Regulación de la ciberseguridad

Descripción general de los requisitos de garantía de la información (IA)

Una regulación de ciberseguridad comprende directivas que salvaguardan la tecnología de la información y los sistemas informáticos con el propósito de obligar a las empresas y organizaciones a proteger sus sistemas e información de ciberataques como virus , gusanos , caballos de Troya , phishing , ataques de denegación de servicio (DOS) , acceso no autorizado (robo de propiedad intelectual o información confidencial) y ataques al sistema de control . ^[1] Si bien las regulaciones de ciberseguridad tienen como objetivo minimizar los riesgos cibernéticos y mejorar la protección, la incertidumbre que surge de los cambios frecuentes o las nuevas regulaciones puede afectar significativamente las estrategias de respuesta organizacional. ^[1]

Existen numerosas medidas disponibles para prevenir los ciberataques . Las medidas de ciberseguridad incluyen cortafuegos , software antivirus , sistemas de detección y prevención de intrusiones, cifrado y contraseñas de inicio de sesión . ^[2] Ha habido intentos de mejorar la ciberseguridad a través de la regulación y esfuerzos de colaboración entre el gobierno y el sector privado para alentar mejoras voluntarias en materia de ciberseguridad. ^{[1] [2] [3]} Los reguladores de la industria, incluidos los reguladores bancarios , han tomado nota del riesgo de la ciberseguridad y han comenzado o planeado comenzar a incluir la ciberseguridad como un aspecto de los exámenes regulatorios. ^[2]

Investigaciones recientes sugieren que también hay una falta de regulación y aplicación de la ciberseguridad en las empresas marítimas, incluida la conectividad digital entre barcos y puertos. ^[4]

Fondo

En 2011, el Departamento de Defensa de los Estados Unidos publicó una guía llamada Estrategia del Departamento de Defensa para operar en el ciberespacio que articulaba cinco objetivos: tratar el ciberespacio como un dominio operativo, emplear nuevos conceptos defensivos para proteger las redes y sistemas del Departamento de Defensa, asociarse con otras agencias y el sector privado en la búsqueda de una "estrategia de ciberseguridad de todo el gobierno", trabajar con aliados internacionales en apoyo de la ciberseguridad colectiva y apoyar el desarrollo de una fuerza laboral cibernética capaz de una rápida innovación tecnológica. ^[3] Un informe de la GAO de marzo de 2011 "identificó la protección de los sistemas de información del gobierno federal y la infraestructura crítica cibernética del país como un área de alto riesgo para todo el gobierno" y señaló que la seguridad de la información federal había sido designada como un área de alto riesgo desde 1997. A partir de 2003, también se han incluido los sistemas que protegen la infraestructura crítica, llamada protección de la infraestructura crítica cibernética del CIP cibernético. ^[5]

En noviembre de 2013, el Departamento de Defensa presentó la nueva norma de ciberseguridad (78 Fed. Reg. 69373), que imponía ciertos requisitos a los contratistas: cumplimiento de ciertas normas de TI del NIST , notificación obligatoria de incidentes de ciberseguridad al Departamento de Defensa y una cláusula de "transferencia" que aplica los mismos requisitos a los subcontratistas. ^[6]

Un informe del Congreso de junio de 2013 concluyó que había más de 50 estatutos relacionados con el cumplimiento de las normas de ciberseguridad. La Ley Federal de Gestión de Seguridad de la Información de 2002 (FISMA) es uno de los estatutos clave que rigen las normas federales de ciberseguridad. ^[6]

Estados Unidos

Gobierno federal

Existen pocas regulaciones federales de ciberseguridad y las que existen se centran en industrias específicas. Las tres principales regulaciones de ciberseguridad son la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) de 1996, la Ley Gramm-Leach-Bliley de 1999 y la Ley de Seguridad Nacional de 2002 , que incluía la Ley Federal de Gestión de Seguridad de la Información (FISMA). Las tres regulaciones exigen que las organizaciones de atención médica, las instituciones financieras y las agencias federales protejan sus sistemas e información. ^[3] Por ejemplo, la FISMA, que se aplica a todas las agencias gubernamentales, "requiere el desarrollo e implementación de políticas, principios, estándares y pautas obligatorias sobre seguridad de la información". Sin embargo, las regulaciones no abordan numerosas industrias relacionadas con la informática, como los proveedores de servicios de Internet (ISP) y las empresas de software. ^[4] Además, las regulaciones no especifican qué medidas de ciberseguridad deben implementarse y solo requieren un nivel "razonable" de seguridad. El lenguaje vago de estas regulaciones deja mucho espacio para la interpretación. Bruce Schneier , fundador de Counterpane Internet Security de Cupertino, sostiene que las empresas no realizarán inversiones suficientes en ciberseguridad a menos que el gobierno las obligue a hacerlo. ^[5] También afirma que los ciberataques exitosos a los sistemas gubernamentales todavía ocurren a pesar de los esfuerzos del gobierno. ^[6]

Se ha sugerido que la Ley de Calidad de Datos ya otorga a la Oficina de Administración y Presupuesto la autoridad legal para implementar regulaciones de protección de infraestructura crítica mediante el proceso de elaboración de normas de la Ley de Procedimiento Administrativo . La idea no ha sido completamente examinada y requeriría un análisis legal adicional antes de que pudiera comenzar la elaboración de normas . ^[7]

