Sitio

Buscar resultados

por Elena F Pérez Carrillo

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

el 20 septiembre, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button

La gestión de la seguridad cibernética  se percibe, cada vez más, como parte integrante de las medidas de buen gobierno exigidas a las empresas.

Venimos dando cuenta en este Blog, y en algunos otros foros, de la creciente relevancia de los riesgos cibernéticos en el diseño, valoración y en su caso, sanciones (ver esta entrada), en materia de gobierno corporativo. Los asuntos que aquí se presentan brevemente son objeto de atención en modo más amplio en el contexto del Congreso Latinoamericano INTELIGENCIA ARTIFICIAL Y ECONOMÍA DIGITAL: desafíos jurídicos y económicos  (13 al 15 octubre 2021) y  en una publicación ya en imprenta de la que se dará cuenta.

Guías, orientaciones y previsiones normativas del Regulador de Valores de EEUU en relación con la ciberseguridad 
Regulación prevista

Conforme a la Agenda Regulatoria de primavera de 2021 de la SEC,  el Supervisor de Valores de EEUU está en vías de formular nuevas reglas que afectarán de lleno a las obligaciones de gobierno corporativo de las empresas y en concreto, a la divulgación de riesgos de seguridad cibernética. Se prevé que las mencionadas propuestas vean formalmente la luz en octubre de 2021. Estos trabajos toman base en las Orientaciones sobre Ciberseguridad  de la SEC (febrero 2018) en las que ya se vinculaba el cumplimiento de distintas obligaciones de transparencia sobre riesgos de ciberseguridad con el buen gobierno. Incluso antes,  en 2011 la División de Finanzas Corporativas de la SEC había publicado una Guía preliminarsobre estas cuestiones.

La Agenda ReEgFlez mencionada,  ya apunta a octubre de 2021 como la fecha límite para la emisión de una propuesta. (Vea esta publicación de PubCo  de 14.06.2021). En el actual entorno en el que se conoce la abundancia y dureza de  ataques cibernéticos y la posibilidad de infección por ransomware,  es más que posible que la SEC pueda proponer enmiendas a sus Rules  de transparencia para mejorar las divulgaciones de los emisores con respecto a la gobernanza del riesgo de ciberseguridad.

 

Sanabria

Antecedentes. La Guía de la SEC de 2018 sobre divulgación de informaciones relativas a la seguridad cibernética

Con anterioridad, la  Guía de la SEC de 2018  sobre divulgación de seguridad cibernética abordó las obligaciones de divulgación al amparo del ordenamiento vigente, que incluía procedimientos, políticas y estrategias para el control de la seguridad, entendida en un sentido amplio, prohibiciones de aprovechar información privilegiada, o de difundir datos selectivamente, entre otros.

  • La Guía mencionada señala que los incidentes de ciberseguridad pueden ser el resultado de eventos no intencionales, pero también de ataques deliberados, y que pueden ser realizados por personas con información privilegiada, o por terceros.
  • Con respecto a las políticas, controles y procedimientos de ciberseguridad, la SEC alentó en 2018 a las empresas a adoptar y evaluar periódicamente el cumplimiento de políticas y procedimientos integrales relacionados con la ciberseguridad, en particular con los controles y procedimientos de divulgación. Además, instaba a las empresas a evaluar si sus controles y procedimientos de divulgación eran suficientemente precisos y adecuados como para localizar información sobre los riesgos e incidentes de ciberseguridad, y también para difundir el conocimiento de esos riesgos entre la alta jerarquía corporativa para permitir que la alta dirección adopte decisiones.
    • Conforme a la Guía mencionada (de 2018), los controles y procedimientos corporativos deben permitir a las empresas identificar los riesgos e incidentes de ciberseguridad, evaluar y analizar su impacto en el negocio de una empresa, evaluar la importancia asociada con dichos riesgos e incidentes, proporcionar comunicaciones abiertas entre expertos técnicos y asesores de divulgación. Deben ser adecuadas para realizar divulgaciones oportunas sobre dichos riesgos e incidentes.
    • Los controles también deben permitir que la información se comunique al personal correspondiente, para facilitar el cumplimiento de las políticas de uso de información privilegiada.
  • Por otro lado, y ya de lleno en consideraciones propias del Gobierno Corporativo clásico (y de las obligaciones de transparencia relacionadas), dado que las notificaciones que los principales ejecutivos, el CEO y el CFO están obligados a emitir  en sus informes periódicos al supervisor  abordan la efectividad de los controles corporativos, la SEC adelantaba en su Guía de 2018 que estas certificaciones deberían tener en cuenta la idoneidad de los controles y procedimientos para identificar los riesgos e incidentes de ciberseguridad.
  • Con respecto a la divulgación, la Guía de 2018 ya señalaba que incluso en ausencia de exigencias de divulgación especificadas normativamente en relación con los riesgos e incidentes de ciberseguridad:
      • La obligación de divulgar tales riesgos se entendería implícita -dependiendo de las circunstancias particulares de cada entidad- en el conjunto de obligaciones de transparencia (declaraciones ante la SEC, informes periódicos, informes anuales, etc.).
      • Conforme a la Regla 10b-5  (y disposiciones similares) las entidades sometidas a la supervisión de la SEC están obligadas a valorar si sus divulgaciones proporcionan todos los hechos materiales, y en ese sentido, incluir en ellas las cuestiones relativas a ciberseguridad que deban considerarse «materiales» para evitar que el conjunto de la declaración resulte engañosa. En ese sentido, el Supervisor estadounidense alentó a las empresas a utilizar el Formulario 8-K para informar al supervisor y al mercado también sobre los costos y otras consecuencias de los incidentes materiales de ciberseguridad.
        • En relación con esta Guía y con los futuros desarrollo que se produzcan en torno a la obligación de comunicar riesgos e incidentes cibernéticos, debemos llamar la atención sobre la dificultad de determinar si la divulgación sobre los riesgos e incidentes de ciberseguridad es necesaria. En este sentido, el Supervisor de mercados estadounidense recordaba que las empresas generalmente sopesan, entre otras cosas, la materialidad potencial de cualquier riesgo identificado. Pues bien, en el caso de incidentes cibernético, la valoración de si resultan «materiales» debe realizarse a la luz de la importancia de la información comprometida, propiamente dicha,  y también del impacto (actual o probable) del incidente sobre las operaciones de la empresa. Y, este ejercicio, que se realiza ya en otros ámbitos que son susceptibles de generar riesgos y que ya son objeto de comunicación al Supervisor, ha de contemplarse también en el ámbito de los riesgos cibernéticos.
              • La SEC señaló que el  caso Basic v. Levinson,  en el que se articuló la teoría jurisprudencial de «fraude al mercado» y que sirve de pauta  sobre la probabilidad de que se deriven  daños relevantes, sigue siendo una parte relevante del análisis. Debe recordarse que en esta importante sentencia federal se revisaron los estándares de materiality, tomando en cuenta otra decisión previa (especialmente la de TSC Industries, Inc. v. Northway, Inc., que señala que en relación con la transparencia exigida a las empresas supervisadas «un hecho es material si existe una probabilidad sustancial de que un accionista «razonable» lo consideraría importante a la hora de decidir su voto» ,  pauta que se viene utilizando como referencia para el cumplimiento y la supervisión de las obligaciones de transparencia derivadas del artículo  § 10(b) de la Securities Exchange Act y la Rule 10b-5 de la SEC.
              • La SEC también advirtió que la importancia relativa de los riesgos o incidentes de seguridad cibernética depende de su naturaleza, alcance y magnitud potencial, particularmente en lo que respecta a cualquier información comprometida para la actividad de la entidad o para sus operaciones. En ese sentido, la SEC subrayó que la información comprometida «podría incluir información de identificación personal, secretos comerciales u otra información comercial confidencial, cuya materialidad puede depender de la naturaleza del negocio, así como del alcance de la información comprometida». Y, que la materialidad “también depende del rango de daño o daños que los incidentes sean susceptibles de causar», y que abarcan desde daños reputacionales, daños financieros, hasta otros derivados de las relaciones con los clientes y proveedores  y con el incremento en la posibilidad de litigios, investigaciones o de que la empresa vaya a quedar sometida a investigaciones (o sanciones) por parte de las autoridades.

