Artículo 2º-. Definiciones. Para efectos de aplicación de este reglamento se establecen las siguientes definiciones:

a) Resiliencia cibernética: es la capacidad de una organización para anticiparse, resistir, responder y recuperarse eficazmente de incidentes cibernéticos, asegurando la continuidad operativa y minimizando el impacto negativo sobre sus activos digitales y procesos críticos.

b) Gobernanza de ciberseguridad: es el conjunto de procesos, políticas, estructuras organizativas y mecanismos establecidos para dirigir, controlar y evaluar la gestión de la ciberseguridad dentro de una organización, con el propósito de proteger sus activos digitales, gestionar los riesgos cibernéticos, asegurar el cumplimiento normativo y apoyar los objetivos estratégicos institucionales.

c) Incidente de ciberseguridad: Cualquier suceso que afecte o tenga un impacto negativo o comprometa la confidencialidad, integridad y disponibilidad de los activos de información de las organizaciones. Ejemplos: ataques cibernéticos.

d) Vulnerabilidad de seguridad: Debilidad o fallo de un sistema que puede ser aprovechado con fines maliciosos.

e) Evento de seguridad: Cualquier suceso u ocurrencia observable en un sistema, red o activo o dispositivo tecnológico.

Artículo 3º-. Atribuciones del rector en materia de ciberseguridad. De conformidad con lo dispuesto en el artículo 20 párrafo primero e incisos a) y e) de la Ley N.° 7169, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) es el órgano rector en materia de ciencia, innovación, tecnología y telecomunicaciones, y tiene la atribución de elaborar la política pública en materia de ciencia, tecnología e innovación, asegurar el debido cumplimiento y dar seguimiento a su ejecución, en el marco de coordinación del Sistema Nacional de Ciencia, Tecnología e Innovación; y promover la creación y el mejoramiento de los instrumentos jurídicos y administrativos necesarios para el desarrollo científico, tecnológico y de la innovación del país.

El Micitt en su condición de órgano rector y en observancia a las limitaciones que impone el ordenamiento jurídico, podrá coordinar con los Poderes del Estado, y la Administración Descentralizada, que gestionan sistemas de información o servicios tecnológicos esenciales, en temas de desarrollo e implementación de políticas públicas, marcos normativos, estándares técnicos y procedimientos de seguridad cibernética, conforme con los principios de gobernanza, responsabilidad compartida y mejora continua.

Artículo 4º-. Objetivo de la Dirección de Ciberseguridad del Micitt (DC). La DC tiene por objetivo fortalecer la resiliencia y seguridad de la infraestructura digital del país. Por tanto, es la dependencia designada por el Micitt para liderar y coordinar a nivel nacional, con los poderes del Estado, instituciones autónomas, empresas y bancos estatales, todo lo relacionado con la seguridad informática y cibernética.

En este contexto, es responsable de identificar, definir y establecer cuáles son las infraestructuras críticas de información del Estado, considerando su relevancia estratégica y la necesidad de asegurar la continuidad operativa ante posibles incidentes de ciberseguridad.

Artículo 5°-. Funciones de la Dirección de Ciberseguridad. Son funciones de la DC las siguientes:

1. Promover políticas y estrategias nacionales de ciberseguridad, estableciendo estándares y buenas prácticas para proteger la infraestructura digital del país.

2. Fungir como el punto central de coordinación en la respuesta a incidentes de ciberseguridad a nivel nacional, asegurando una respuesta rápida y efectiva a las amenazas.

3. Liderar iniciativas de capacitación y formación al público, empresas e instituciones gubernamentales sobre los riesgos de ciberseguridad y cómo mitigarlos.

4. Proporcionar asesoramiento y consultoría a otras organizaciones gubernamentales y otros sectores sobre cómo mejorar su postura de ciberseguridad.

5. Coordinar la evaluación de riesgos de ciberseguridad a nivel nacional y proponer medidas para mitigarlos.

6. Dirigir las acciones para el desarrollo de investigaciones sobre las amenazas cibernéticas actuales y emergentes.

7. Emitir criterio técnico y orientación basados en la evidencia sobre las amenazas cibernéticas.

8. Colaborar con agencias de ciberseguridad de otros países y organizaciones internacionales para compartir información sobre amenazas y mejores prácticas.

