable en manejo de personal y activo en la labor de gestión estratégica de operaciones de ciberseguridad por al menos cinco años. Aportar las certificaciones y estudios adicionales que se consideren necesarios para demostrar su eligibilidad. Sin embargo los requerimientos actuales incluyen un grado de licenciatura que no es común entre el gremio informático y ademas disminuye los requerimientos a solo 5 años de experiencia lo que es ideal y no clarifica que los años de experiencia deben ser en ciberseguridad y especialmente en la gestión de operación de ciberseguridad. Parece ser que hay una inclinaciuón para facilitar la obtención del puesto a individuos menos calificados.
En el Capítulo 3 del nuevo texto se define al consejo asesor, sin embargo la estructura del consejo ha sido modificada incluyendo únicamente figuras de perfil político como Ministros. El consejo Asesor DEBE ser un consejo técnico que represente a las instituciones no un consejo político. También daña al consejo el hecho que el mismo sea precidido por el Ministro del MICITT lo cuál es incorrecto el MICITT es un miembro del consejo pero el Director de la agencia es qui´pen lo preside. Las instituciones miembros del consejo de dividen entre 5 miembros permamentes como MICITT, Ministerio Presidencia, Seguridad Pública, DIS y Poder Judicial, Fuera de estos miembros el consejo puede designar miembros No Permamentes por plazos definidos y también convocar miembros Ad Hoc de otros secotres y la sociedad civil para asesorarse. Este detalle fue removido por lo que el Consejo Asesor se tranforma en un órgano político lo cuál no es ideal puesto que ademas apunta a la membresía de individuos de muy alto rango que usualmente no tienen disponibilidad y se debe aclarar que el representante puede ser cualquiera nombrado por el Ministro o responsable de cada institución contra un grupo de requerimeintos puestos por reglamento. Se pierde la formalidad del consejo y al no definir dietas o remuneración la actual estructura es completamente inviable haciendo al consejo un órgano que nace muerto.
La función del consejo asesor NO es la de asesorar al Ministro de MICITT sino establecer un cuerpo de asesoramiento interinstitucional para mejorar el funcionameinto de la agencia y de salvaguardar los valores de la misma y sus responsabildiades ante las entidades reguladas. No tiene sentido asorar al Ministro de MICITT si el MICITT ya es parte del consejo asesor.
El Artículo 18 nuevamente aparece una solicitud para permitir al Director de la agencia tener una opción para también ser docente de una universidad. Esto es sospechoso pues es otro indicador que implica alguna participación de un individuo en específico tratando de modificar la ley para su beneficio.
En el Capítulo 5 Se debe incluir la derogación de decreto Nº 37052-MICIT el cual queda sin efecto una vez que el CSIRT pasa a ser parte del GSOC.
En el mismo capítulo se puede contemplar permitir que la ANC reciba un porcetaje de las multas que pueda colectar la SUTEL por concepto de violaciones a la normativa vigente de ciberseguridad.
Adjunto se incluyen los documentos necesarios para que usted pueda tener sus propias conclusiones al respecto del proyecto, en estos momentos el proyecto corre peligro de ser enviado al plenario con estas modificaciones sin fundamento y con clara intención de favorecimiento político sobre la realidad técnica que es requerida por una entidad de este tipo.
Comisión de Ciencia y Tecnología
La comisión de ciencia y tecnología de la asamblea legislativa es la responsable de estudiar y dicatminar este proyecto por lo que compartimos la información de contacto de los integrantes de esta comisión para que pueda usted contactarles y hacerles sus preguntas o sugerencias sobre este proyecto.
CASTRO MORA VANESSA DE PAUL vanessa.castro@asamblea.go.cr
HERNÁNDEZ ROJAS JOSE JOAQUÍN jose.joaquin@asamblea.go.cr
ALFARO MOLINA ROCIO rocio.alfaro@asamblea.go.cr
ÁLVAREZ MARÍN ANDREA andrea.alvarez@asamblea.go.cr
ROJAS LÓPEZ JORGE ANTONIO jorge.rojas@asamblea.go.cr
SIBAJA JIMÉNEZ JOSE PABLO pablo.sibaja@asamblea.go.cr
OBANDO BONILLA JOHANA johana.obando@asamblea.go.cr
Conclusión
La "Ley de Ciberseguridad de Costa Rica" no solo fortalece la defensa cibernética del país, sino que también promueve una cultura de ciberseguridad entre todos los actores del ecosistema digital. La cooperación internacional, la educación continua y la adaptación a nuevas amenazas son fundamentales para el éxito de esta iniciativa. Esta ley es una manifestación del compromiso de Costa Rica con la seguridad, la resiliencia y la protección de sus ciudadanos en la era digital.
Enlaces de referencia:
Último texto disponible:
Versión texto sustitutivo 20 abril 2023:
Otros reportes:
Comments