Estás navegando por el archivo de ciberseguridad.

Ciberseguridad de infrastructuras energéticas. Situación en los países de la UE.

el 13 noviembre, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad

Damos noticia del Informe sectorial sobre  ciberseguridad en las infraestructuras de energía y más concretamente de las medidas nacionales que se han ido poniendo en marcha al amparo del  articulo 5 de la Directiva 1148/2018 o Directiva NIS en relación con los OPERADORES DE SERVICIOS ESENCIALES,  en energía: Sectorial implementation of the NIS Directive in the Energy sector ( Report -CG Publication 03/2019 ) Oct 2019

 

Cabanas, 2016

Se trata de un documento elaborado por la Autoridad de Energía de Austria, la Comisión Europea y ENISA, en el marco del GRUPO DE COOPERACIÓN NIS. Da repaso a la incorporación nacional al Régimen de Operadores de Servicios Esenciales conforme a NIS, en lo relativo a las entidades públicas o privadas  de uno de los tipos que figuran en el anexo II-1 de la Directiva (Operadores de Servicios Esenciales del sector de la energía). En esta primera etapa de aplicación de NIS, no es cuestión poco relevante la propia identificación de los sectores a los que debe aplicarse

 

a) Electricidad:

  • Empresas eléctricas, tal como se definen en el artículo 2,punto 35, de la Directiva 2009/72/CE del Parlamento Europeo y del Consejo. Son empresas que efectúan la función de «suministro» definida en el artículo 2, punto 19, de dicha Directiva.
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/72/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/72/CE.

b) Crudo

  • Operadores de oleoductos de transporte de crudo.
  • Operadores de producción de crudo, instalaciones de refinado y tratamiento, almacenamiento y transporte.

c) Gas

  • Empresas suministradoras, tal como se definen en el artículo 2, punto 8, de la Directiva 2009/73/CE del Parlamento Europeo
    y del Consejo
  • Gestores de la red de distribución, tal como se definen en el artículo 2, punto 6, de la Directiva 2009/73/CE.
  • Gestores de la red de transporte, tal como se definen en el artículo 2, punto 4, de la Directiva 2009/73/CE.
  • Gestores de almacenamiento, tal como se definen en el artículo 2, punto 10, de la Directiva 2009/73/CE.
  • Gestores de la red de GNL, tal como se definen en el artículo 2, punto 12, de la Directiva 2009/73/CE.
  • Compañías de gas natural, tal como se definen en el artículo 2, punto 1, de la Directiva 2009/73/CE.
  • Gestores de las instalaciones de refinado y tratamiento de gas natural  que reúna los criterios establecidos en el artículo 5, apartado 2;

(recuérdese que en los relativo a los OSE la Directiva permite una ampliación nacional de su consideración. Así, en España se unen también los operadores de servicios esenciales que dependan de las redes de información en los sectores contemplados en la Ley 8/2011 de infraestructuras críticas)

Hamburgo. Ayuntamiento. Epc

El informe incluye información sobre los modelos de gobernanza elegidos en cada país y las mejores prácticas a nivel nacional. Presenta las capacidades de ciberseguridad de las asociaciones, organizaciones y organismos de la UE con un papel en el sector energético. Además, proporciona una visión general de los diferentes esquemas de colaboración público-privada en los países miembros de la UE.  De conformidad con la Recomendación de la Comisión de 3.4.2019 sobre ciberseguridad en el sector energético , el documento apoya a los Estados miembros a abordar las especificidades del sector energético en materia de ciberseguridad: requisitos de seguridad en tiempo real, efectos en cascada, estado de la técnica etc. Más específicamente, el informe aporta un interesante “mapeo” de los contenidos de la Recomendación de la Comisión en relación con los estándares internacionales (por ejemplo, ISO) y las buenas prácticas.

Dado que la Recomendación requiere que los Estados miembros comuniquen información sobre su aplicación a la Comisión, a través del Grupo de Cooperación NIS (dentro de los 12 meses de su adopción), este documento será útil como modelo o plantilla para los informes.

Junto a este informe del Grupo de Cooperación NIS cabe mencionar trabajos previos que también resultan de importancia como

Relacionado:

Recomendaciones para una industria 4.0 ciber-segura. ENISA

el 21 junio, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad

ENISA publica sus recomendaciones (sectorializadas) sobre seguridad para la industria 4.0.

En este reciente trabajo de la Agencia Europea de Seguridad en las Redes y en Internet, se dan repaso a los principales retos identificados en el camino hacia una industria que aproveche plenamente las tecnologías 4.0, y en cada caso se realizan una serie de recomendaciones específicamente dirigidas a determinados stakeholders, o grupos de interesados.