Gobiernos estatales

Los gobiernos estatales han intentado mejorar la ciberseguridad aumentando la visibilidad pública de las empresas con una seguridad débil. En 2003, California aprobó la Ley de Notificación de Violaciones de Seguridad, que exige que cualquier empresa que mantenga información personal de ciudadanos de California y tenga una violación de seguridad debe revelar los detalles del evento. La información personal incluye nombre, número de seguro social , número de licencia de conducir, número de tarjeta de crédito o información financiera. ^[7] Varios otros estados han seguido el ejemplo de California y han aprobado regulaciones similares de notificación de violaciones de seguridad. ^[8] Dichas regulaciones de notificación de violaciones de seguridad castigan a las empresas por sus fallas de ciberseguridad al tiempo que les dan la libertad de elegir cómo proteger sus sistemas. Además, la regulación crea un incentivo para que las empresas inviertan voluntariamente en ciberseguridad para evitar la posible pérdida de reputación y la pérdida económica resultante que puede provenir de un ciberataque exitoso. ^[8]

En 2004, la Legislatura del Estado de California aprobó el Proyecto de Ley 1950 de la Asamblea de California, que también se aplica a las empresas que poseen o mantienen información personal de los residentes de California. La regulación dicta que las empresas deben mantener un nivel razonable de seguridad y que las prácticas de seguridad exigidas también se extienden a los socios comerciales. ^[9] La regulación es una mejora con respecto a la norma federal porque amplía el número de empresas obligadas a mantener un nivel aceptable de ciberseguridad. Sin embargo, al igual que la legislación federal, exige un nivel "razonable" de ciberseguridad, lo que deja mucho margen para la interpretación hasta que se establezca la jurisprudencia. ^[10]

Reglamento propuesto

El Congreso de los Estados Unidos ha propuesto numerosos proyectos de ley que amplían la regulación de la ciberseguridad. La Ley de Notificación y Seguridad de Datos del Consumidor modifica la Ley Gramm-Leach-Bliley para exigir la divulgación de las violaciones de seguridad por parte de las instituciones financieras. Los congresistas también han propuesto "ampliar la Ley Gramm-Leach-Bliley a todas las industrias que manejan información financiera de los consumidores, incluida cualquier empresa que acepte pagos con tarjeta de crédito". ^[11] El Congreso ha propuesto regulaciones de ciberseguridad similares a la Ley de Notificación de Violaciones de Seguridad de California para las empresas que mantienen información personal. La Ley de Protección y Seguridad de la Información exige que los corredores de datos "garanticen la precisión y confidencialidad de los datos, autentifiquen y rastreen a los usuarios, detecten y eviten actividades no autorizadas y mitiguen los posibles daños a las personas". ^[12]

Además de exigir a las empresas que mejoren la ciberseguridad, el Congreso también está considerando proyectos de ley que penalizan los ciberataques. La Ley de Protección Segura Contra el Ciberataque (SPY ACT, por sus siglas en inglés) fue un proyecto de ley de este tipo. Se centró en el phishing y el software espía y fue aprobado el 23 de mayo de 2005 en la Cámara de Representantes de Estados Unidos , pero no prosperó en el Senado . ^[8] El proyecto de ley "hace ilegal el uso no autorizado de un ordenador para tomar el control del mismo, modificar su configuración, recopilar o inducir al propietario a revelar información personal identificable , instalar software no solicitado y manipular el software de seguridad, antispyware o antivirus ". ^[13]

El 12 de mayo de 2011, el presidente estadounidense Barack Obama propuso un paquete de reformas legislativas en materia de ciberseguridad para mejorar la seguridad de los ciudadanos estadounidenses, del gobierno federal y de las infraestructuras críticas. A esto le siguió un año de debates públicos y audiencias en el Congreso, que dieron como resultado que la Cámara de Representantes aprobara un proyecto de ley sobre intercambio de información y que el Senado elaborara un proyecto de ley de compromiso que buscaba equilibrar la seguridad nacional, la privacidad y los intereses comerciales.

En julio de 2012 , los senadores Joseph Lieberman y Susan Collins propusieron la Ley de Ciberseguridad de 2012. ^[14] El proyecto de ley habría requerido la creación de "estándares de mejores prácticas" voluntarios para la protección de la infraestructura clave contra ataques cibernéticos, que se alentaría a las empresas a adoptar mediante incentivos como la protección de responsabilidad. ^[15] El proyecto de ley se sometió a votación en el Senado, pero no se aprobó. ^[16] Obama había expresado su apoyo a la Ley en un artículo de opinión del Wall Street Journal ^[17] , y también recibió el apoyo de funcionarios del ejército y la seguridad nacional, incluido John O. Brennan , el principal asesor antiterrorista de la Casa Blanca. ^{[18] [19]} Según The Washington Post , los expertos dijeron que el fracaso en la aprobación de la ley puede dejar a los Estados Unidos "vulnerable a la piratería generalizada o un ciberataque grave". ^[20] La ley fue rechazada por senadores republicanos como John McCain , quien estaba preocupado de que la ley introdujera regulaciones que no serían efectivas y podrían ser una "carga" para las empresas. ^[21] Después de la votación del Senado, la senadora republicana Kay Bailey Hutchison declaró que la oposición al proyecto de ley no era una cuestión partidista sino que no adoptaba el enfoque adecuado en materia de ciberseguridad. ^[22] La votación del Senado no siguió líneas estrictamente partidistas, ya que seis demócratas votaron en contra y cinco republicanos votaron a favor. ^[23] Entre los críticos del proyecto de ley se encontraban la Cámara de Comercio de Estados Unidos , ^[24] grupos de defensa como la Unión Estadounidense por las Libertades Civiles y la Electronic Frontier Foundation , ^[25] el experto en ciberseguridad Jody Westby y la Heritage Foundation , quienes argumentaron que, aunque el gobierno debe actuar en materia de ciberseguridad, el proyecto de ley tenía fallas en su enfoque y representaba "un papel federal demasiado intrusivo". ^[26]