9. Realizar alianzas estratégicas para el fortalecimiento del ecosistema de seguridad cibernética.

10. Coordinar con el Comité Interamericano contra el terrorismo (CICTE), y otras entidades nacionales e internacionales sobre el diseño y aplicación de políticas, estrategias y lineamientos en la adquisición de bienes y servicios en materia de la seguridad de las tecnologías de la información y la comunicación, con los estándares que observen las normativas vigentes internacionales para la implementación y/o aplicación en el sector público.

11. Cualquier otra función que se le designe según el marco normativo de su competencia.

Artículo 6°-. Modelo de gestión aplicable en la DC en materia de ciberseguridad. El modelo de gestión de la DC en materia de ciberseguridad se fundamenta en estándares internacionales reconocidos, la gestión de riesgos y otras directrices adoptadas por organismos multilaterales en ciber resiliencia gubernamental. Dicho modelo incorpora, de manera integral y sistémica, las siguientes funciones esenciales del ciclo de ciberseguridad:

1. Gobernanza: establecimiento de políticas, roles, responsabilidades y mecanismos de supervisión.

2. Identificación: evaluación de activos críticos, amenazas, vulnerabilidades y riesgos.

3. Protección: implementación de controles, capacidades de defensa y cultura de seguridad.

4. Detección: monitoreo continuo y análisis proactivo de eventos de seguridad.

5. Respuesta: coordinación ágil ante incidentes para minimizar su impacto.

6. Recuperación: restablecimiento de funciones críticas, aprendizaje y mejora continua.

La DC deberá identificar, administrar y mitigar los riesgos asociados a sus funciones estratégicas y operativas, mediante planes de gestión de riesgos, continuidad operativa y controles compensatorios, dentro del ámbito de su competencia.

Asimismo, el Micitt promoverá que todas las instituciones que conforman la Administración Pública, y con las que mantenga relaciones de coordinación, adopten e implementen sus propios planes institucionales de gestión de riesgos cibernéticos y continuidad del servicio, siguiendo metodologías armonizadas, controles mínimos esenciales, y herramientas homologadas. Estas acciones deberán estar alineadas con el marco rector establecido por el Micitt, mediante la DC; y estarán sujetas a auditoría técnica periódica.

Artículo 7°-. Estructura organizativa de la DC. Para el cumplimiento de sus fines, estratégicos, operativos y técnicos, la Dirección de Ciberseguridad del Micitt tendrá bajo su dependencia el Departamento Centro de Respuesta a Incidentes de Ciberseguridad (CSIRT-CR), y el Departamento Centro de Operaciones de Ciberseguridad (SOC-CR), cuyos objetivos y fines se detallarán.

El proceso de gestión administrativa y técnica del CSIRT-CR y del SOC-CR estará a cargo de la Dirección de Ciberseguridad del Micitt.

El funcionamiento, objetivos específicos, atribuciones internas y procedimientos de coordinación del CSIRT-CR y del SOC-CR serán definidos por la DC, y aprobados por la persona jerarca Institucional, en concordancia con los estándares internacionales vigentes.

Artículo 8°-. Objetivo y Funciones del Departamento Centro de Respuesta a Incidentes de Ciberseguridad. El CSIRT-CR tiene como objetivo responder a incidentes de seguridad cibernética que afecten a las instituciones de gobierno y operadores de infraestructura crítica; y sus funciones son las siguientes:

1. Ejecutar las acciones de respuesta ante incidentes cibernéticos que se presenten en las plataformas tecnológicas de las instituciones públicas.

2. Coordinar las acciones interinstitucionales e internacionales necesarias para la atención de incidentes y el fortalecimiento del ecosistema de seguridad digital del país.

3. Proporcionar orientación técnica al órgano correspondiente en el diseño de políticas, estrategias y acciones en materia de seguridad cibernética e informática, así como elaborar programas nacionales en materia de seguridad de tecnologías de la información y la comunicación.

4. Promover la implementación de políticas, planes, estrategias e iniciativas públicas y privadas en materia de ciberseguridad, así como lineamientos de seguridad cibernética orientados a lograr una mayor protección a las infraestructuras tecnológicas y la ciberseguridad de la persona ciudadana.

5. Proponer los lineamientos para la construcción de planes de contingencia, recuperación ante desastres y continuidad de negocio para las instituciones públicas.

6. Elaborar informes de incidentes para las diferentes instituciones gubernamentales cuando se requiera.

7. Realizar análisis de ciberinteligencia enfocados en la seguridad contra amenazas cibernéticas.

8. Realizar análisis forense post incidente para la identificación de la causa raíz del incidente y su remediación, así como brindar apoyo a las autoridades judiciales si es requerido.