El texto completo está disponible aquí

ENISA enumera recomendaciones de alto nivel a diferentes grupos de partes interesadas para promover la ciberseguridad de la industria 4.0 y facilitar una mayor asimilación de las innovaciones relevantes de forma segura.En este breve documento, ENISA sigue un enfoque holístico e integral de los problemas relacionados con la ciberseguridad en la industria 4.0; y  presenta retos con sus recomendaciones,  asociadas con una de las siguientes categorías: Personas, procesos y tecnologías.  Además, las recomendaciones son categorizadas en términos de los grupos destinatarios a los que se dirigen

Entre las recomendaciones se encuentran:

  • fomentar mediante incentivos la inversión industrial en tecnologías y entornos 4.0
  • avanzar en la clarificación de la imputación de responsabilidad a los actores que intervienen en procesos 4.0
  • mejorar la estandarización y normalización tecnológica y de procesos
  • establecer mecanismos especiales para la cadena de proveedores en los entornos industriales avanzados (4.0)
  • lograr consensos para la interoperatividad tecnológica aplicada
  • incrementar la seguridad en la industria 4.0

 

Transferencia de datos entre autoridades de supervisión financiera del EEE y de terceros países: Dictamen favorable del SEPD sobre el borrador de acuerdo de garantías

el 15 abril, 2019 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

El Supervisor Europeo de Protección de Datos, SEPD, emite su Dictamen 4/2019, sobre el proyecto de acuerdo administrativo para la transferencia de datos personales entre las Autoridades de Supervisión Financiera del Espacio Económico Europeo (“EEE”) y las Autoridades de Supervisión Financiera no pertenecientes al EEE (12 de febrero de 2019).

Campus universitario de León. By M.A Díaz

De acuerdo con el Reglamento General Europeo de Protección de Datos , los datos personales pueden ser transferidos de un país del EEE a un tercer país cuando se ofrezcan las garantías adecuadas. Una de las formas de proporcionar las salvaguardas es mediante un acuerdo administrativo entre los poderes públicos. Pues bien, el Dictamen 4/2019 del SEPD , on the draft Administrative Arrangement for the transfer of personal data between European Economic Area (“EEA”) Financial Supervisory Authorities and non-EEA Financial Supervisory Authorities de 12 de febrero de 2019 da el visto bueno al borrador de acuerdo administrativo relativo a la trasferencia de datos personales entre autoridades europeas de supervisión financiera (y de las Autoridades Nacionales Competentes) con  Autoridades de supervisión de terceros países. Este acuerdo ha sido promovido desde ESMA, actuando en un papel de colaboración y coordinación con las Autoridades Nacionales Competentes en el EEE.

 

Primavera, by M.A. Díaz

Teniendo en cuenta los compromisos de las autoridades nacionales de terceros Estados, que ratificarán mediante la firma de este Acuerdo para poner “en vigor las salvaguardias adecuadas para el tratamiento de datos personales en el ejercicio de sus respectivos mandatos y responsabilidades reglamentarios” y para “actuar de forma coherente con el Acuerdo”, el SEPD considera que el acuerdo garantiza las salvaguardias precisas cuando los datos personales sean trasferidos a organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Eso sí, el SEPD recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA mantendrán registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas. Por tanto, el SEPD considera, según se pone de manifiesto en este dictámen, que el acuerdo garantiza las salvaguardias precisas, incluso cuando los datos personales sean trasferidos a futuros suscriptores del mismo como son los organismos públicos de terceros países no cubiertos por una decisión de adecuación de la Comisión Europea. Y esta opinión ya sido acogida positivamente también desde fuera de la UE como lo ha manifestado IOSCO que actualmente cuenta con un Acuerdo Marco en virtud del cual se intercambian información 121 supervisores  y reguladores de valores; que anuncian su intención de suscribir este acuerdo.

Además, el SEPD  recuerda que, de acuerdo con el principio de rendición de cuentas, cada ANC y la ESMA deberán mantener registros de la información para facilitar la tarea de supervisión de las autoridades. La información deberá, en cualquier caso, ponerse a disposición de las autoridades competentes, a petición de éstas.

Este dictamen, primero de este tipo, permitirá el intercambio continuo de información sobre el cumplimiento de la normativa financiera y de mercados. Ya ha sido acogido positivamente por ESMA y por organizaciones internacionales como IOSCO, que ya ha anunciado su interés por participar en el Acuerdo liderado por ESMA

Propuesta de la segunda edición del programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo 2021 a 2027.

el 21 marzo, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM3- Contratos mercantiles. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

 

Como pone de manifiesto el Consejo de la UE en el Comunicado de prensa de 13 de marzo de 2019 (aquí) se prorroga el programa de financiación de proyectos clave en los ámbitos del transporte, la tecnología digital y la energía mediante el mecanismo «Conectar Europa» (MCE) para el periodo  2021 a 2027.