En febrero de 2013, Obama propuso la Orden Ejecutiva para Mejorar la Ciberseguridad de las Infraestructuras Críticas. Representa la última iteración de la política, pero no se considera una ley porque el Congreso aún no la ha abordado. Busca mejorar las asociaciones público-privadas existentes mejorando la puntualidad del flujo de información entre el DHS y las empresas de infraestructura crítica. Ordena a las agencias federales que compartan las advertencias de inteligencia sobre amenazas cibernéticas con cualquier entidad del sector privado identificada como objetivo. También encarga al DHS que mejore el proceso para acelerar los procesos de autorización de seguridad para las entidades del sector público y privado aplicables, a fin de permitir que el gobierno federal comparta esta información en los niveles adecuados de sensibilidad y clasificación. Ordena el desarrollo de un marco para reducir los riesgos cibernéticos, incorporando las mejores prácticas actuales de la industria y estándares voluntarios. Por último, encarga a las agencias federales involucradas que incorporen protecciones a la privacidad y las libertades civiles de acuerdo con los Principios de Prácticas Justas de Información. ^[9]

En enero de 2015, Obama anunció una nueva propuesta legislativa sobre ciberseguridad. La propuesta se hizo en un esfuerzo por preparar a los EE. UU. ante el creciente número de delitos cibernéticos. En la propuesta, Obama describió tres esfuerzos principales para trabajar hacia un ciberespacio más seguro para los EE. UU. El primer esfuerzo principal enfatizó la importancia de permitir el intercambio de información sobre ciberseguridad. Al permitir eso, la propuesta alentó el intercambio de información entre el gobierno y el sector privado. Eso permitiría al gobierno saber cuáles son las principales amenazas cibernéticas a las que se enfrentan las empresas privadas y luego permitiría al gobierno proporcionar protección de responsabilidad a aquellas empresas que compartieran su información. Además, eso daría al gobierno una mejor idea de lo que necesita protegerse los EE. UU. Otro esfuerzo principal que se enfatizó en esta propuesta fue modernizar las autoridades encargadas de hacer cumplir la ley para que estén mejor equipadas para lidiar adecuadamente con los delitos cibernéticos, brindándoles las herramientas que necesitan para hacerlo. También actualizaría las clasificaciones de los delitos cibernéticos y las consecuencias. Una forma de hacerlo sería tipificar como delito la venta de información financiera en el extranjero. Otro objetivo de la iniciativa es hacer que los delitos cibernéticos sean perseguibles. El último gran esfuerzo de la propuesta legislativa fue exigir a las empresas que informaran a los consumidores sobre las violaciones de datos personales que se hubieran producido. Al exigir a las empresas que lo hagan, los consumidores saben cuándo corren peligro de robo de identidad. ^[10]

En febrero de 2016, Obama desarrolló un Plan de Acción de Seguridad Nacional en materia de Ciberseguridad (CNAP, por sus siglas en inglés). El plan se creó para crear acciones y estrategias a largo plazo en un esfuerzo por proteger a los EE. UU. contra las amenazas cibernéticas. El objetivo del plan era informar al público sobre la creciente amenaza de los delitos cibernéticos, mejorar las protecciones de seguridad cibernética, proteger la información personal de los estadounidenses e informar a los estadounidenses sobre cómo controlar la seguridad digital. Uno de los aspectos más destacados de este plan incluye la creación de una "Comisión para la mejora de la ciberseguridad nacional". El objetivo de esto es crear una Comisión que consista en un grupo diverso de pensadores con perspectivas que puedan contribuir a hacer recomendaciones sobre cómo crear una ciberseguridad más fuerte para el sector público y privado. El segundo aspecto destacado del plan es cambiar la TI del gobierno. La nueva TI del gobierno hará que se pueda implementar una TI más segura. El tercer aspecto destacado del plan es brindar a los estadounidenses conocimientos sobre cómo pueden proteger sus cuentas en línea y evitar el robo de su información personal a través de la autenticación multifactor. El cuarto punto destacado del plan es invertir un 35% más de dinero que el invertido en 2016 en ciberseguridad. ^[11]

Otros esfuerzos gubernamentales

Además de la regulación, el gobierno federal ha intentado mejorar la ciberseguridad asignando más recursos a la investigación y colaborando con el sector privado para redactar normas. En 2003, la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio encargó al Departamento de Seguridad Nacional (DHS) la elaboración de recomendaciones de seguridad y la investigación de soluciones nacionales. El plan exige esfuerzos de cooperación entre el gobierno y la industria "para crear un sistema de respuesta de emergencia a los ciberataques y reducir la vulnerabilidad del país a tales amenazas" ^[27]. En 2004, el Congreso de los EE. UU. asignó 4.700 millones de dólares a la ciberseguridad y a la consecución de muchos de los objetivos establecidos en la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio ^{[28] . Algunos expertos en seguridad de la industria afirman que la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio es un buen primer paso, pero es insuficiente [ 29]} . Bruce Schneier afirmó: "La Estrategia Nacional para la Seguridad del Ciberespacio no ha asegurado nada todavía". ^[30] Sin embargo, la Estrategia Nacional del Presidente establece claramente que el propósito es proporcionar un marco para que los propietarios de sistemas informáticos mejoren su seguridad en lugar de que el gobierno se haga cargo y resuelva el problema. ^[31] Sin embargo, las empresas que participan en los esfuerzos de colaboración delineados en la estrategia no están obligadas a adoptar las soluciones de seguridad descubiertas.