Como ya es conocido en otros ámbitos, la SEC advirtió a las empresas que «eviten la divulgación genérica» (ahora relacionada con la ciberseguridad) y les instó a que proporcionen información específica que sea útil para los inversores.

Aunque se espera que las empresas «revelen los riesgos e incidentes de ciberseguridad que son importantes para los inversores, incluidas las consecuencias financieras, legales o de reputación concomitantes», la SEC dejó en claro que no se espera que proporcionen detalles o información técnica específica sobre posibles vulnerabilidades del sistema que puedan comprometer la seguridad del emisor.

Para obtener más información sobre la guía de la SEC, consulten esta publicación de PubCo  (18 febrero 2018) y esta  alerta de Cooley .

 

Comunicaciones con el sector financiero sobre la necesidad de mayor transparencia de riesgos cibernéticos

Ox

A fines de 2018, según lo  informado  el 13.11.2018 por el  WSJ , el entonces Chief accountant  de la  Securities and Exchange Commission’s Corporation Finance Division, , Kyle Moffatt, en su intervención en la importantísima conferencia sectorial, FEI, «Current Financial Reporting Issues Conference», instó a las empresas a alinear sus prácticas de divulgación con la guía de divulgación de ciberseguridad de la SEC, citando en particular la necesidad de abordar un debate de calado sobre riesgos de supervisión, el papel de  la junta, los controles y los procedimientos internos de divulgación de datos e informaciones y las  políticas de uso de información privilegiada en el contexto de la ciberseguridad. Además, advirtió que “la clave más importante es asegurarse de que existan procedimientos para asegurarse de que la información se brinde a todos los niveles de la gestión empresarial,  para que todos estén al tanto de lo que sucedió y para que los problemas se pueden abordar. ‘”(Consulte esta publicación de PubCo  de 14 noviembre 2014).

Estas declaraciones son, no sólo sintomáticas, sino que reflejan en buena medida la posición del sector.

 

 

 

Sin Comentarios »

por Elena F Pérez Carrillo

Gobierno corporativo y ciberseguridad. Sanciones  de la SEC por faltas de gestión y de transparencia de riesgos de ciberseguridad en  EEUU

el 15 septiembre, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button

La División de Sanciones (enforcement) de la SEC está dotada de competencias para supervisar el cumplimiento de los deberes de transparencia de los emisores sometidos a su control. Al amparo de esa competencia, el supervisor estadounidense  de valores y mercados viene abordando, recientemente, medidas de control sobre la ciberseguridad en las empresas y la transparencia en relación con los riesgos derivados de fallos en los mecanismos de seguridad, o consecuencia de ataques.

En algunos casos, la intervención pública vinculada a fallas en la seguridad cibernética de determinadas entidades se ha traducido en  la imposición de sanciones por faltar, los emisores, a la obligación de revelar los riesgos a los que se ven sometidos en el sentido de (no) incluir entre ellos los relacionados con su seguridad cibernética. En este sentido, el supervisor utiliza el concepto de «fallos en el control de riesgos» o el de «no revelar riesgos» para fundamentar jurídicamente su intervención.

A modo de ejemplo veamos el asunto «FAFC» decidido en 2021 donde se identifican un conjunto de malas prácticas internas y externas en  First American Financial Corporation, que se salda con una sanción de $487,616:

  • El 15 de junio de 2021, la SEC anunciaba una sanción  de $487,616  contra First American Financial Corporation (FAFC). El montante de esta multa se calculó teniendo en cuenta que la sancionada se avino a cesar en las conductas que dieron lugar a la infracción, y por lo tanto se adoptó una cease and desist order. De no haber mediado tal actitud el montante hubiera sido más elevado
    • Como antecedentes de hecho,  el 24 de mayo de 2014 un periodista había comunicado a la FAFC que había verificado un fallo en la aplicación llamada «EAGLEPRO» que esa entidad utilizaba para compartir imágenes de documentos. El problema afectaba a 800 millones de imágenes de documentos digitalizados entre 2003 y 2014. Se daba la circunstancia de que algunas de las imágenes afectadas incluían datos personales sensibles, tales como números de la seguridad social, informaciones financieras y otros datos personales de sus respectivos titulares. El mismo día en que recibió la mencionada comunicación, la FAFC hizo público un comunicado de prensa alertando sobre la situación. Y, tan sólo 4 días después, es decir el día 28 de mayo, presentó a la SEC el formulario previsto para notificar riesgos, el llamado «FORM-8-K» que dio lugar a una investigación por parte del supervisor.
      • En el curso de sus investigaciones, la SEC averiguó que  el conjunto de problemas que se habían identificado, hechos públicos y notificados se debían a malas prácticas internas que recaen en el núcleo de la gobernanza corporativa.
        • Por una parte, si bien los fallos de seguridad eran conocidos en las instancias técnicas de la FAFC, la alta dirección de FAFC no había sido informada sobre algunas cuestiones fundamentales relativas al alcance y gravedad del problema. Por tanto, no fue posible incluir a tiempo tales fallos y riesgos en las notificaciones periódicas exigidas para cumplir plenamente con sus deberes de transparencia, y también por ello la notificación a la SEC del 28 de mayo de 2018 la comunicación reglamentaria mediante el FORM-8-K había sido tardía.
        • Por otra parte, como los altos ejecutivos y el consejo de de FAFC desconocían que la vulnerabilidad en cuestión había sido localizada tiempo atrás por parte del personal especializado en seguridad, no se había procedido a su corrección. Ello daba lugar a la prolongación y agravamiento de sus efectos.
        • Además, el Supervisor averiguó que se habían producido incumplimientos en los procedimientos de calidad aprobados en el plano interno por la FAFC.
          • En efecto, las imágenes de documentos incluidos en el repositorio de la compañía que contenían información personal no pública debían haber estado etiquetadas mediante procesos automatizados que asignarían una leyenda de seguridad, de modo que sólo  podrían transmitirse a través de paquetes seguros que requerían la verificación de la contraseña por parte del destinatario de la información empaquetada. Pero en realidad, el proceso de etiquetado se realizó manualmente y, según pudo observarse en un análisis interno de 2018, decenas de millones de imágenes de documentos se clasificaron erróneamente.
          • Por otra parte,  un fallo técnico en 2014 había permitido a los usuarios alterar los dígitos en una URL para ver otras imágenes de documentos a las que no deberían haber tenido acceso.
          • También, ciertas imágenes transmitidas a través de paquetes no seguros se almacenaron en motores de búsqueda disponibles públicamente.

La imposición de sanciones derivadas de incidentes cibernéticos abre la cuestión de la base jurídica de las mismas. Pues bien, el supervisor de valores norteamericano se basó  en este asunto en una normativa clásica en la regulación de las obligaciones de transparencia sobre riesgos de las entidades cotizadas: las Rule 13a-15(a) que exigen que las entidades obligadas a emitir información al mercado “mantengan controles y procedimientos de divulgación diseñados para garantizar que la información que debe divulgar un emisor en los informes que presenta en cumplimiento de la SEA de 1934 y otras leyes se registra, procesa, resume e informa dentro de los períodos de tiempo especificados en las reglas y formularios de la SEC «. Es decir, la sanción se apoyó jurídicamente en el ordenamiento sectorial de valores sin necesidad de contar con disposiciones normativas específicamente relacionadas con la ciberseguridad.

Palencia. San Antonio

Con anterioridad, en el año 2018 Yahoo!., Inc.  fue sancionada en otro expediente de la SEC que le obligó a satisfacer  $ 35 millones. La SEC resolvió  que Yahoo! Inc. había actuado engañosamente frente a sus inversores al no revelar que había sido objeto de una de las violaciones de datos más graves del mundo, en la que los piratas informáticos sustrajeron datos personales relacionados con cientos de millones de cuentas de usuario.

  • En este caso, también el supervisor acusó a la tecnológica de no haber establecido controles de seguridad de información adecuados, y de haber incurrido en malas prácticas en la divulgación de información y notificación a la autoridad de mercados sobre los riesgos que le afectaban como empresa y que tenían impacto en el mercado y en sus inversores. También se le acusó de que sus controles de transparencia fueron defectuosos.
  • Fundamentando su resolución sancionadora, la SEC  consideró probado que, a fines de 2014, Yahoo había conocido una violación cibernética masiva por parte de piratas informáticos asociados con la Federación de Rusia,  valorando que afectó a más de 500 millones de cuentas de usuario (robos de datos, accesos no autorizados, sustracción de cientos de millones de datos de sus clientes, entre ellos nombres de usuario, fechas de nacimiento y números de teléfono).
  • La Resolución de la SEC en este caso estableció que  «La alta gerencia y el personal competente no evaluaron adecuadamente el alcance, el impacto comercial o las implicaciones legales de la infracción, incluido cómo y dónde debería haberse comunicado en las difusiones públicas de Yahoo o si el hecho de la infracción se podría traducir en publicidad engañosa … Además, los equipos legales y de alta gerencia de Yahoo no compartieron información sobre la violación con los auditores de Yahoo o abogados externos para evaluar las obligaciones de divulgación de la compañía… Yahoo no mantuvo controles y procedimientos de divulgación diseñados para garantizar que los informes del equipo de seguridad de la información de Yahoo que plantean incidentes reales de robo de datos de usuario o el riesgo significativo de robo de datos de usuario, recibiesen la debida atención… 
  • Añadió el supervisor que cuando dos años más tarde, ya en septiembre de 2016, la compañía emitió un comunicado de prensa en el que revelaba la violación de datos, comunicado que adjuntó como anexo a un Formulario 8-K dirigido a la SEC en aquel momento, la cotización y valor en bolsa de Yahoo descendió en casi  $ 1.3 mil millones en un día, lo que dejaba claro el grave impacto de la noticia (ocultada  durante dos años) sobre los inversores. Más sobre este asunto aquí 

Los anteriores asuntos permiten establecer que, sin perjuicio de que se está avanzando en Estados Unidos en desarrollos regulatorios específicos en el ámbito de la ciberseguridad, la práctica supervisora ya ha decantado la aplicación al ámbito tecnológico y de ciberseguridad de los controles de transparencia respecto de fallos en la ciberseguridad.

 

Más sobre estas cuestiones:

 

Etiquetas: , Sin Comentarios »

por Elena F Pérez Carrillo

Software crítico en el sector público. Orden Ejecutiva sobre Ciberseguridad del Presidente Biden y su desarrollo

el 30 junio, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad

PDF Button

Según lo solicitado en la Orden Ejecutiva de Ciberseguridad («EO») del 12 de mayo de 2021 publicada por la Administración de Biden ( aquí ), el National Institute for Standards and Technology, NIST ha publicado su definición de «software crítico» dentro del plazo de 45 días que establecía la OE. Esta definición de «software crítico» representa un requisito, conforme a la OE, para dotar de seguridad a la cadena de suministro de software, especialmente en lo relativo a los proveedores de servicios para el ejecutivo Federal de Estados Unidos. Eventualmente, se reflejará en un  futuro Reglamento Federal de Adquisiciones obligatorio para los proveedores de software. Como es sabido, los documentos sobre seguridad del NIST acaban constituyendo una referencia de definiciones y estándares en todo el mundo, y muy especialmente en el ámbito de la ciberseguridad.