By M.A. Díaz

El Comité de Representantes Permanentes de los Gobiernos de los Estados miembros (COREPER), órgano interno del Consejo de la Unión Europea, ha confirmado que han llegado a una interpretación común con el Parlamento respecto a la prórroga del programa emblemático, el Mecanismo «Conectar Europa».

Como se recordará, el Comité de Representantes Permanentes o Coreper (artículo 240 del Tratado de Funcionamiento de la Unión Europea, TFUE) (aquí), se encarga de preparar los trabajos del Consejo de la Unión Europea. Está constituido por los representantes de los países de la UE ante la Unión Europea, que tienen rango de embajadores, y lo preside el país de la UE que ejerce la presidencia del Consejo de la Unión Europea.

La UE quiere asegurarse de que este programa estrella, el Mecanismo «Conectar Europa» (MCE), siga financiando proyectos clave en los ámbitos del transporte, la tecnología digital y la energía después de 2020. El Comité de Representantes Permanentes del Consejo confirma así la interpretación común alcanzada por la Presidencia rumana y el Parlamento Europeo sobre la propuesta de iniciar la segunda edición del programa, que comenzará en 2021 y finalizará en 2027.

Exponemos a continuación los extremos destacados en el mencionado Comunicado de prensa:

  • La interpretación común afecta a todas las disposiciones del Reglamento excepto las cuestiones financieras y horizontales, que se están abordando en otro contexto; a saber:  de las negociaciones sobre el próximo marco financiero plurianual (MFP), que cubrirá el período 2021-2027.
  • En cuanto al transporte, el MCE persigue el fomento de la interoperabilidad y la multimodalidad de las redes para desarrollar y modernizar las infraestructuras ferroviarias, de carretera, de vías navegables interiores y marítimas, así como una movilidad segura y protegida. La prioridad se centra fundamentalmente en un mayor desarrollo de las redes transeuropeas de transporte (RTE-T), poniendo especial énfasis en los proyectos transfronterizos con valor añadido europeo. Conforme a estos objetivos se parte de que el MCE 2.0 va a garantizar que, una vez se haya adaptado la infraestructura para mejorar la movilidad militar dentro de la Unión, ésta sea compatible con el doble uso, atendiendo a las necesidades tanto civiles como militares.
  • En relación con el sector de la energía, se entiende que el programa va a coadyuvar a  una mayor integración del mercado europeo de la energía, mejorando la interoperabilidad de las redes energéticas a través de las fronteras y los sectores, facilitando la descarbonización y garantizando la seguridad del suministro. Asimismo, con el programa se persigue financiar proyectos transfronterizos en el ámbito de las energías renovables. Los criterios de adjudicación especificados pasan por tener en cuenta la coherencia con los planes de energía y clima nacionales y de la UE, incluido el principio de «primero, la eficiencia energética». Se prevé que la Comisión evaluará de aquí a 2020 si la normativa en materia de redes transeuropeas de transporte (RTE-T) se ajusta a los objetivos climáticos y energéticos de la UE.
  • En cuanto a la conectividad digital, se amplía el alcance del programa en aras a lograr la transformación digital de la economía y la sociedad, que va a depender -en buena medida-  del acceso universal a redes fiables y asequibles de alta o muy alta capacidad. Se tiene presente que la conectividad digital constituye un factor decisivo para colmar las diferencias económicas, sociales y territoriales. Se establece que para que un proyecto pueda optar a recibir ayuda del MCE, tendrá que contribuir al mercado único digital y a los objetivos de conectividad de la UE. Se consideran prioritarios los proyectos que creen cobertura geográfica adicional para los hogares.
  • Señaladamente, el programa concede particular relevancia a las sinergias entre los sectores del transporte, la energía y la tecnología digital, en orden a maximizar  la eficacia de la acción de la UE y optimizar los costes de ejecución. En esta línea, contempla  posibles programas de trabajo intersectoriales con el fin de intervenir en ámbitos como la movilidad conectada y automatizada o los combustibles alternativos.
  • Junto a lo anterior, la propuesta trata de integrar la acción por el clima, teniendo en cuenta los compromisos de descarbonización a largo plazo de la UE, como el Acuerdo de París.
  • Aunque habrá que esperar qué sucede en las etapas siguientes, del Comunicado de prensa se infiere que el Consejo confía en que las negociaciones con el próximo Parlamento Europeo se inicien lo antes posible, y prosigan en el sentido de continuar por los derroteros y avances que han quedado plasmados en la interpretación común.
  • Finalmente se señala que durante las negociaciones ha de tenerse presente  el acuerdo global relativo al marco financiero plurianual para el período 2021-2027.