En Estados Unidos, el Congreso está intentando hacer más transparente la información después de que la Ley de Seguridad Cibernética de 2012, que habría creado estándares voluntarios para proteger infraestructuras vitales, no lograra ser aprobada por el Senado. ^[12] En febrero de 2013, la Casa Blanca emitió una orden ejecutiva, titulada "Mejorar la ciberseguridad de infraestructuras críticas", que permite al poder ejecutivo compartir información sobre amenazas con más empresas e individuos. ^{[12] [13]} En abril de 2013, la Cámara de Representantes aprobó la Ley de Intercambio y Protección de Inteligencia Cibernética (CISPA), que exige protección contra demandas dirigidas a empresas que revelen información sobre infracciones. ^[12] La administración Obama dijo que podría vetar el proyecto de ley. ^[12]

India

En vista del ataque cibernético contra el sitio web de la división comercial de la Agencia Espacial de la India , Antrix Corporation, y el programa Digital India del gobierno en 2015, Pavan Duggal , experto en derecho cibernético y abogado de la Corte Suprema de la India , afirmó que "una legislación dedicada a la ciberseguridad es un requisito clave para la India. No basta con incluir la ciberseguridad como parte de la Ley de TI. Tenemos que ver la ciberseguridad no solo desde la perspectiva sectorial, sino también desde la perspectiva nacional". ^[14]

unión Europea

Las normas de ciberseguridad han sido de gran importancia en las empresas actuales impulsadas por la tecnología. Para maximizar sus ganancias, las corporaciones aprovechan la tecnología ejecutando la mayoría de sus operaciones a través de Internet. Dado que existe una gran cantidad de riesgos que implican las operaciones de interconexión de redes, dichas operaciones deben estar protegidas por regulaciones integrales y extensas. Las regulaciones de ciberseguridad existentes cubren diferentes aspectos de las operaciones comerciales y, a menudo, varían según la región o el país en el que opera una empresa. Debido a las diferencias en la sociedad, la infraestructura y los valores de un país, una norma general de ciberseguridad no es óptima para reducir los riesgos. Si bien las normas estadounidenses proporcionan una base para las operaciones, la Unión Europea ha creado una regulación más personalizada para las empresas que operan específicamente dentro de la UE. Además, a la luz del Brexit , es importante considerar cómo ha decidido el Reino Unido adherirse a dichas regulaciones de seguridad.

Tres importantes reglamentos de la UE son la ENISA, la Directiva NIS y el RGPD de la UE, que forman parte de la estrategia del Mercado Único Digital .

En cuanto a las normas, la Ley de Ciberseguridad/Reglamento ENISA no hace referencia directa a las normas. No obstante, ENISA reconoce en su sitio web que "la estrategia de ciberseguridad de la UE subraya el apoyo a una mayor normalización a través de las organizaciones de normalización europeas (CEN, CENELEC y ETSI), así como de la ISO. ^[15] "

Las normas ISO/IEC, así como las normas europeas de CEN, CENELEC y ETSI, pueden utilizarse de forma voluntaria para respaldar los requisitos de la legislación de la UE. Se puede consultar una lista actualizada de las normas ISO/IEC y CEN/CENELEC sobre el tema de la ciberseguridad a través del sitio web de información gratuito y de acceso público Genorma.com. ^[16]

ENISA

La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es un organismo regulador creado originalmente por el Reglamento (CE) n.º 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, con el fin de aumentar la seguridad de las redes y de la información (SRI) para todas las operaciones de interconexión de redes en la UE. Actualmente, ENISA funciona de conformidad con el Reglamento (UE) n.º 526/2013, ^[17] que sustituyó al reglamento original en 2013. ENISA trabaja activamente con todos los Estados miembros de la UE para proporcionar una variedad de servicios. El enfoque de sus operaciones se centra en tres factores:

• Recomendaciones a los Estados miembros sobre el curso de acción en caso de violaciones de seguridad
• Apoyo a la formulación y aplicación de políticas para todos los estados miembros de la UE
• Apoyo directo a ENISA adoptando un enfoque práctico para trabajar con equipos operativos en la UE ^[18]

La ENISA está formada por un consejo de administración que cuenta con el apoyo del director ejecutivo y del Grupo Permanente de Partes Interesadas. Sin embargo, la mayor parte de las operaciones están a cargo de los jefes de los distintos departamentos. ^[19]

ENISA ha publicado varias publicaciones que cubren todos los temas importantes en materia de ciberseguridad. Las iniciativas pasadas y actuales de ENISA incluyen la Estrategia de la UE para la Nube, Estándares Abiertos en Tecnologías de la Información y las Comunicaciones, una Estrategia de Ciberseguridad de la UE y un Grupo de Coordinación de Ciberseguridad. ENISA también trabaja en colaboración con organizaciones internacionales de normalización existentes como la ISO y la UIT . ^[20]

