La iniciativa plantea darle rango de ley a la Dirección Nacional de Ciberseguridad, así como las potestades para regular, coordinar y sancionar a entidades públicas y privadas.
La diputada del Partido Liberación Nacional (PLN), Kattia Rivera Soto, presentó a la corriente legislativa un proyecto de ley (expediente 24.939) que propone establecer una ley marco de ciberseguridad para proteger las infraestructuras críticas y servicios esenciales del país ante amenazas digitales como las sufridas en 2022, trasladando la Dirección Nacional de Ciberseguridad del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) a la Superintendencia de Telecomunicaciones (Sutel).
La iniciativa señala que la Dirección Nacional de Ciberseguridad (DNC) será un órgano adscrito a la Superintendencia de Telecomunicaciones (SUTEL), con funciones de coordinación nacional, regulación técnica, monitoreo de riesgos, gestión de incidentes y aplicación de sanciones administrativas. La DNC estará compuesta por un Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CSIRT-CR) y el Centro Nacional de Operaciones de Ciberseguridad (SOC-CR).
Dato D+: El CSIRT-CR fue creado por el Decreto Ejecutivo 37.052, y su Consejo Directivo está conformado por jerarcas de cinco ministerios, así como representantes de la Fiscalía General de la República y la Academia Nacional de las Ciencias, y tiene sede en el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt). En 2023 el Micitt anunció la creación de un Centro de Operaciones de Seguridad (SOC) tercerizado.
Adicionalmente, el texto señala que le corresponderá al Consejo de la Sutel nombrar a la persona para dirigir la DNC. Este nombramiento podrá ser objetado por la Asamblea Legislativa en un plazo de 30 días. El nombramiento en la DNC será por cuatro años con posibilidad de una única reelección.
El proyecto obliga a todas las organizaciones públicas y privadas que gestionen infraestructuras críticas de Tecnología de la Información y la Comunicación (TIC) a cumplir con estándares técnicos definidos por la DNC, implementar planes de continuidad, gestionar riesgos, reportar incidentes y mantener sistemas certificados de gestión de seguridad de la información.
Dato D+: El proyecto señala que la DNC, en conjunto con los reguladores sectoriales, deberá coordinar la identificación de las infraestructuras tecnológicas y servicios TIC que deben catalogarse como críticos.
Además, la iniciativa le otorga a la DNC la potestad de seleccionar los estándares y especificaciones técnicas de ciberseguridad que darán sustento y justificación a los requerimientos técnicos, exigidos a las entidades que posean, gestionan u operan infraestructura o servicios críticos TIC.
La propuesta también establece multas de entre uno y quince salarios base para las entidades que incumplan sus obligaciones, según la gravedad de la falta, y amplía las competencias legales de la Sutel en materia de ciberseguridad mediante reformas a leyes existentes.
Además, el proyecto fija un financiamiento equivalente al 0,014% del presupuesto nacional que deberá ser trasladado a la Sutel, como ente rector, y permite que la DNC reciba donaciones internacionales siempre que estas no comprometan la soberanía ni la neutralidad del país.
El texto fue presentado con las firmas de respaldo de las diputadas Vanessa de Paul Castro Mora, del Partido Unidad Social Cristiana, Rocío Alfaro Molina, del Frente Amplio, y Johana Obando Bonilla, independiente electa por el Partido Liberal Progresista. El expediente deberá ser asignado a una comisión legislativa para iniciar su trámite ordinario.