Acrobacias 2015

acrobacias2015

La definición de NIST de «software crítico» como se establece en su documento técnico publicado el 25 de junio de 2021 incluye a cualquier software  que influye directamente sobre otro software o sobre componentes de otro software («dependencias directas» y cuenta con al menos uno de estos atributos:

  • está diseñado para ejecutarse con permisos o privilegios o para administrar privilegios;
  • tiene acceso directo o privilegiado a redes o recursos informáticos;
  • está diseñado para controlar el acceso a datos o tecnología operativa;
  • realiza una función fundamental para los servicios «críticos de confianza»; o,
  • opera fuera de los límites de confianza normales, con acceso privilegiado.

El documento técnico especifica además, que  esa definición se aplica a software muy variado, como software independiente, software integral para dispositivos o componentes de hardware específicos, software basado en la nube; y tanto cuando ha sido adquirido por compra como cuando es desarrollado en sistemas de producción y utilizado para fines operativos. Sin embargo,  cuando se trata de software utilizado únicamente para investigación o pruebas , es decir, que no se implementa en sistemas de producción, estaría fuera del alcance de esta definición.

By M.A. Díaz

NIST proporciona también información sobre cuestiones terminológicas de la propia definición. Por ejemplo las «Dependencias directas sobre otro software” significa, para un componente o producto dado, “otros componentes de software (por ejemplo, bibliotecas, paquetes, módulos) que están directamente integrados y son necesarios para el funcionamiento de la instancia de software en cuestión. No incluye las interfaces y servicios de lo que de otra manera serían productos independientes «. En cuanto a «Crítico para la confianza» significa «categorías de software utilizadas para funciones de seguridad como control de red, seguridad de punto final y protección de red».

El documento técnico, destinado principalmente a los contratistas con la administración federal,  también ofrece un cuadro que explica cada categoría de software que considera «crítico para la EO», así como una lista de preguntas frecuentes (FAQ) y respuestas. Las categorías de software enumeradas en la tabla de NIST incluyen los destinados a gestión de identidades, credenciales y acceso (ICAM), los sistemas operativos, hipervisores, entornos de contenedores, los navegadores web, el software de control y protección de red, supervisión y configuración de redes, seguimiento y análisis operativos, copias de seguridad, almacenamiento remiro, entre otros.

 

 

Etiquetas: , Sin Comentarios »

por Elena F Pérez Carrillo

Medidas para mejorar la ciberseguridad en las empresas

el 21 junio, 2021 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button

A medida que se multiplican los ciberataques a empresas, y que los efectos de tales incidentes son más graves, la reflexión relativa a los ciber-incidentes es más intensa. Van surgiendo sugerencias y recomendaciones expertas relativas prácticas corporativas internas y externas (respecto de proveedores, clientes, y otros con quienes interrelacionan en el curso de su actividad)

NYC_by Jara IPM

  • Desde el punto de vista de las relaciones de las empresas con terceros, se han sugerido ya algunas orientaciones tendentes a minimizar los riesgos derivados del entorno digital. Entre ellas, la revisión de sus prácticas contractuales para adaptar las definiciones y alcance de las exclusiones de responsabilidad pactadas. Estas prácticas son especialmente relevantes en sectores como el  del transporte de viajeros. ;   o en las empresas de transporte y distribución energética, por mencionar algunos de los que recientemente han sufrido grandes pérdidas, o han visto su actividad totalmente paralizada como consecuencia de ciberataques (sirva de ejemplo el ataque a Colonial Pipeline, y  los eventos de 6 de mayo de 2021). También son importantes para la gestión pública de infraestructuras y servicios que, al igual que el sector privado, han sufrido importantes ataques cibernéticos (véase los que afectaron a varias ciudades de Texas en 2019).

 

  • Otro conjunto de prácticas recomendadas para la prevención de riesgos cibernéticos consiste  en la contratación, mantenimiento y actualización de seguros contra ciberriesgos cuyo alcance y coberturas pueden variar sustancialmente. Pueden cubrir gran variedad de riesgos como la seguridad de elementos físicos susceptibles de recibir daños materiales fruto de una intervención ilícita en los sistemas digitales de la empresa; daños derivados de pérdidas de datos (y los relativos a los gastos necesarios para recuperarlos), pasando por la contratación de expertos que van desde la recuperación de datos electrónicos hasta el análisis experto del ataque, y la defensa en el caso (probable) de que se interpongan litigios contra el asegurado después de un ciberataque, o que éste decida interponerlos.  Hoy, las prácticas comerciales prudentes hacen que la contratación de seguros contra ciber-riesgos sea fundamental, hasta el punto de que la ausencia de esta cobertura puede, en si misma dar lugar a acusaciones de falta de diligencia por parte de los administradores.

 

NYC_by Jara IPM. One Trade Center Tower

  • Continuando en esta enumeración, la contratación de expertos externos especializados en la prevención y control de los ciberataques se considera una buena práctica. Los especialistas en ciberseguridad desempeñan un papel importante para minimizar la exposición, para detectar y supervisar los riesgos así como para establecer protocolos de seguridad de la infraestructura de información de una empresa. Como buena práctica, la contratación de estos expertos es también interesante como defensa en caso de litigio derivado de un ciberataque, en el sentido de que la empresa afectada puede aportar, a su favor, que sus protocolos estaban supervisados por expertos.

 

  • No es menos relevante, que la entidad cuente con profesionales cualificados en su seno como el CISO –Chief Information Security Officer- o el CSO, Chief Security Officer , o el CIO Chief information Officer, figuras que se van introduciendo en la práctica, en los estándares de seguridad como NIST o ISO, y van penetrando el ámbito normativo positivo.  En este sentido, recordamos algunas entradas anteriores en este blog,  como la relativa al Responsable de Información (exigido a las administraciones conforme al Esquema Nacional de Seguridad y también a ciertas empresas que contratan con la administración), que debe ser una figura distinta del Responsable de Seguridad y también del Responsable del Servicio en los términos del Real Decreto 3/2010. O el Responsable de Seguridad de la Información en los Operadores de Servicios esenciales, conforme al Real Decreto 41/2021) Como ya anunciábamos, estas figuras de altos ejecutivos se van haciendo habituales en la práctica  y han sido reforzadas mediante su inclusión en estándares de ciberseguridad como los NIST e ISO (familia 2700), y en recomendaciones de los CERN nacionales.