Directiva NIS

El 6 de julio de 2016, el Parlamento Europeo convirtió en política la Directiva sobre seguridad de las redes y sistemas de información ( Directiva NIS ). ^[21]

La directiva entró en vigor en agosto de 2016 y todos los estados miembros de la Unión Europea recibieron 21 meses para incorporar las regulaciones de la directiva a sus propias leyes nacionales. ^[22] El objetivo de la Directiva NIS es crear un nivel general más alto de ciberseguridad en la UE. La directiva afecta significativamente a los proveedores de servicios digitales (DSP) y operadores de servicios esenciales (OES). Los operadores de servicios esenciales incluyen cualquier organización cuyas operaciones se verían muy afectadas en el caso de una violación de seguridad si participan en actividades sociales o económicas críticas. Tanto los DSP como los OES ahora son responsables de informar incidentes de seguridad importantes a los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). ^[23] Si bien los DSP no están sujetos a regulaciones tan estrictas como los operadores de servicios esenciales, los DSP que no están establecidos en la UE pero aún operan en la UE aún enfrentan regulaciones. Incluso si los DSP y los OES subcontratan el mantenimiento de sus sistemas de información a terceros, la Directiva NIS aún los hace responsables de cualquier incidente de seguridad. ^[24]

Los Estados miembros de la UE deben crear una estrategia de directiva NIS, que incluya a los CSIRT, además de las Autoridades Nacionales Competentes (NCA) y los Puntos Únicos de Contacto (SPOC). A estos recursos se les asigna la responsabilidad de gestionar las violaciones de la ciberseguridad de una manera que minimice el impacto. Además, se alienta a todos los Estados miembros de la UE a compartir información sobre ciberseguridad. ^[25]

Los requisitos de seguridad incluyen medidas técnicas que gestionan los riesgos de violaciones de la ciberseguridad de manera preventiva. Tanto los DSP como los OES deben proporcionar información que permita una evaluación en profundidad de sus sistemas de información y políticas de seguridad. ^[26] Todos los incidentes significativos deben notificarse a los CSIRT. Los incidentes significativos de ciberseguridad se determinan por el número de usuarios afectados por la violación de seguridad, así como por la duración del incidente y el alcance geográfico del incidente. ^[26] Se está elaborando un NIS 2. ^[27]

Solo 23 Estados miembros han aplicado plenamente las medidas contenidas en la Directiva NIS. No se han iniciado procedimientos de infracción contra ellos para hacer cumplir la Directiva, y no se espera que se inicien en un futuro próximo. ^[28] Esta aplicación fallida ha dado lugar a la fragmentación de las capacidades de ciberseguridad en toda la UE, con diferentes normas, requisitos de notificación de incidentes y requisitos de cumplimiento aplicados en los distintos Estados miembros.

Ley de ciberseguridad de la UE

La Ley de Ciberseguridad de la UE establece un marco de certificación de la ciberseguridad para productos, servicios y procesos digitales en toda la UE. Complementa la Directiva NIS. ENISA desempeñará un papel clave en la creación y el mantenimiento del marco europeo de certificación de la ciberseguridad. ^[29]

RGPD UE

El Reglamento General de Protección de Datos (RGPD) de la UE entró en vigor el 14 de abril de 2016, pero la fecha de entrada en vigor actual está fijada para el 25 de mayo de 2018. ^[30] El RGPD tiene como objetivo establecer un estándar único de protección de datos entre todos los estados miembros de la UE. Los cambios incluyen la redefinición de las fronteras geográficas. Se aplica a las entidades que operan en la UE o tratan los datos de cualquier residente de la UE. Independientemente de dónde se procesen los datos, si se procesan los datos de un ciudadano de la UE, la entidad ahora está sujeta al RGPD. ^[31]

Las multas también son mucho más estrictas bajo el RGPD y pueden ascender a 20 millones de euros o al 4% de la facturación anual de una entidad, lo que sea mayor. ^[31] Además, como en regulaciones anteriores, todas las violaciones de datos que afecten los derechos y libertades de las personas que residen en la UE deben revelarse en un plazo de 72 horas.

El órgano superior, el Comité de Protección de Datos de la UE, EDP, es responsable de toda la supervisión establecida por el RGPD.

El consentimiento desempeña un papel fundamental en el RGPD. Las empresas que poseen datos de ciudadanos de la UE ahora también deben ofrecerles el derecho a no compartir sus datos con la misma facilidad con la que lo hicieron cuando dieron su consentimiento. ^[32]

Además, los ciudadanos también pueden restringir el tratamiento de los datos almacenados sobre ellos y pueden optar por permitir que las empresas almacenen sus datos pero no los procesen, lo que crea una clara diferenciación. A diferencia de las regulaciones anteriores, el RGPD también restringe la transferencia de datos de un ciudadano fuera de la UE o a un tercero sin el consentimiento previo del ciudadano. ^[32]

La Directiva NIS 2

El 16 de enero de 2023, el Parlamento Europeo y el Consejo adoptaron la Directiva 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva SRI). Esta nueva Directiva tiene por objeto ampliar el alcance de las obligaciones de las entidades que deben adoptar medidas para aumentar sus capacidades de ciberseguridad. La Directiva también tiene por objeto armonizar el enfoque de la UE en materia de notificaciones de incidentes, requisitos de seguridad, medidas de supervisión e intercambio de información. ^[33]