By M.A. Díaz

Para más detalles, véanse:

Proyecto de Reglamento por el que se establece el Mecanismo «Conectar Europa»: informe de situación

Marco financiero plurianual: determinación del gasto de la UE (información de referencia)

El AG matiza el ámbito territorial del derecho al olvido recomendando que la desreferenciación tenga alcance sólo en la UE

el 23 enero, 2019 en Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho

Conclusiones del Abogado General en el asunto C-507/17 Google v. Comisión Nacional de Informática y Libertades, CNIL (Francia)

 

Subyace en este asunto, la decisión de la CNIL de Francia por la que requirió a Google para que tras haber estimado una solicitud presentada por una persona física para que se suprimieran de la lista de resultados obtenida  al efectuar una búsqueda a partir de su nombre,  aplicase tal supresión en todas las extensiones de nombre de dominio de su motor de búsqueda.

Google no cumplió en el sentido de que los datos seguian siendo accesibles desde fuera de la UE, y la CNIL le impuso multa de 100.000€, alcanzando la cuestión, por la vía prejudicial de varias cuestiones formuladas por el Conseil D’Etat, al TJUE.

En su primera pregunta, el Conseil d’État pregunta al TJUE, en esencia, si el operador de un motor de búsqueda está obligado, al otorgar una solicitud de desreferencia (derecho de olvido), a realizarla en todos los nombres de dominio de su motor para que los enlaces polémicos ya no aparezcan independientemente del lugar desde donde se realice la búsqueda.

Mediante su segunda pregunta, el Consejo de Estado de Francia, órgano jurisdiccional nacional, trata de determinar si el operador del motor de búsqueda solo está obligado, al otorgar una solicitud de olvido, a eliminar los enlaces en disputa de los resultados mostrados  en cada búsqueda realizada desde un nombre de dominio correspondiente al Estado donde se considera que se realizó la solicitud o, más generalmente, en los nombres de dominio de todos los Estados miembros de la UE.

 La tercera pregunta, busca establecer si el operador de un motor de búsqueda que accede a una solicitud de olvido debe eliminar, mediante la llamada técnica “geo”. -bloqueo “, de una dirección IP conocida ubicada en el estado de residencia del beneficiario del “derecho al olvido”, los resultados polémicos de las búsquedas realizadas  sobre ese beneficiario, o incluso,  desde cualquier dirección IP ubicada en uno de los Estados miembros sujetos a la Directiva 95/46, independientemente del nombre de dominio utilizado en la búsqueda.

El Abogado general,  analiza las aportaciones de las partes a la luz de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (vigente en el momento de los hechos valorados) si bien también se apoya en el Reglamento (UE) 2016/679 que la deroga y que constituye el régimen vigente actualmente; de los derechos fundamentales, y de la STJUE Google v Spain (C‑131/12, EU:C:2014:317). Considera que tales fundamentos jurídicos no imponen la territorialidad en la desreferenciación. Y, sobre esa base el Abogado General señala que a diferencia de otros ámbitos como puede ser el derecho de marcas donde si se admiten los efectos extraterritoriales de la legislación de la UE, el tratamiento de la información en Internet debe ser distinto.  Añade que de  admitirse una desreferenciación a escala mundial, las autoridades de la Unión no estarían en condiciones de definir y determinar el derecho a recibir información y aún menos de ponderarlo con otros derechos  fundamentales como la protección de datos y la vida privada, sobre todo, porque el interés del público en acceder a la información variará obligatoriamente, según su localización geográfica, de un tercer Estado a otro.

Opina el AG que  de procederse a una desreferenciación a escala mundial, se correría el riesgo de impedir acceder a la información a personas de terceros países y de que, recíprocamente, terceros Estados impidiesen acceder a la información a las personas de los Estados de la Unión. Y, si bien no excluye que puedan darse casos en los que se imponga la desreferenciación total, el asunto analizado no estaría entre ellos.

A la espera de la sentencia, el Abogado General recomienda  que, una vez establecido el derecho a la desreferenciación en la Unión, el gestor de un motor de búsqueda debe tomar todas las medidas a su disposición, incluida la del «bloqueo geográfico», para garantizar una desreferenciación eficaz y completa en todo el territorio de la Unión Europea desde una dirección IP que se presuma  que esté localizada en uno de los Estados miembros, con independencia del nombre de dominio empleado por el internauta que efectúa la búsqueda.