 

 

 

Etiquetas: , Sin Comentarios »

por Elena F Pérez Carrillo

Certificados de ciberseguridad en la UE. Gobernanza y competencias en el nuevo marco europeo de certificación

el 18 enero, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button

El Reglamento (UE) 2019/881 establece en sus arts. 46 y siguientes un marco europeo de certificación de la ciberseguridad para mejorar el funcionamiento del mercado interior.

 

Travellers’ Guide!

Conforme al art 46.2 del Reglamento 2019/881, el marco europeo de certificación de la ciberseguridad define un mecanismo destinado a instaurar esquemas (sistemas) europeos de certificación de la ciberseguridad y a confirmar que los productos, servicios y procesos de TIC que hayan sido evaluados con arreglo a dichos esquemas cumplen los requisitos de seguridad especificados con el objetivo de proteger la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o las funciones o servicios que ofrecen, o a los que permiten acceder, dichos productos, servicios y procesos durante todo su ciclo de vida.

  • LOS ESQUEMAS EUROPEOS DE CERTIFICACIÓN DE LA CIBERSEGURIDAD SON, EN PRINCIPIO, VOLUNTARIOS, SALVO QUE SE INDIQUE LO CONTRARIO EN UNA NORMA DE LA UE, sustituyen a los análogos nacionales hasta la expiración de éstos últimos: Se orientan a la consecución de diversos objetivos de seguridad, como la protección de datos almacenados, transmitidos o procesados; categorizan el nivel de seguridad de los productos, servicios y procesos de TIC como «básico», «sustancial» o «elevado»; permiten que los fabricantes y proveedores de productos, servicios y procesos de TIC de bajo riesgo (es decir, «básicos») los evalúen ellos mismos («autoevaluación de la conformidad»); obligan a los fabricantes a incluir ciertas características, como una descripción precisa del propósito, el objeto y el alcance, así como los criterios de evaluación y los métodos empleados.

LA COMISIÓN EUROPEA:

    • publicará un programa de la UE de trabajo evolutivo en materia de certificación europea de la ciberseguridad en el que se identificarán las prioridades estratégicas y los productos, servicios y procesos (o categorías) de TIC que podrían beneficiarse de un esquema de certificación;
    • podrá solicitar a ENISA que prepare una propuesta de sistema de certificación o que evalúe uno existente.
    • evaluará periódicamente la eficacia y el uso de los esquemas de certificación adoptados y considerará si procede que alguno de ellos adquiera carácter obligatorio;
    • completará su primera evaluación detallada a más tardar el 31 de diciembre de 2023 y, posteriormente, cada dos años;
    • evaluará el impacto, la eficacia y la efectividad de ENISA a más tardar el 28 de junio de 2024 y, posteriormente, cada cinco años.

 

LOS PAÍSES DE LA UE:

  • Deben designar a una o más AUTORIDADES NACIONALES DE CERTIFICACIÓN DE LA CIBERSEGURIDAD  para controlar, supervisar y velar por la aplicación de las normas de los esquemas o sistemas europeos de certificación
  • Deben abstenerse de autorizar nuevos sistemas nacionales de certificación cuando ya exista un esquema europeo; si bien los sistemas (o esquemas) existentes, se mantienen en vigor hasta

ENISA:

    • Prepara proyectos de sistemas de certificación a petición de la Comisión o del GECC;
    • Evalúa cada sistema de certificación adoptado cada 5 años;
    • Mantiene un sitio web específico para facilitar información sobre los sistemas, los certificados y las declaraciones de conformidad.

 

Vidrieras Catedral Pristina

LOS FABRICANTES Y PROVEEDORES DE PRODUCTOS, SERVICIOS Y PROCESOS DE TIC CERTIFICADOS:

  • Deben publicar orientaciones y recomendaciones para que los usuarios finales puedan instalar, aplicar y mantener sus productos o servicios; así como el período para el que ofrecen asistencia en materia de seguridad, sus datos de contacto y referencias a repositorios en línea con información sobre asuntos conocidos de seguridad que afecten a sus productos o servicios.

LAS PERSONAS FÍSICAS Y JURÍDICAS:

    • tienen derecho a presentar una reclamación ante el responsable de expedir un certificado europeo de ciberseguridad y a recurrir a la tutela judicial efectiva a partir de la entrada en vigor de los artículos correspondientes de ese Reglamento, el 21.junio 2021 (el Reglamento no afecta a las responsabilidades de los países de la UE en materia de seguridad pública, defensa, seguridad nacional y Derecho penal)

Etiquetas: Sin Comentarios »

por Elena F Pérez Carrillo

ENISA, la (renovada) Agencia Europea de Ciberseguridad

el 15 enero, 2021 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button
El Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 (Reglamento sobre la Ciberseguridad) (DO L 151 de 7.6.2019, pp. 15-69),  renueva el mandato de la Agencia Europea de Ciberseguridad, (de forma permanente a partir del 27 . 06. 2019)

 

ENISA está situada en Heraclitón, Grecia  desde 2004. Su misión es contribuir a la política cibernética de la UE, mejorar la confiabilidad de los productos, servicios y procesos de TIC fomentando la puesta en marcha de sistemas de certificación de ciberseguridad. Coopera con los Estados miembros para impulsar la resiliencia de la infraestructura de la Unión, así como para mantener la seguridad digital en la UE.

Las tareas de ENISA son, más concretamente:

  • contribuir al desarrollo y a la ejecución del Derecho de la UE en materia de ciberseguridad;
  • promover la creación de capacidades, la mejora de la prevención, la detección y el análisis de ciberamenazas,  así como de la respuesta a las mismas
  • apoyar el desarrollo de equipos de respuesta a incidentes de seguridad informática (CSIRT) y a la organización de ejercicios de ciberseguridad a escala de la UE;
  • apoyar la cooperación operativa de la UE, especialmente mediante su equipo de respuesta a emergencias informáticas de la UE (CERT-UE), que apoya el el intercambio de conocimientos y de mejores prácticas para el  mantenimiento de las redes de la UE y los CSIRT nacionales;
  • apoyar y promover el desarrollo y la ejecución de certificados de ciberseguridad de la UE para productos, servicios y procesos de TIC, en el marco de un nuevo marco europeo de certificación de la ciberseguridad;
  • recoger y analizar datos e información sobre ciberseguridad, especialmente sobre tecnologías emergentes, ciberamenazas e incidentes;
  • sensibilizar al público sobre los riesgos relacionados con la ciberseguridad, facilitar buenas prácticas para usuarios individuales y promover la concienciación y la educación en general en materia de ciberseguridad;
  • asesorar sobre necesidades y prioridades de investigación y contribuir a la agenda estratégica de la UE en materia de innovación e investigación de ciberseguridad;
  • contribuir a la  cooperación de la UE en el plano internacional.