La Ley de Resiliencia Operativa Digital (DORA)

La DORA crea un marco regulatorio sobre resiliencia operativa digital, en virtud del cual todas las empresas deben asegurarse de que pueden resistir, responder y recuperarse de todo tipo de perturbaciones y amenazas relacionadas con las TIC. Estos requisitos son homogéneos en todos los Estados miembros de la UE. El reglamento se aplicará a partir del 17 de enero de 2025 para las entidades financieras pertinentes y los proveedores de servicios externos de TIC. ^[34]

Ley de Ciberresiliencia

La Ley de Ciberresiliencia (CRA) es un reglamento propuesto el 15 de septiembre de 2022 por la Comisión Europea que describe estándares comunes de ciberseguridad para productos de hardware y software en la UE. ^{[35] [36] [37]}

Países individuales de la UE

República de Irlanda

La Ley de Justicia Penal (Delitos Relacionados con los Sistemas de Información) de 2017 se introdujo en mayo de 2017 para consolidar las leyes sobre delitos informáticos. ^{[38] [39]}

Reacciones

Si bien los expertos coinciden en que es necesario mejorar la ciberseguridad, hay desacuerdo sobre si la solución es más regulación gubernamental o más innovación del sector privado.

Apoyo

Muchos funcionarios gubernamentales y expertos en ciberseguridad creen que el sector privado no ha logrado resolver el problema de la ciberseguridad y que es necesaria una regulación. Richard Clarke afirma que "la industria solo responde cuando se amenaza con una regulación. Si la industria no responde [a la amenaza], hay que seguir adelante". ^[32] Cree que se debe obligar a las empresas de software a producir programas más seguros. ^[33] Bruce Schneier también apoya la regulación que alienta a las empresas de software a escribir códigos más seguros mediante incentivos económicos. ^[34] El representante estadounidense Rick Boucher ( demócrata por Virginia ) propone mejorar la ciberseguridad haciendo que las empresas de software sean responsables de las fallas de seguridad en su código. ^[35] Además, para mejorar la seguridad del software, Clarke cree que ciertas industrias, como las de servicios públicos y los ISP, requieren regulación. ^[36]

Oposición

Por otra parte, muchos ejecutivos y lobistas del sector privado creen que una mayor regulación limitará su capacidad para mejorar la ciberseguridad. Harris Miller, lobista y presidente de la Asociación de Tecnología de la Información de Estados Unidos , cree que la regulación inhibe la innovación. ^[37] Rick White, ex abogado corporativo y presidente y director ejecutivo del grupo de presión TechNet, también se opone a una mayor regulación. Afirma que "el sector privado debe seguir siendo capaz de innovar y adaptarse en respuesta a nuevos métodos de ataque en el ciberespacio y, con ese fin, elogiamos al presidente Bush y al Congreso por ejercer moderación regulatoria". ^[38]

Otra razón por la que muchos ejecutivos del sector privado se oponen a la regulación es que es costosa e implica la supervisión gubernamental de las empresas privadas. A las empresas les preocupa tanto que la regulación reduzca sus ganancias como que limite su flexibilidad para resolver el problema de la ciberseguridad de manera eficiente.

En particular, en torno a la CRA, se ha expresado preocupación por la amplitud del impacto de las organizaciones de software libre y de código abierto más importantes: Eclipse Foundation , Internet Society y Python Software Foundation . Estas organizaciones plantean varias consecuencias que no se mencionan en la regulación y que, según concluyen, dañan fundamentalmente el movimiento de código abierto. Proponen cambios que permitirían que el código abierto se utilice en la UE sin estar regulado de la misma manera que lo estarían los desarrolladores de software comercial. ^{[40] [41] [42] [43]}

Véase también

• Centro de Coordinación CERT
• Normas de seguridad cibernética
• Ley de intercambio de información sobre ciberseguridad
• Contraseña predeterminada
• Aseguramiento de la información
• Lista de violaciones de datos
• Secuestro de dispositivos médicos
• División Nacional de Seguridad Cibernética
• Estrategia nacional para la seguridad del ciberespacio
• Directiva presidencial
• Defensa cibernética proactiva
• Equipo de preparación para emergencias informáticas de los Estados Unidos
• Departamento de Seguridad Nacional de los Estados Unidos