Estas conclusiones se pueden leerse aqui

Más:

Blockchain. Utilidades y confianza a debate en la Unión Europea

el 12 diciembre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

Resolución del Parlamento Europeo, de 3 de octubre de 2018, sobre las tecnologías de registros distribuidos y las cadenas de bloques: fomentar la confianza con la desintermediación

El Parlamento Europeo adoptó una resolución presentada por la Comisión de Industria, Investigación y Energía   de esa Institución europea en relación con las Tecnologías de Cadenas de Bloques (TDR) y Registros Distribuidos (DRR). Esta Resolución forma parte de un debate más amplio en el seno de la UE

Gijón

Sobre la premisa de que los DRR reducen los costos de intermediación y pueden contribuir a la mejora de los servicios, el Parlamento plantea la necesidad de adoptar iniciativas estratégicas :

  • En relación con las aplicaciones energéticamente eficientes y respetuosas con el medio ambiente, la TRD podría transformar y democratizar los mercados energéticos al permitir que los hogares produzcan energía ecológica que pueda ser intercambiada entre ellos. Por eso solicitan a la Comisión Europea  que introduzca una dimensión de eficiencia energética en sus trabajos sobre  TRD, es decir, que analice el impacto energético y de los nuevos mecanismos  y que  evalúe los posibles modelos de gobernanza.

 

  • Con respecto al transporte, cadenas de suministro, atención médica y educación: el Parlamento destacó el potencial de la TRD en la movilidad, la  mejora de las cadenas de suministro y el transporte,  así como en el sector sanitario, en la  educación y en la gestión de la propiedad intelectual.
  • Sobre el sector financiero: el Parlamento pidió a la Comisión ya las autoridades financieras que supervisen las tendencias y usos de la TDR y los DRR en el sector financiero .Destacó la volatilidad e incertidumbre que rodea a las criptomonedas, solicitando un seguimiento de las fuentes de esta volatilidad  para identificar sus principales riesgos.
  • Por lo que se refiere a la identificación y datos personales, la resolución señaló que la TRD permitía a los usuarios identificarse y tener la posibilidad de controlar los datos personales que desean compartir. Pero, también muestra preocupación por el  uso incorrecto de sus propios datos y sobre la vulnerabilidad de los sistemas. El Parlamento sugiere que los Estados miembros intercambien  mejores prácticas para garantizar la seguridad de estos datos. Los usos de TRD deben cumplir con la legislación de protección de datos de la UE, incluido el Reglamento general de protección de datos (GDPR).
  • En el ámbito de los contratos inteligentes: el Parlamento pidió a la Comisión que promueva el desarrollo de normas técnicas con las organizaciones internacionales pertinentes y que realice un análisis en profundidad del marco legal existente en los distintos Estados miembros en lo que respecta a la exigibilidad de los contratos inteligentes. Concretamente, pide analizar si el uso de contratos inteligentes crea barreras potenciales en el mercado único digital, y solicita reforzar la seguridad jurídica por ejemplo a través de medidas de coordinación y reconocimiento mutuo.
  • Alude también a la seguridad de la infraestructura. Eel Parlamento pidió a la Comisión que supervise los desarrollos tecnológicos (por ejemplo, los ordenadores cuánticos), evalúe los riesgos tecnológicos, apoye los proyectos de resistencia frente a ataques cibernéticos y promueva proyectos de protección de datos. En este sentido insiste en la necesidad de garantizar la sostenibilidad de las plataformas TRD en el marco del Programa del Observatorio Blockchain de la UE .
  • Siguiendo con las infraestructuras, pero ya en el campo del sector público , el Parlamento enfatizó la importancia de una TRD  segura para mejorar los servicios y la gestión del sector público. En particular, y de modo vinculado al plan Acción para el gobierno electrónico
  • Finalmente, en relación con las pymes, con la transferencia de tecnología y con la financiación pide al BEI y al FEI que creen instrumentos de financiación para apoyar Iniciativas empresariales centradas en TRD para acelerar la transferencia de tecnología. También destacó el potencial de las ofertas iniciales de tokens como herramienta de inversión alternativa para financiar  pymes y empresas innovadoras, y solicita a la Comisión que identifique mecanismos para proteger a los inversores, comenzando por un posible observatorio de estas ICO, así como de una base de datos sobre sus características.

 

El Parlamento Europeo apunta en una dirección que no implicaría, por el momento regular los nuevos fenómenos, sino más bien eliminar las barreras para su desarrollo.

Comentarios desde el GID Noviembre 2018: RESPONSABILIDAD POR INFRACCIÓN DE DERECHOS DE AUTOR DEL TITULAR DE UNA CONEXIÓN A INTERNET Y POSIBILIDAD DE ACCESO A LA CONEXIÓN DE OTROS FAMILIARES

el 8 noviembre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho

 

NO QUEDA EXIMIDO DE RESPONSABILIDAD EL TITULAR DE UNA CONEXIÓN A INTERNET, DESDE LA QUE SE INFRINGIERON DERECHOS DE AUTOR, SIMPLEMENTE POR ALEGAR QUE SUS PADRES TAMBIÉN TUVIERON LA POSIBILIDAD DE ACCEDER A DICHA CONEXIÓN

