Instituciones del Estado deberán cumplir con controles reforzados en contrataciones de seguridad

.- Con el objetivo de orientar a la ciudadanía y precisar los alcances de la reciente Resolución núm. DGCP-DG-02-2026, la Dirección General de Contrataciones Públicas (DGCP) informó este miércoles que dicha normativa busca establecer lineamientos estrictos de integridad y seguridad de la información en las contrataciones públicas vinculadas a la seguridad nacional, así como el control de riesgos del Sistema Electrónico de Contrataciones Públicas (SECP).

Mediante una nota de prensa, la institución explicó que la medida responde a la necesidad de garantizar la integridad y seguridad de los datos en los procesos de compras públicas, asegurando la transparencia, la trazabilidad y un control efectivo del gasto.

Ante las interpretaciones de algunos medios, el órgano rector aclaró que las contrataciones relacionadas con la seguridad nacional requieren controles reforzados debido a la sensibilidad de la información, la importancia crítica de los bienes involucrados y los riesgos asociados.

La DGCP explicó que esta resolución solo aplica a las contrataciones que involucran bienes o servicios destinados a la defensa, inteligencia o seguridad del Estado, así como a tecnologías digitales, infraestructuras críticas o sistemas de información estratégicos que representan un vector de riesgo para la seguridad nacional. De no contar con controles adecuados, podrían introducir vulnerabilidades, dependencias tecnológicas o accesos indebidos que comprometan la soberanía digital del Estado.

Para mitigar estos riesgos, la resolución se fundamenta en la Ley 1-26, del 9 de enero de 2026, la cual establece que la Dirección Nacional de Inteligencia (DNI) debe contribuir a la seguridad de los sistemas de tecnología de la información de la administración pública que procesen información electrónica.

Asimismo, el DNI tiene el deber legal de velar por la adecuada identificación, acceso y salvaguarda de la información y de los sistemas estatales considerados de alto interés para la seguridad nacional.

En este esfuerzo coordinado, el Instituto Criptográfico Nacional (ICN), creado mediante el Decreto núm. 612-24 como dependencia de la DNI, asume la responsabilidad de coordinar la acción de los órganos del Estado que utilicen medios o procedimientos de cifrado, garantizar la seguridad de las tecnologías de la información en ese ámbito y actuar como organismo de certificación y acreditación para el acceso a información clasificada.

Para asegurar la robustez del sistema, la Resolución DGCP-DG-02-2026 impone obligaciones transversales a todas las entidades del Estado, las cuales deben adoptar medidas técnicas y organizativas para proteger la confidencialidad e integridad de la información en los procesos de compras.

Asimismo, garantizarán que los datos en el Sistema Electrónico de Contrataciones Públicas cuenten con mecanismos de cifrado, trazabilidad y auditoría. También tendrán la obligación de reportar incidentes de ciberseguridad al Centro Nacional de Ciberseguridad (CNCS) y al ICN, así como de implementar mecanismos de monitoreo continuo en coordinación con el CNCS, especialmente en infraestructuras críticas.

Para estos procesos específicos, la normativa exige que las instituciones contratantes obtengan una certificación técnica previa del ICN, sean objeto de monitoreo basado en riesgos mediante mecanismos automatizados definidos por la DGCP y dispongan de un informe de integridad técnica y estratégica antes de la adjudicación.

Finalmente, la DGCP aseguró que esta colaboración entre la DGCP, la DNI y sus dependencias: el ICN, el CNCS y la División de Investigación de Delitos Informáticos (DIDI), es esencial para fortalecer la seguridad de la información y la integridad de los procesos de contratación pública relacionados con los intereses estratégicos de la nación.