Notas

1. ^ "Una cronología de las violaciones de datos denunciadas desde el incidente de ChoicePoint". (2005). Consultado el 13 de octubre de 2005.
2. ^ "Proyecto de ley sobre el centro de información sobre privacidad electrónica: Seguimiento de la privacidad, la expresión y las libertades civiles en el 109.º Congreso" (2005). Consultado el 23 de octubre de 2005.
3. ^ "Cómo funcionan los virus informáticos". (2005). Consultado el 10 de octubre de 2005.
4. ^ "La estrategia nacional para proteger el ciberespacio Archivado el 27 de febrero de 2012 en Wayback Machine ." (2003). Consultado el 14 de diciembre de 2005.
5. ^ "Aviso de violación de seguridad – artículos 1798.29 y 1798.82 – 1798.84 del código civil". 2003). Consultado el 23 de octubre de 2005.
6. ^ "Entrevista a Richard Clarke" (2003). Consultado el 4 de diciembre de 2005.
7. ^ Gordon, LA, Loeb, MP, Lucyshyn, W. y Richardson, R. (2005). "Encuesta sobre delitos informáticos y seguridad del CSI/FBI de 2005". Consultado el 10 de octubre de 2005.
8. ^ Heiman, BJ (2003). La regulación de la ciberseguridad ya está aquí. Conferencia de seguridad RSA , Washington, DC. Consultado el 17 de octubre de 2005.
9. ^ Kirby, C. (4 de diciembre de 2003). "El foro se centra en la ciberseguridad". San Francisco Chronicle.
10. ^ Lemos, R. (2003). "Bush revela el plan final de ciberseguridad". Consultado el 4 de diciembre de 2005.
11. ^ Menn, J. (14 de enero de 2002). "Las fallas de seguridad pueden ser una trampa para Microsoft". Los Angeles Times, pp. C1.
12. ^ Rasmussen, M. y Brown, A. (2004). "La ley de California establece el deber de cuidado en materia de seguridad de la información". Consultado el 31 de octubre de 2005.
13. ^ Schmitt, E., Charron, C., Anderson, E. y Joseph, J. (2004). "What Proposed Data Laws Will Mean for Marketers" (Lo que las leyes de datos propuestas significarán para los especialistas en marketing). Consultado el 31 de octubre de 2005.
14. ^ Jennifer Rizzo. (2 de agosto de 2012) "Proyecto de ley sobre ciberseguridad fracasa en el Senado". Consultado el 29 de agosto de 2012.
15. ^ Paul Rosenzweig. (23 de julio de 2012) "Ley de Ciberseguridad de 2012: el proyecto de ley revisado sobre ciberseguridad aún tiene problemas". The Heritage Foundation. Consultado el 20 de agosto de 2012.
16. ^ Ed O'Keefe y Ellen Nakashima. (2 de agosto de 2012) "Proyecto de ley sobre ciberseguridad fracasa en el Senado". The Washington Post. Consultado el 20 de agosto de 2012.
17. ^ Alex Fitzpatrick. (20 de julio de 2012) "Obama da su visto bueno al nuevo proyecto de ley sobre ciberseguridad". Mashable. Consultado el 29 de agosto de 2012.
18. ^ Brendan Sasso. (4 de agosto de 2012) "Tras la derrota del proyecto de ley sobre ciberseguridad del Senado, Obama sopesa la opción de una orden ejecutiva". The Hill. Consultado el 20 de agosto de 2012.
19. ^ Jaikumar Vijayan. (16 de agosto de 2012) "No hay una lucha partidista por el proyecto de ley de ciberseguridad, afirma un senador republicano". Computerworld. Consultado el 29 de agosto de 2012.
20. ^ Carl Franzen. (2 de agosto de 2012) "A medida que el proyecto de ley sobre ciberseguridad fracasa en el Senado, los defensores de la privacidad se alegran". TPM. 29 de agosto de 2012.
21. ^ Alex Fitzpatrick. (2 de agosto de 2012) "El proyecto de ley sobre ciberseguridad se estanca en el Senado". Mashable. Consultado el 29 de agosto de 2012.
22. ^ Jody Westby (13 de agosto de 2012) "El Congreso debe volver a estudiar legislación cibernética". Forbes. Consultado el 20 de agosto de 2012.