 

Foto: M.A. Díaz

María Angustias Díaz Gómez

Catedrática de Derecho Mercantil. Coordinadora del Grupo de Innovación Docente de Derecho Mercantil de la Universidad de León (GID-DerMerUle)

 

Así se pronuncia el Tribunal de Justicia de la Unión Europea, para quien el titular de una conexión a Internet, desde la que se cometieron infracciones de derechos de autor mediante un intercambio de archivos, no puede quedar libre de responsabilidad por el sólo hecho de designar a un miembro de la familia que tenía la posibilidad de acceder a dicha conexión.
Además, señala el Tribunal  que los titulares de los derechos deben disponer de un recurso eficaz o de medios que permitan a las autoridades judiciales competentes ordenar la comunicación de la información necesaria para desvelar las circunstancias y autoría de dichas infracciones.

Lee el resto de la entrada →

Observatorio Nacional de 5G.

el 2 noviembre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

La Secretaría de Estado para el Avance Digital del  Ministerio de Economía y Empresa, ; la entidad pública Red.es y la Fundación Mobile World Capital Barcelona (en adelante MWCapital) han firmado un convenio para la creación del Observatorio Nacional de 5G.

 

NYC_by Jara IPM

La tecnología 5G está llamada, según nos indican, a liderar los cambios tecnológicos en los próximos años. El objetivo de mantener a nuestro país en la cabeza de las trasformaciones, y de garantizar que la implantación tecnológica se basa en la colaboración público-privada y cala, se crea este Observatorio 5G que  será presentado oficialmente el 29 de noviembre en Madrid, en el espacio ‘La Enredadera’ de Red.es.

Su objetivo principal es complementar y asistir las actividades público-privadas  que se desarrolen con el apoyo o en el marco de la Oficina Técnica del Plan Nacional de 5G, en el despliegue de redes y servicios 5G.  También para la estandarización y la innovación, la alineación de estrategias y ara compartir conocimiento en torno a la tecnología móvil

Elaborará estudios e informes relacionados con la tecnología 5G, sus nuevos usos y su impacto potencial en la sociedad y la economía, e incentivará la colaboración público-privada y del sector investigador. Desde este Observatorio se impulsará la formación y la capacitación en las tecnologías 5G .

 

El Observatorio 5G actuará en coordinación con el Plan Nacional 5G y complementará la estrategia España Nación Emprendedora Por ello, desde el observatorio se promoverá también el emprendimiento y la internacionalización entorno al nuevo paradigma de las telecomunicaciones.

El convenio que da título a esta entrada podrá ser firmado por otras instituciones, fundaciones o empresas, públicas o privadas, que compartan el objetivo de fomentar el despliegue 5G en España

Ciber contaminación. Centros de datos para servidores de Internet y su huella sobre el medioambiente y la energía

el 29 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La huella de carbono e impacto de las actividades de Internet  sobre la generación de C02 y gases de efecto invernadero  están alcanzando el debate público, toda vez que algunas publicaciones grand public  van dando espacio a esta problemática entre sus páginas y webs, reflejando los análisis científicos  previos y las mediciones de la industria que configuran un panorama en el que, en efecto, Internet si contamina.

 

NYC_by Jara IPM. One Trade Center Tower

En mi caso quiero reconocer que tal idea no me cruzó la mente hasta ya hace algunos años,  cuando en el último Xacobeo (el 31 de julio de 2010, cerrando as Festas do Apostolo), el gran Michael Jarre interpretó un especialísimo concierto en la Praza do Obradoiro de Santiago de Compostela, con un espectáculo de imagen, sonido y tecnología eléctrico-acústica que invadió la fachada principal de la catedral compostelana.  Los sonidos y los láser acústicos iban acompañados de imágenes proyectadas en la piedra milenaria de la catedralicia fachada barroca y -con tintes reivindicativos- calculaban el número de correos electrónicos que se estarían enviando en todo el globo en aquel  instante del verano de 2010,  ofreciendo además el cálculo de contaminación, en volúmenes delirantes de generación de C02, para sorpresa de quienes –al menos en mi caso- simplemente pretendíamos disfrutar de las creaciones siempre innovadoras de Jarre. Me impactó.

No sin ahínco en la búsqueda, ya años después he localizado datos, informaciones, conocimientos, sobre la huella de Internet  y de las TIC. Especialmente relevantes son  estudios como  clicking clean de Greenpeace que se pueden ver aquí en su versión de 2015 y también en la de de 2017.  Se unen a  otros informes previos sobre la contaminación producida por los residuos de hardware, los conocidos como basureros tecnológicos), o  a datos sobre la “cableización” de los océanos a medida que las infraestructuras (también) de Internet se sofistican y extienden,  o incluso sobre las consecuencias de los campos electromagnéticos , todos ellos aspectos sobre cuyas consecuencias contaminantes somos, quizás, más conscientes.