La estructura administrativa y de gestión de ENISA está integrada por:

  • un Consejo de Administración con 1 representante de cada país de la UE y 2 miembros designados por la Comisión Europea, que establece la dirección general de las actividades de la agencia;
  • un Comité Ejecutivo de 5 miembros que prepara las decisiones que adoptará el Consejo de Administración;
  • un Director Ejecutivo independiente, que da cuenta de su gestión al Consejo de Administración e informa al Parlamento Europeo y al Consejo cuando así se le solicita, es el responsable de gestionar la agencia;
  • un Grupo Consultivo de ENISA, compuesto por expertos reconocidos procedentes de la industria de las TIC, proveedores de servicios o redes de comunicaciones electrónicas, pymes, consumidores, académicos, y operadores de servicios esenciales, y también por representantes de las autoridades competentes recogidas en la Directiva (UE) 2018/1972 por la que se establece el Código Europeo de las Comunicaciones Electrónicas, organizaciones de normalización y autoridades de supervisión policial y de protección de datos, que se centra en asuntos de interés para las partes interesadas y los ponen en conocimiento de ENISA;
  • una red de funcionarios de enlace nacionales que consta de representantes de todos los países de la UE y que facilita el intercambio de información entre estos y ENISA, a la que apoya en la difusión de sus actividades, conclusiones y recomendaciones.
  • el Reglamento  configura ahora además un Grupo de las Partes Interesadas sobre Certificación de la Ciberseguridad, (GPICC)  compuesto por expertos de reconocido prestigio, que se encarga de asesorar a la Comisión en asuntos estratégicos relativos al marco de certificación de la UE en materia de ciberseguridad y a ENISA, si así lo solicita, sobre asuntos generales y estratégicos relativos a las labores pertinentes de la agencia; y un Grupo Europeo de Certificación de la Ciberseguridad (GECC), compuesto por representantes nacionales, que se encarga de asistir a la Comisión en sus tareas para garantizar la coherencia en la ejecución y la aplicación del Reglamento, y a ENISA en lo concerniente a la preparación de posibles esquemas de certificación de la ciberseguridad.

ENISA ha firmado acuerdos con los organismos Europeos de Normalización (CEN, CENELEC, ETSI) y colaborará con ellos

Etiquetas: , , , Sin Comentarios »

por Elena F Pérez Carrillo

Ciberseguridad en el sector financiero. Propuesta DORA: Actualidad en la UE

el 10 abril, 2020 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

PDF Button

 DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE

En abril de 2019, las Autoridades Europeas de Supervisión habían recomendado a la Comisión Europea que propusiera mejoras específicas en el marco regulador financiero de la UE para desarrollar una normativa única de regulación y supervisión para la resistencia operativa de las TIC en el sector financiero. Sobre tal base principal, la Comisión Europea abrió un periodo de consultas sobre este documento (DIGITAL OPERATIONAL RESILIENCE FRAMEWORK FOR FINANCIAL SERVICES: MAKING THE EU FINANCIAL SECTOR MORE SECURE). El periodo de consultas  estuvo abierto desde 19.03.2019 hasta 19.03.2020.

En particular, la Comisión recabó opiniones sobre: 1) requisitos sobre la gestión de los riesgos de seguridad y las TIC en el acervo legislativo aplicable al sector financiero, 2) requisitos de notificación de incidentes, 3) marco de pruebas de resiliencia operativa digital y 4) supervisión de los proveedores de terceros de TIC a las instituciones financieras.

De entre las respuestas recibidas, destacamos la de la Asociación Europea de Servicios Financieros (AFME), aqui.

Destacamos de esta respuesta:

NYC_by Jara IPM. One Trade Center Tower

  • En relación con la seguridad la AFME se muestra proclive a seguir utilizando los instrumentos desarrollados por la industria, como el Perfil de Seguridad Cibernético del Sector de Servicios Financieros (FSSCP) para comparar los marcos de seguridad utilizados actualmente y establecer las mejores prácticas en lugar de recurrir, como parece deducirse de la consulta, a legislación específica sobre Objetivos de Tiempo de Recuperación (OTR) y  Objetivos de Punto de Recuperación (OPR) , que a juicio de AFME se desviarían del enfoque basado en principios e incluso puede exacerbar el riesgo de un incidente cibernético .
  • Sobre notificaciones, La AFME reconoce que existe un riesgo cada vez mayor de que proliferen los requisitos de notificación de incidentes en las empresas, lo que incrementa su carga administrativa y desvía a las entidades del objetivo de mitigar riesgos, por lo que recomienda estudiar la forma de apoyar mecanismos eficientes de presentación de informes únicos para satisfacer distintos objetivos. También recomienda que se analicen modos en que las autoridades puedan agregar y compartir información entre ellas y con la industria para aumentar la eficiencia, en lugar de introducir requisitos nuevos o que compitan entre sí. En relación con los test de seguridad, AFME se manifiesta conforme con las propuestas de la Comisión para desarrollar un marco coherente de pruebas en todo el sector financiero, y pide una guía coherente también para el reconocimiento mutuo de estas pruebas por parte de los supervisores.
  • En relación con requisitos estrictos que las entidades puedan verse obligadas a aplicar a terceras partes, la AFME advierte contra la cualquier cambio inmediato sobre la forma en que las empresas de servicios financieros gestionan  la subcontratación a terceros proveedores de TIC, y se apoya en la experiencia adquirida por las entidades, señalando además que cualquier marco normativo debería ser adoptado a nivel mundial para evitar poner barreras a la innovación o crear fragmentación regulatoria.
  • En relación con otras áreas donde la acción de la UE sea necesaria, la AFME apoyaría medidas para compartir información y experiencias en el sector financiero, y más en concreto apunta al intercambio de evaluaciones sobre cómo se ha aplicado el paquete normativo NIS en los distintos Estados y en las diferentes instituciones. Apunta además AFME a que,  estas medidas en ningún caso deben generar riesgos contrarios a la protección de datos personales y confidenciales en particular en zonas grises como pueden ser metadatos conducentes a la identificación de adquisiciones ilícitas.