Referencias

1. Kianpour, Mazaher; Raza, Shahid (2024). "Más que malware: desenmascarando el riesgo oculto de las regulaciones de ciberseguridad". Revista Internacional de Derecho de la Ciberseguridad . 5 : 169–212. doi : 10.1365/s43439-024-00111-7 . hdl : 11250/3116767 .
2. "Cibernética: piense en el riesgo, no en la TI" (PDF) . pwc.com . Práctica regulatoria de servicios financieros de PwC, abril de 2015.
3. "Estrategia del Departamento de Defensa para operar en el ciberespacio" (PDF) .
4. Hopcraft, Rory (2018). "Regulación eficaz de la ciberseguridad marítima: argumentos a favor de un código cibernético". Revista de la región del océano Índico . 14 (3): 354–366. doi :10.1080/19480881.2018.1519056. S2CID  158311827.
5. Schooner, Steven L.; Berteau, David J. (1 de marzo de 2012). Cuestiones emergentes de política y práctica (2011) . Rochester, NY: Red de investigación en ciencias sociales. SSRN  2014385.
6. Schooner, Steven; Berteau, David (1 de enero de 2014). "Problemas emergentes de política y práctica". Facultad de Derecho de GW Publicaciones y otros trabajos .
7. "¿Ya tienen las agencias la autoridad para emitir regulaciones de protección de infraestructura crítica?" . Consultado el 27 de diciembre de 2016 .
8. "Ley de protección segura contra intrusiones cibernéticas (2005; 109.° Congreso HR 29) – GovTrack.us". GovTrack.us .
9. "Orden ejecutiva: mejora de la ciberseguridad de las infraestructuras críticas". whitehouse.gov . 12 de febrero de 2013 – vía Archivos Nacionales .
10. "SEGURIDAD DEL CIBERESPACIO: el presidente Obama anuncia una nueva propuesta legislativa sobre ciberseguridad y otras iniciativas en materia de ciberseguridad". whitehouse.gov . 2015-01-13 . Consultado el 2017-08-06 – a través de Archivos Nacionales .
11. "HOJA INFORMATIVA: Plan de acción nacional sobre ciberseguridad". whitehouse.gov . 2016-02-09 . Consultado el 2017-08-06 – a través de Archivos Nacionales .
12. "El secreto obstaculiza la batalla por la web". Financial Times . 7 de junio de 2013 . Consultado el 12 de junio de 2013 .
13. "Orden ejecutiva: mejora de la ciberseguridad de las infraestructuras críticas". La Casa Blanca . Oficina del Secretario de Prensa. 12 de febrero de 2013. Consultado el 12 de junio de 2013 .
14. "Se necesita una legislación específica para la ciberseguridad: Pavan Duggal – Express Computer". Express Computer . 31 de agosto de 2015.
15. "Estándares". Sitio web de ENISA .
16. "Lista de estándares de ciberseguridad". GENORMA.COM .
17. "L_2013165ES.01004101.xml". eur-lex.europa.eu . Consultado el 8 de marzo de 2017 .
18. "Acerca de ENISA — ENISA". www.enisa.europa.eu . Consultado el 8 de marzo de 2017 .
19. "Estructura y organización — ENISA" www.enisa.europa.eu . Consultado el 8 de marzo de 2017 .
20. Purser, Steve (2014). "Estándares para la seguridad cibernética". En Hathaway, Melissa E. (ed.). Mejores prácticas en defensa de redes informáticas: detección y respuesta a incidentes . Serie Ciencia para la paz y la seguridad de la OTAN - D: Seguridad de la información y las comunicaciones. Vol. 35. IOS Press. doi :10.3233/978-1-61499-372-8-97. ISBN 978-1-61499-372-8.
21. «Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión». EUR Lex . 19 de julio de 2016 . Consultado el 26 de abril de 2018 .
22. "Directiva sobre seguridad de las redes y sistemas de información (Directiva NIS)". Mercado Único Digital . Consultado el 12 de marzo de 2017 .
23. "La Directiva sobre seguridad de las redes y la información: ¿quién entra y quién sale?". The Register . 7 de enero de 2016 . Consultado el 12 de marzo de 2017 .
24. "Directiva NIS publicada: los Estados miembros de la UE tienen poco menos de dos años para implementarla - Informe de protección de datos". Informe de protección de datos . 2016-07-21 . Consultado el 2017-03-12 .
25. "Acuerdo alcanzado sobre la Directiva de seguridad de la información y las redes (NIS) de la UE | Deloitte Luxembourg | Technology | Insight". Deloitte Luxembourg . Archivado desde el original el 2018-03-02 . Consultado el 2017-03-12 .
26. "La Directiva sobre seguridad de la información y las redes se implementará en el Reino Unido a pesar del voto del Brexit, confirma el gobierno". www.out-law.com . Consultado el 12 de marzo de 2017 .
27. "la directiva NIS 2". digitaleurope.org . Consultado el 29 de septiembre de 2021 .
28. "Seguimiento de la implementación del NIS".
29. "Ley de ciberseguridad de la UE" . Consultado el 6 de diciembre de 2019 .
30. "Página de inicio del RGPD de la UE". Portal del RGPD de la UE . Consultado el 12 de marzo de 2017 .
31. "Cambios clave en el Reglamento general de protección de datos". Portal del RGPD de la UE . Consultado el 12 de marzo de 2017 .
32. "Descripción general del Reglamento general de protección de datos (RGPD)". ico.org.uk . 2017-03-03 . Consultado el 2017-03-12 .
33. "Directiva NIS2". eur-lex.europa.eu . Consultado el 27 de marzo de 2023 .
34. "Ley de Resiliencia Operativa Digital (DORA)". eiopa.europa.eu/ . Consultado el 27 de marzo de 2024 .
35. Bertuzzi, Luca (16 de septiembre de 2021). «El jefe de la UE anuncia una ley de ciberseguridad para los dispositivos conectados». www.euractiv.com . Consultado el 30 de enero de 2023 .
36. "Por qué una política cibernética clara es fundamental para las empresas". Financial Times . 2022-11-09 . Consultado el 2023-01-30 .
37. "La UE lanza una ley cibernética para solucionar los problemas de la Internet de las cosas". POLITICO . 2022-09-15 . Consultado el 2023-01-30 .
38. Reidy, Diane (15 de abril de 2019). "Away in a hack" (Ausente en un coche de alquiler). Law Society of Ireland (Sociedad de Derecho de Irlanda ). Consultado el 19 de febrero de 2024 .
39. Finlay, Adam; Hughes, Ruth. "iclg.com > Áreas de práctica > Ciberseguridad > Irlanda". iclg.com . Consultado el 20 de febrero de 2024 .
40. Milinkovich, Mike. "Ley de Ciberresiliencia: buenas intenciones y consecuencias no deseadas". Blog de la Fundación Eclipse . Director ejecutivo de la Fundación Eclipse . Consultado el 11 de abril de 2023 .
41. Kolkman, Olaf (24 de octubre de 2022). "La propuesta de ley de ciberresiliencia de la UE dañará el ecosistema de código abierto". The Internet Society . Director de Internet Technology, Policy, and Advocacy de The Internet Society . Consultado el 11 de abril de 2023 .
42. Nicholson, Deb (11 de abril de 2023). "La ley CRA propuesta por la UE puede tener consecuencias no deseadas para el ecosistema Python". Blog de la Python Software Foundation . Python Software Foundation . Consultado el 11 de abril de 2023 .
43. Milinkovic, Mike (16 de enero de 2023). «Ley europea de ciberresiliencia: impacto potencial en la Fundación Eclipse». Blog de la Fundación Eclipse . Consultado el 11 de abril de 2023 .