En esta entrada repasamos y enlazamos documentos relativos a la contaminación derivada directamente de los centros de datos y de la navegación por Internet, en cuanto a su impacto como contaminantes que están propiciando el activismo de ambientalistas y de la propia industria para acelerar la transición energética en este sector.

Centros de Datos
    • Los centros de datos almacenan servidores de Internet. Varían desde enclaves del tamaño de una habitación hasta vastas granjas con superficies  de  más de 150,000 metros cuadrados . Son grandes usuarios de energía. La necesitan para mantener los servidores que albergan, ejecutar los equipos que almacenan y para prestar servicios de computación en la nube,  música, películas y entretenimiento a demanda, entre otros. Además, generan mucho calor que también exige de una gran cantidad de energía para mantenerlos frescos.
    • Los grandes centros de datos son responsables de aproximadamente el 2% de las emisiones globales de gases de efecto invernadero, una proporción anual similar a la de la industria de la aviación. Estos centros se encuentran en todo el mundo, si bien existen áreas con una particular concentración, como la ciudad de Londres o el Estado de Virginia del Norte en EEUU. Su consumo energético es creciente, y, por dar una idea  de su volumen, se ha calculado que en Francia (territorio con concentración de este tipo de centros) consumen en torno a un 10% de la energía total del país
    • El calor que generan provoca dificultades para su enfriamiento, lo cual motiva que grandes operadores de big data como Google o Facebook estén ubicando sus centros en desiertos como el de Arizona,  o bajo el mar, o en zonas frías y cercanas al polo como las áreas nórdicas de Suecia y Finlandia.
Navegación individual
    • Individualmente, nuestra navegación tendría un impacto relativamente minúsculo, aunque en los documentos anteriormente aludidos ya se dan cifras preocupantes, por ejemplo en relación con el coste ambiental de la acumulación de correos electrónicos en nuestros buzones,  el reenvío de copias de mensaje de correo, o la utilización de buscadores.
    • Una de las principales formas de contaminación digital se llama “contaminación latente”. Es debido al almacenamiento de correos electrónicos. Todos los correos electrónicos almacenados en un buzón hacen que muchos servidores se ejecuten ininterrumpidamente en los centros de datos de modo que su impacto ecológico es elevado.
    • Los mediambientalistas apuntan a que cada búsqueda en Google genera  tanto CO 2 como hervir la mitad del agua para una taza de café (7 g). Aunque el propio buscador  ofreció una cifra mucho menor  ( de 0,2 gr por búsqueda), de forma que  el uso de  Gmail durante un año daría lugar  aproximadamente a 1,2 kg de C02  por usuario.  Con todo,  en su conjunto, la huella de carbono de Google habría sido en 2013 de 1,766,014 toneladas de CO 2 ,  debido en su mayor parte a los centros de datos .
    • En cuanto al consumo de audiovisuales, el periódico The Guardian  titulaba un interesante reportaje con la idea de que los videos de gatitos que disfrutamos  en YouTube “están matando el planeta”, y  ofrecía datos como que  el consumo sería de 1 gr de C02 por cada 10 minutos de visualización de los videos en la plataforma YouTube.

      NYSE_by Jara IPM

Greenpeace , que cuenta con series de datos (buena parte de ellos recogidos en sus informes “Clicking Green” ,  está alertando sobre el impacto de Internet sobre el cambio climático, al menos si estos centros siguen operando como hasta ahora. Por ello aboga por la rápida transición a las energías renovables de estos data centers. Otras organizaciones  como Global e-sustainability Initiative difunden  informaciones  (ver ) y tratan de configurar un Internet “verde” (ver vídeo  )  a base de disociar las emisiones del crecimiento del sector TIC, principalmente fomentando la transición energética a renovables de los grandes motores de búsqueda y almacenamiento.

Véase también -fuentes y más detalles-:

 

ESMA retira sus Directrices sobre negociación automatizada por estar la incluidas en el desarrollo reglamentario de MIFID 2

el 28 octubre, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Mucaf

La Autoridad Europea de Valores y Mercados (AEVM) anunció el 3 de octubre de 2018 que retiraba sus Directrices de MiFID sobre sistemas y controles en un entorno comercial automatizado para plataformas de negociación, empresas de inversión y autoridades competentes.