 

Etiquetas: , Sin Comentarios »

por Elena F Pérez Carrillo

Ciberseguridad de infrastructuras energéticas. Situación en los países de la UE.

el 13 noviembre, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad

PDF Button
Damos noticia del Informe sectorial sobre  ciberseguridad en las infraestructuras de energía y más concretamente de las medidas nacionales que se han ido poniendo en marcha al amparo del  articulo 5 de la Directiva 1148/2018 o Directiva NIS en relación con los OPERADORES DE SERVICIOS ESENCIALES,  en energía: Sectorial implementation of the NIS Directive in the Energy sector ( Report -CG Publication 03/2019 ) Oct 2019

 

Cabanas, 2016

Se trata de un documento elaborado por la Autoridad de Energía de Austria, la Comisión Europea y ENISA, en el marco del GRUPO DE COOPERACIÓN NIS. Da repaso a la incorporación nacional al Régimen de Operadores de Servicios Esenciales conforme a NIS, en lo relativo a las entidades públicas o privadas  de uno de los tipos que figuran en el anexo II-1 de la Directiva (Operadores de Servicios Esenciales del sector de la energía). En esta primera etapa de aplicación de NIS, no es cuestión poco relevante la propia identificación de los sectores a los que debe aplicarse

 

a) Electricidad:

  • Empresas eléctricas, tal como se definen en el artículo 2,punto 35, de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo. Son empresas que efectúan la función de «suministro» definida en el artículo 2, punto 19, de dicha Directiva.
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/72/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/72/CE.

b) Crudo

  • Operadores de oleoductos de transporte de crudo.
  • Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

c) Gas

  • Empresas suministradoras, tal como se definen en el artículo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo
    y del Consejo
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/73/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/73/CE.
  • Gestores de almacenamiento, tal como se definen en el artículo 2, punto 10, de la Directiva 2009/73/CE.
  • Gestores de la red de GNL, tal como se definen en el artículo 2, punto 12, de la Directiva 2009/73/CE.
  • Compañías de gas natural, tal como se definen en el artículo 2, punto 1, de la Directiva 2009/73/CE.
  • Gestores de las instalaciones de refinado y tratamiento de gas natural  que reúna los criterios establecidos en el artículo 5, apartado 2;

(recuérdese que en los relativo a los OSE la Directiva permite una ampliación nacional de su consideración. Así, en España se unen también los operadores de servicios esenciales que dependan de las redes de información en los sectores contemplados en la Ley 8/2011 de infraestructuras críticas)

Hamburgo. Ayuntamiento. Epc

El informe incluye información sobre los modelos de gobernanza elegidos en cada país y las mejores prácticas a nivel nacional. Presenta las capacidades de ciberseguridad de las asociaciones, organizaciones y organismos de la UE con un papel en el sector energético. Además, proporciona una visión general de los diferentes esquemas de colaboración público-privada en los países miembros de la UE.  De conformidad con la Recomendación de la Comisión de 3.4.2019 sobre ciberseguridad en el sector energético , el documento apoya a los Estados miembros a abordar las especificidades del sector energético en materia de ciberseguridad: requisitos de seguridad en tiempo real, efectos en cascada, estado de la técnica etc. Más específicamente, el informe aporta un interesante «mapeo» de los contenidos de la Recomendación de la Comisión en relación con los estándares internacionales (por ejemplo, ISO) y las buenas prácticas.

Dado que la Recomendación requiere que los Estados miembros comuniquen información sobre su aplicación a la Comisión, a través del Grupo de Cooperación NIS (dentro de los 12 meses de su adopción), este documento será útil como modelo o plantilla para los informes.

Junto a este informe del Grupo de Cooperación NIS cabe mencionar trabajos previos que también resultan de importancia como

Relacionado:

Etiquetas: , , , Sin Comentarios »

por Elena F Pérez Carrillo

IV Jornadas Nacionales de Derecho y Ciberseguridad en la Facultad de Derecho de León.

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

PDF Button

IV JORNADAS NACIONALES DE DERECHO Y CIBERSEGURIDAD

 

Organizadas por la Universidad de León y el Instituto Nacional de Ciberseguridad, INCIBE, la Facultad de Derecho de León acoge los días 24 y 25 de octubre las IV Jornadas de Derecho y Ciberseguridad, coordinadas por el Secretario General de INCIBE Don Francisco Pérez Bes, y por la Profesora  Dra. Dña Isabel Durán Seco.

(más información en idurs@unileon.es)

La calidad de los ponentes, la experiencia en materia de Ciberseguridad y Derecho de la Universidad de acogida y del INICIBE, y destacadamente, la labor constante, focalizada, intensa de los coordinadores de estas Jornadas Nacionales, que son además el alma del Máster Universitario en Derecho de la Ciberseguridad y Entorno Digital , auguran el éxito de esta IV edición.

Pulcra leonina

Las IV Jornadas Nacionales de Ciberseguridad y Derecho se inician el miércoles 24 de octubre, a las 16:00 h en el Palacio de Congresos y Exposiciones de León:

 

  • Contará esta sesión inaugural con la intervención de D. CARLOS KUCHKOVSKY  (12 ENISE – C7; CTO de Nuevos Negocios Digitales de BBVA) con la ponencia «Más allá de las criptomonedas. Potencial del blockchain e implicaciones en ciberseguridad» y otras disertaciones  que sin duda incrementarán el interés del aforo como la de D. FÉLIX ARTEAGA (12 ENISE – C8) Investigador principal del Real Instituto Elcano sobre «Nuevos retos en ciberseguridad: la amenaza híbrida» ,  o la del Dr. D. PABLO GARCÍA MEXIA Vicepresidente del Capítulo Español de Internet Society, «La Internet abierta«.
  • Entre las actividades previstas incluyen las mesas redondas compuestas por especialistas, entre las que tenemos la honra de contar con Doña ANA DEL SER, Presidenta de la Audiencia Provincial de Leónmiembro del GID DerMerUle y Profesora de Derecho Mercantil de la ULE ;  y DOÑA MARÍA TRAPERO, acreditada catedrática y profesora titular de Derecho Penal de la ULE que debatirán en torno a las «Obligaciones del empresario en la implantación de medidas. Su responsabilidad»,

 

El jueves 25 de octubre las IV Jornadas Nacionales  de Ciberseguridad y Derecho se trasladarán al Salón de Grados de la Facultad de Derecho de la Universidad de León:

El aforo a estas Jornadas es limitado, pero puede obtenerse información en el correo de inscripciones idurs@unileon.es

Desde DerMerUle, felicitamos a l@s organizadores, animamos a los inscritos y recomendamos la asistencia a cuantos estén interesados en las perspectivas de presente y futuro de la perspectiva jurídica del entorno cibernético.