9. Elaborar la normativa en materia de seguridad de las tecnologías de la información y la comunicación, que se requiera para el cumplimiento de las políticas públicas en la materia.

10. Asesorar, apoyar y coordinar a las múltiples partes interesadas para la adecuada gestión de los riesgos cibernéticos e incidentes digitales.

11. Asesorar y apoyar en la respuesta a incidentes de seguridad, lo que incluye la contención y erradicación de la amenaza, así como el acompañamiento en la recuperación de los sistemas afectados.

12. Generar notificaciones de alertas tempranas y emitir recomendaciones para la prevención de amenazas cibernéticas.

13. Cualquier otra función que se le designe según el marco normativo de su competencia.

Artículo 9°-. Objetivo y Funciones del Departamento Centro de Operaciones de Ciberseguridad. El SOC-CR tiene como objetivo, proteger y monitorear las infraestructuras críticas de las instituciones públicas definidas por Micitt; y sus funciones son las siguientes:

1. Realizar el monitoreo 24/7 de las redes y los sistemas de las instituciones incluidas en el SOC-CR con el objetivo de identificar y detectar amenazas y actividades sospechosas.

2. Proteger en tiempo real las plataformas tecnológicas de las instituciones públicas incluidas en el SOC-CR mediante las herramientas y soluciones de seguridad implementadas.

3. Elaborar informes periódicos de monitoreo y detección de amenazas.

4. Analizar los eventos de ciberseguridad para determinar su origen, impacto y la forma en que se está propagando.

5. Apoyar al CSIRT-CR proporcionando información detallada sobre amenazas detectadas e información relevante para la gestión de incidentes, además de aplicar medidas de seguridad para mitigar las amenazas cibernéticas.

6. Realizar análisis de vulnerabilidades en los sistemas de las instituciones públicas.

7. Velar porque las instituciones cumplan con los estándares y regulaciones de seguridad de la información relevantes propuestos por el Micitt.

8. Apoyar en la prevención, identificación, detección y análisis de posibles incidentes cibernéticos para apoyar en la respuesta a un incidente de ciberseguridad al CSIRTCR.

9. Asesorar en la aplicación de políticas de seguridad y mejores prácticas en las infraestructuras tecnológicas.

10. Definir, implementar y gestionar las soluciones de seguridad avanzada necesarias para el monitoreo, detección, respuesta y mitigación de ciberataques que afecten a las instituciones públicas y operadores de servicios esenciales del Estado.

11. Cualquier otra función que se le designe según el marco normativo de su competencia.

Artículo 10°-. De los recursos asignados a la DC. El Micitt, en la medida de sus posibilidades y en apego al ordenamiento jurídico, aportará los recursos humanos y financieros básicos para el funcionamiento de la Dirección de Ciberseguridad y sus departamentos CSIRT-CR y SOC-CR; para tal fin además podrá contar con el apoyo de cualquier otra institución; así como con recursos provenientes de la cooperación nacional e internacional.

Artículo 11°-. De las disposiciones técnicas, administrativas y jurídicas emitidas por el Micitt en materia de Ciberseguridad. Todos los lineamientos técnicos, protocolos, estándares, directrices, procedimientos operativos, manuales e instrumentos jurídicos y administrativos emitidos por el Micitt en materia de ciberseguridad, deberán estar disponibles, actualizados, completos y accesibles en el sitio web oficial del ministerio en la sección de Ciberseguridad.

Cada vez que se apruebe, modifique, sustituya o derogue alguno de estos instrumentos, el Micitt deberá emitir un comunicado dirigido al Sector Público, a través de los canales oficiales de comunicación disponibles en la institución, informando lo correspondiente.

Artículo 12°-. De la obligatoriedad del marco del fortalecimiento de la resiliencia cibernética del Estado Costarricense. Se instruye a las personas jerarcas de la Administración Central cumplir con las siguientes obligaciones, en el marco del fortalecimiento de la resiliencia cibernética del Estado costarricense:

1. Adoptar e implementar medidas de gobernanza en ciberseguridad, que al menos considere la designación de responsables institucionales, la elaboración de políticas internas, planes de gestión de riesgos cibernéticos, continuidad operativa y recuperación ante incidentes, conforme a las directrices técnicas emitidas por el Micitt, a través de la Dirección de Ciberseguridad.

