LEY DE CIBERSEGURIDAD DE COSTA RICA
| Número de Iniciativa | 23292 |
| Expiration Date | 22 Agosto 2026 |
| Fecha de presentación | 22 Agosto 2022 |
| Fecha de publicación | 09 Septiembre 2022 |
| Tipo de proyecto | PROCEDIMIENTO PROYECTO DE LEY ORDINARIO |
| Autor de la iniciativa | Jose Joaquín Hernández Rojas,Kattia Rivera Soto,Jorge Antonio Rojas López,Luis Fernando Mendoza Jiménez,Pedro Rojas Guzmán |
De conformidad con las disposiciones del artículo 113 del Reglamento de la Asamblea Legislativa, el Departamento Secretaría del Directorio incorpora el presente texto al Sistema de Información Legislativa (SIL), de acuerdo con la versión electrónica suministrada.
ASAMBLEA LEGISLATIVA DE LA REPÚBLICA DE COSTA RICA
PROYECTO DE LEY
LEY DE CIBERSEGURIDAD DE COSTA RICA
JOSE JOAQUIN HERNANDEZ ROJAS
Y OTROS SEÑORAS DIPUTADAS Y SEÑORES DIPUTADOS
EXPEDIENTE N° 23.292
PROYECTO DE LEY
“LEY DE CIBERSEGURIDAD DE COSTA RICA”
Expediente N° 23.292
ASAMBLEA LEGISLATIVA:
A nivel mundial se reconoce que las tecnologías digitales (TD) y en especial las tecnologías de la información y la comunicación (TIC) son un catalizador para el desarrollo económico, social y cultural, dado que facilitan el acceso a incalculables recursos y que además de la comunicación, promueven la innovación, la eficiencia, la transparencia, y la prosperidad socioeconómica de los países.
Costa Rica, consciente de ello, ha apostado por una fuerte promoción del uso de las TIC para impulsar el desarrollo nacional y consolidar una sociedad de la información y el conocimiento preparada para enfrentar los desafíos de la cuarta revolución industrial y la transformación digital. De ello, son reflejo la Política Nacional de Sociedad y Economía Basada en el Conocimiento 2022-2050 (PNSEBC), el Plan Nacional de Ciencia, Tecnología e Innovación 2022-2027 (PNCTI) y la Estrategia de Transformación Digital (2017-2022), esto último, en proceso de actualización y consulta, entre otras.
Sin embargo, con los altos índices de conectividad y acceso a las TIC, la apuesta por la digitalización del Gobierno, el almacenamiento masivo de datos sensibles, y la acelerada transformación impulsada por la pandemia, surgen riesgos y vulnerabilidades propias del ciberespacio que exponen a todos los sectores de la sociedad a consecuencias perjudiciales.
El resultado de esta transición hacia lo digital es un extraordinario aumento de ataques cibernéticos, en el contexto de un ecosistema digital de vulnerabilidades ya amplificadas que incluye más de 20.000 millones de dispositivos de internet de las cosas (IoT, por sus siglas en inglés) conectados en todo el mundo. Incluso antes de la pandemia, las brechas de ciberseguridad y las filtraciones de datos se estaban convirtiendo en los principales obstáculos de la economía digital. Los cibercriminales están aprovechando rápidamente los nuevos vectores de ataque y se benefician de los vacíos en la cooperación de las fuerzas del orden público en las diferentes jurisdicciones (Barmpaliou, 2021).
Según el Informe de Riesgos Globales 2020 del Foro Económico Mundial, el riesgo de ciberataques a la infraestructura crítica de los países y el fraude o robo de datos se clasificaron entre los diez principales riesgos con mayor probabilidad de ocurrir, mientras que la reciente Perspectiva de Riesgos del COVID-19 del Foro Económico Mundial, identificó a los ciberataques como la tercera mayor preocupación. La infraestructura crítica refiere a aquellos sistemas de información que soportan la prestación de servicios esenciales para la sociedad.
Por otra parte, según el Reporte “Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y El Caribe” de 2021, elaborado en conjunto por el BID y la OEA, se estimó que los daños por delitos cibernéticos alcanzarían los US$6000 millones para el 2021, lo que equivale al producto interno bruto (PIB) de la tercera economía más grande del mundo. Además del costo financiero, el cibercrimen y los ciberataques socavan la confianza de los usuarios en la economía digital.
Los cibercriminales que acceden a la red con fines ilícitos han aprovechado esta nueva realidad, y muestra de ello es el desarrollo de herramientas y medios cada vez más sofisticados para perpetrar sus ataques cibernéticos (como son, por ejemplo, los ataques de “ransomware-as-a-service”. Esta intensificación modernización de la ciberdelincuencia, hace necesario sofisticar también las defensas de ciberseguridad de las organizaciones y gobiernos.