 

 

Etiquetas: , , , Sin Comentarios »

por Elena F Pérez Carrillo

Ciberseguridad y entorno digital

el 30 septiembre, 2018 en

PDF Button

Recursos relativos a ciberseguridad, empresas y (principalmente) Derecho Mercantil

I.- Legislación básica

 

II Recursos legislativos (y propuestas prelegislativas) específicos

Aspectos institucionales de la ciberseguridad y certificaciones
  • Reglamento (UE) 2021/887 del Parlamento Europeo y del Consejo, de 20 de mayo de 2021, por el que se establecen el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación
  • Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación y por el que se deroga el Reglamento (UE) n.o 526/2013 («Reglamento sobre la Ciberseguridad»)
  • Documento de trabajo de la Comisión Europea  Accompanying the document Proposal for a Regulation of the European Parliament and of the Council laying down measures for a high level of public sector interoperability across the Union (Interoperable Europe Act)
Comunicaciones electrónicas y comercio electrónico
Servicios de confianza
Suministro de contenidos y acceso a información
Derecho (digital) de la competencia y grandes plataformas
  • Reglamento (UE) 2022/2065 del Parlamento europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales)
  • Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales- DMA)
  • Reglamento (UE) 2019/1150 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, sobre el fomento de la equidad y la transparencia para los usuarios profesionales de servicios de intermediación en línea (Texto pertinente a efectos del EEE)
Derecho (digital) de sociedades y mercado de valores
  • Reglamento de Ejecución (UE) 2018/1212 de la Comisión, de 3 de septiembre de 2018, por el que se establecen requisitos mínimos de ejecución de las disposiciones de la Directiva 2007/36/CE del Parlamento Europeo y del Consejo, en lo relativo a la identificación de los accionistas, la transmisión de información y la facilitación del ejercicio de los derechos de los accionistas,
  • Directiva (UE) 2017/1132 del Parlamento Europeo y del Consejo, de 14 de junio de 2017, sobre determinados aspectos del Derecho de sociedades (arts 13 ss Publicidad e interconexión de los registros centrales, mercantiles y de sociedades)
  • Directiva (UE) 2019/1151 del Parlamento Europeo y del Consejo, de 20 de junio de 2019, por la que se modifica la Directiva (UE) 2017/1132 en lo que respecta a la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades.
  • Reglamento (UE) 2022/858 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 sobre un régimen piloto de infraestructuras del mercado basadas en la tecnología de registro descentralizado y por el que se modifican los Reglamentos (UE) nº 600/2014 y (UE) nº 909/2014 y la Directiva 2014/65/UE (Reglamento DLT)
Educación y formación
  • Hacia una «Academia EU de la Ciberseguridad». Comunicación de la Comisión 18.04.2023
  • Documento de trabajo de la Comisión Europea relativo a la educación en materia digital ( Commission Staf WD, Accompanying the documents Proposal for a Council Recommendation on the key enabling factors for successful digital education and training Proposal for a Council Recommendation on improving the provision of digital skills in education and training, SWD/2023/205 final)
Privacidad, protección de datos, gobernanza de datos
Seguridad
Infraestructuras energéticas
    • Reglamento (UE) 2022/869 del Parlamento Europeo y del Consejo de 30 de mayo de 2022 relativo a las orientaciones sobre las infraestructuras energéticas transeuropeas y por el que se modifican los Reglamentos (CE) n.o 715/2009, (UE) 2019/942 y (UE) 2019/943 y las Directivas 2009/73/CE y (UE) 2019/944 y se deroga el Reglamento (UE) n.o 347/2013
Responsabilidad civil (varios)

III Otros informes, recomendaciones y artículos

Derecho de sociedades, de mercados de valores , tecnología
Derecho de la competencia

IV.- Archivos DerMerUle Ciberseguridad y relacionados

 

 

V.- Otros recursos y materiales

España

 

Unión Europea

 

Estrategias, informes, propuestas

 

EEUU

Comentarios desactivados en Ciberseguridad y entorno digital

por Elena F Pérez Carrillo

Ciberseguridad, contenidos ilícitos, UE

el 30 abril, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

PDF Button

Recomendación (UE) 2018/334 de la Comisión, de 1 de marzo de 2018, sobre medidas para combatir eficazmente los contenidos ilícitos en línea y otros documentos relativos a la ciberseguridad en la UE **

Computer’s room. By M A Diaz

**Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Etiquetas: , , Sin Comentarios »

por Elena F Pérez Carrillo

Fintech, internacionalización de la actividad de las empresas y ciberseguridad

el 19 enero, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

PDF Button

Dentro de los retos para la internacionalización de la actividad empresarial encontramos la necesidad de contar con servicios financieros ciberseguros. A efectos de promover tal objetivo, el ICEX, junto con otras oficinas exteriores realizan trabajos de apoyo a las empresas.**

El 22 de noviembre de 2017 tuvo lugar en Luxemburgo un encuentro de empresas de servicios fintech, patrocinado por ICEX ,  la Fundación House of Finantial Technology de Luxemburgo y  el BCEE (Banque et Caisse d’Epargne de l’Etat, Luxembourg  con el apoyo de la Oficina Económica y Comercial de España en Bélgica y Luxemburgo.

Gijón, Asturias

El objetivo de la reunión era promocionar la actividad de las corporaciones españolas en este terreno y potenciar la colaboración entre empresas de diferentes países. Cabe señalar que el sector financiero representa más de un 25% del PIB de Luxemburgo y que ese país ha realizado una apuesta clara por el Fintech para el desarrollo del sector financiero, por lo que la presencia de empresas españolas en el acto del que se da noticia augura posibles colaboraciones futuras. Recomendamos estas lecturas facilitadas por la Web del ICEX (exige acceso como empresa inscrita en ICEX)  “El mercado de FinTech en Alemania”, “El mercado FinTech en Israel”, “El mercado de FinTech en Luxemburgo”.

Más

** Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Etiquetas: , , , Sin Comentarios »

Ir a la barra de herramientas