2. Aplicar los lineamientos técnicos, protocolos, estándares, procedimientos, instrumentos normativos y buenas prácticas que emita el Micitt en materia de ciberseguridad, asegurando su incorporación en los procesos institucionales de planificación, adquisiciones tecnológicas, desarrollo de sistemas, prestación de servicios digitales y gestión de datos.

3. Cumplir con las medidas técnicas emitidas por la Dirección de Ciberseguridad del MICITT, orientadas a mejorar las capacidades de prevención, detección, respuesta y recuperación ante ciberamenazas, así como los niveles de madurez en seguridad de la información.

4. Brindar de manera oportuna y veraz la información requerida por la Dirección de Ciberseguridad, cuando esté relacionada con la evaluación de riesgos, incidentes, capacidades tecnológicas, cumplimiento normativo u otros asuntos de interés público y estratégico en el ámbito de su competencia.

5. Reportar de forma obligatoria, dentro de un plazo máximo de veinticuatro (24) horas, cualquier incidente de ciberseguridad que comprometa, o pueda comprometer, la disponibilidad, integridad, confidencialidad o autenticidad de los sistemas tecnológicos, redes, plataformas digitales, servicios institucionales o datos bajo su custodia. Este reporte deberá realizarse ante el Centro de Respuesta a Incidentes de Seguridad Informática (CSIRT-CR), conforme a los protocolos, formatos y canales establecidos por la DC.

6. Colaborar activamente con los procesos de respuesta y mitigación de incidentes, incluyendo la conformación de equipos técnicos institucionales o sectoriales especializados, según lo requiera la DC para la atención coordinada de eventos críticos que afecten la infraestructura pública digital.

7. Facilitar el acceso a personal técnico autorizado, a los entornos tecnológicos pertinentes, cuando así se requiera para la ejecución de medidas urgentes de contención o análisis técnico forense, siempre respetando el marco legal vigente en materia de protección de datos, derechos fundamentales y debida diligencia.

El cumplimiento de estas obligaciones permitirá fortalecer la capacidad nacional de prevención y respuesta ante incidentes cibernéticos, asegurar la protección de servicios públicos esenciales y mantener una postura de ciberseguridad moderna, interoperable y alineada con las mejores prácticas internacionales ante un entorno de amenazas dinámico y complejo.

Además, se insta a la Administración Descentralizada y demás Poderes del Estado, a implementar las disposiciones contenidas en este artículo.

Artículo 13°-. Declaratoria de interés público. Se declaran de interés público todas las acciones, proyectos institucionales orientados al fortalecimiento de la ciberseguridad, la resiliencia cibernética y la protección de la infraestructura digital del país, tanto en el ámbito público como privado.

En virtud de dicha declaratoria, las entidades públicas y privadas quedan autorizadas, para que, dentro de su disponibilidad presupuestaria y en observancia al marco legal respectivo, apoyen las labores que realice el Micitt en materia de ciberseguridad, a través de:

1. La participación en mesas técnicas, redes sectoriales, grupos de trabajo, ejercicios de simulación y espacios de coordinación operativa liderados por la Dirección de Ciberseguridad (DC).

2. El intercambio responsable de información técnica, gestión proactiva de amenazas, buenas prácticas y experiencias que fortalezcan el ecosistema nacional de ciberseguridad.

3. El desarrollo conjunto de investigaciones, tecnologías, mecanismos de detección temprana o herramientas de gestión de incidentes.

4. El apoyo logístico, técnico o financiero a programas de capacitación, campañas de concientización, fortalecimiento institucional o adquisición de infraestructura crítica, cuando ello sea posible conforme al marco jurídico aplicable.

5. Y todas las acciones de fortalecimiento de la ciberseguridad que el marco normativo permita.

Toda colaboración deberá garantizar el respeto a la soberanía nacional, la protección de datos personales, los derechos fundamentales, y los principios de legalidad, transparencia, proporcionalidad y responsabilidad institucional.

Artículo 16°-. Derogatorias. Se deroga el Decreto Ejecutivo N.° 37052-MICIT "Crea Centro de Respuesta de Incidentes de Seguridad Informática CSIRT-CR" del 9 de marzo de 2012, publicado en el Diario Oficial La Gaceta N.° 72 del 13 de abril de 2012".

Artículo 17°-. Rige a partir de la fecha de su publicación en el Diario Oficial La Gaceta.

Dado en la Presidencia de la República. -San José, a los 16 días del mes de junio del año dos mil veinticinco.