En el caso particular de la administración pública, la información masiva y sensible que ésta almacena sobre la población y sobre el quehacer gubernamental, así como los sistemas e infraestructura crítica que respalda los servicios esenciales que proveen los gobiernos, son un blanco especialmente atractivo para los cibercriminales.
En todo el mundo, incluida Costa Rica recientemente, son constantes los ataques contra infraestructuras críticas que hacen necesaria la suspensión o interrupción de los sistemas, lo que pone en riesgo la prestación de servicios esenciales para la población, como la salud y la seguridad nacional.
Los incidentes de ciberseguridad han tenido lugar durante años, pero la mayoría han permanecido fuera de la atención pública hasta la última década, los recientes incidentes de gran repercusión que han afectado a los ciudadanos han catapultado el tema al discurso nacional y a la atención legislativa y regulatoria. Estamos entrando en una nueva era de la ciberseguridad, en la que los gobiernos, los organismos reguladores y las empresas de todo el mundo deben trabajar unidos para aumentar la supervisión de los incidentes de ciberseguridad (McKinsey, 2022).
La ciberseguridad es, desde luego, un elemento habilitador e imprescindible para la transformación digital y la seguridad nacional, sí los activos digitales, los datos, y las infraestructuras que soportan los servicios esenciales para la población no están protegidos, no puede haber transformación digital ni se pueden aprovechar los beneficios que derivan de ese fenómeno.
En el caso concreto de Costa Rica, su estado de madurez en materia de ciberseguridad es apenas formativo. Así lo acreditan el BID y la OEA en su Reporte “Ciberseguridad: riesgos, avances y el camino a seguir en América Latina y El Caribe” de 2021. A esa conclusión se llegó mediante la aplicación al país del Modelo de Madurez de la Capacidad de Ciberseguridad para las Naciones[1] (“CCM” por sus siglas en inglés) del Centro Global de Capacidad en Seguridad Cibernética (GSCC) de la Universidad de Oxford.
Según este modelo, reconocido internacionalmente, cada nivel de madurez es evaluado a partir de cinco dimensiones en las que se examinan aspectos diversos de la ciberseguridad: a) política y estrategia de ciberseguridad, b) cultura cibernética y sociedad, c) educación, capacitación y habilidades en ciberseguridad, d) marcos legales y regulatorios y e) estándares, organizaciones y tecnologías. Cada dimensión comprende una serie de factores a través de los cuales se evalúa la capacidad de generar seguridad cibernética y determinan los aspectos de mejora para incrementar el nivel de madurez.
El estudio del BID y la OEA demuestra que en lo relativo a regulaciones sobre gestión de la seguridad de la información y requerimientos de ciberseguridad, el país está en etapa apenas formativa. Por otro lado, respecto a protección de infraestructuras críticas de información, defensa y ciberseguridad nacional, así como manejo de crisis, el estudio refleja que Costa Rica está en fase incipiente, es decir, no hay madurez del todo o es apenas originaria. En cuanto a respuesta a incidentes, apenas se ha avanzado a una etapa formativa, es decir, esfuerzos coyunturales o desorganizados, especialmente a través de la labor del Centro de respuesta de incidentes de seguridad informática (CSIRT) que, si bien ha sido positiva, fue conceptualizada con una visión limitada desde su inicio, y no tiene el apoyo, ni los recursos necesarios para efectuar su labor, ni brindar la respuesta especializada.
En suma, Costa Rica se encuentra en una etapa entre incipiente y formativa, presenta una madurez embrionaria, donde si bien hay evidencia de los esfuerzos realizados en la materia y se cuenta con iniciativas que se están ejecutando, no hay una verdadera coordinación a nivel nacional ni planeación estratégica, hay una visión limitada sobre lo que implica la ciberseguridad, existe una ausencia importante de recursos, y no se han tomado suficientes decisiones sobre los beneficios y la necesidad de priorizar la ciberseguridad.
Si bien es cierto, que el país ha avanzado en la materia, lo que se refleja en algunos rankings internacionales, como el Índice Global de Ciberseguridad (GCI, por sus siglas en inglés) de la Unión Internacional de Telecomunicaciones (UIT) del año 2020, el país se ubicó en la posición 76 con un puntaje de 67.45, mostrando una mejora significativa con respecto a lo reportado para el año 2019, cuando el país se encontraba en la posición 115. Sin embargo, también es cierto...
Para continuar leyendo
Solicita tu prueba