 

Estas Directrices habían sido adoptadas por el Consejo de Supervisores, por iniciativa propia, para garantizar la aplicación común, uniforme y coherente de MiFID I y de la Directiva de Abuso de Mercado (MAD) en 2011.  Con  la entrada en vigor de la MiFID II el 3 de enero de 2018, revisó estas Directrices para establecer si  debía modificarlas o derogarlas, basándose en que su contenido  está incorporando con éxito  en MiFID 2 y sus medidas reglamentarias de ejecución en relación con  el ámbito de las Directrices (requisitos de las plataformas que acogen HST, requisitos de personal, control para suspender negociación, volúmenes mínimos de las ordenes, sincronización, registros de operaciones, supervisión y mecanismos para identificar órdenes sospechosas, entre otros .

Ver noticia aquí

IV Jornadas Nacionales de Derecho y Ciberseguridad en la Facultad de Derecho de León.

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

IV JORNADAS NACIONALES DE DERECHO Y CIBERSEGURIDAD

 

Organizadas por la Universidad de León y el Instituto Nacional de Ciberseguridad, INCIBE, la Facultad de Derecho de León acoge los días 24 y 25 de octubre las IV Jornadas de Derecho y Ciberseguridad, coordinadas por el Secretario General de INCIBE Don Francisco Pérez Bes, y por la Profesora  Dra. Dña Isabel Durán Seco.

(más información en idurs@unileon.es)

La calidad de los ponentes, la experiencia en materia de Ciberseguridad y Derecho de la Universidad de acogida y del INICIBE, y destacadamente, la labor constante, focalizada, intensa de los coordinadores de estas Jornadas Nacionales, que son además el alma del Máster Universitario en Derecho de la Ciberseguridad y Entorno Digital , auguran el éxito de esta IV edición.

Pulcra leonina

Las IV Jornadas Nacionales de Ciberseguridad y Derecho se inician el miércoles 24 de octubre, a las 16:00 h en el Palacio de Congresos y Exposiciones de León:

 

  • Contará esta sesión inaugural con la intervención de D. CARLOS KUCHKOVSKY  (12 ENISE – C7; CTO de Nuevos Negocios Digitales de BBVA) con la ponencia «Más allá de las criptomonedas. Potencial del blockchain e implicaciones en ciberseguridad» y otras disertaciones  que sin duda incrementarán el interés del aforo como la de D. FÉLIX ARTEAGA (12 ENISE – C8) Investigador principal del Real Instituto Elcano sobre «Nuevos retos en ciberseguridad: la amenaza híbrida» ,  o la del Dr. D. PABLO GARCÍA MEXIA Vicepresidente del Capítulo Español de Internet Society, “La Internet abierta“.
  • Entre las actividades previstas incluyen las mesas redondas compuestas por especialistas, entre las que tenemos la honra de contar con Doña ANA DEL SER, Presidenta de la Audiencia Provincial de Leónmiembro del GID DerMerUle y Profesora de Derecho Mercantil de la ULE ;  y DOÑA MARÍA TRAPERO, acreditada catedrática y profesora titular de Derecho Penal de la ULE que debatirán en torno a las «Obligaciones del empresario en la implantación de medidas. Su responsabilidad»,

 

El jueves 25 de octubre las IV Jornadas Nacionales  de Ciberseguridad y Derecho se trasladarán al Salón de Grados de la Facultad de Derecho de la Universidad de León:

El aforo a estas Jornadas es limitado, pero puede obtenerse información en el correo de inscripciones idurs@unileon.es

Desde DerMerUle, felicitamos a l@s organizadores, animamos a los inscritos y recomendamos la asistencia a cuantos estén interesados en las perspectivas de presente y futuro de la perspectiva jurídica del entorno cibernético.

 

 

Ciber seguridad, redes y transposición en España. (II) Ambito

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

El real decreto-ley 12/2018 se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad (ver entrada anterior).

NYC_by Jara IPM. Freedom Statue

 

Su ámbito de aplicación se extiende también a sectores que no están expresamente incluidos en la Directiva, aunque sin perjuicio de su legislación específica. Especialmente en el caso de los operadores de servicios esenciales, su designación se realiza conforme a legislación sectorial

  • Veíamos que las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, están expresamente excluidos de dicha Directiva (que en ese sentido opera como norma de armonización mínima).  Sin embargo el real decreto-ley si se aplica a los “operadores críticos” que se designan conforme a la ley  8/2011
  • El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales: los que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un régimen de armonización máxima. La función de las autoridades nacionales se limita, por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la Unión Europea.

 

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.

NYC_by Jara IPM. One Trade Center Tower

  • Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo  y estar basadas en una evaluación previa .
  • Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
  • El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación. La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.
  • El real decreto-ley recalca la necesidad de tener en cuenta los estándares europeos e internacionales, así como las recomendaciones que emanen del grupo de cooperación y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el ámbito comunitario por la Directiva, con vistas a aplicar las mejores prácticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participación de nuestras empresas en él. Con el fin de aumentar su eficacia, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los vínculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, como normativa especial en materia de seguridad de los sistemas de información del sector público.