El marco legal de ciberseguridad en Costa Rica: panorama y retos actuales

Costa Rica no cuenta aún con una ley específica de ciberseguridad comparable a la Ley 21.663 chilena o la NIS2 europea. Sin embargo, dispone de un conjunto de normas sectoriales, políticas públicas y una estrategia nacional que configuran un marco regulatorio en construcción que las organizaciones que operan en el país deben conocer y anticipar.

La principal norma de referencia en materia de protección de datos y privacidad digital es la Ley 8968, la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, aprobada en 2011. Aunque no es una ley de ciberseguridad pura, establece obligaciones sobre la seguridad de los datos personales que tienen implicaciones directas sobre las medidas técnicas que deben implementar las organizaciones.

La Estrategia Nacional como hoja de ruta

En 2023, Costa Rica aprobó su Estrategia Nacional de Ciberseguridad 2023-2027, un documento que define los objetivos, las prioridades y las instituciones responsables de elevar el nivel de ciberseguridad del país. Esta estrategia, impulsada en parte como respuesta al devastador ataque de Conti en 2022, sienta las bases para la futura regulación formal.

Para las empresas que operan en Costa Rica, el consejo es claro: no esperar a que llegue la ley. La experiencia de otros países demuestra que cuando la regulación llega, los plazos son cortos y las organizaciones que no han avanzado se encuentran en una situación comprometida. Construir capacidades de seguridad ahora es siempre más eficiente que hacerlo bajo presión regulatoria.

Las empresas que construyen capacidades de seguridad antes de que llegue la regulación llegan con ventaja cuando los plazos aprietan. Blindara ofrece vigilancia continua en español adaptada al contexto de las empresas costarricenses.