Estás navegando por el archivo de ciberseguridad.

IV Jornadas Nacionales de Derecho y Ciberseguridad en la Facultad de Derecho de León.

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

IV JORNADAS NACIONALES DE DERECHO Y CIBERSEGURIDAD

 

Organizadas por la Universidad de León y el Instituto Nacional de Ciberseguridad, INCIBE, la Facultad de Derecho de León acoge los días 24 y 25 de octubre las IV Jornadas de Derecho y Ciberseguridad, coordinadas por el Secretario General de INCIBE Don Francisco Pérez Bes, y por la Profesora  Dra. Dña Isabel Durán Seco.

(más información en idurs@unileon.es)

La calidad de los ponentes, la experiencia en materia de Ciberseguridad y Derecho de la Universidad de acogida y del INICIBE, y destacadamente, la labor constante, focalizada, intensa de los coordinadores de estas Jornadas Nacionales, que son además el alma del Máster Universitario en Derecho de la Ciberseguridad y Entorno Digital , auguran el éxito de esta IV edición.

Pulcra leonina

Las IV Jornadas Nacionales de Ciberseguridad y Derecho se inician el miércoles 24 de octubre, a las 16:00 h en el Palacio de Congresos y Exposiciones de León:

 

  • Contará esta sesión inaugural con la intervención de D. CARLOS KUCHKOVSKY  (12 ENISE – C7; CTO de Nuevos Negocios Digitales de BBVA) con la ponencia «Más allá de las criptomonedas. Potencial del blockchain e implicaciones en ciberseguridad» y otras disertaciones  que sin duda incrementarán el interés del aforo como la de D. FÉLIX ARTEAGA (12 ENISE – C8) Investigador principal del Real Instituto Elcano sobre «Nuevos retos en ciberseguridad: la amenaza híbrida» ,  o la del Dr. D. PABLO GARCÍA MEXIA Vicepresidente del Capítulo Español de Internet Society, «La Internet abierta«.
  • Entre las actividades previstas incluyen las mesas redondas compuestas por especialistas, entre las que tenemos la honra de contar con Doña ANA DEL SER, Presidenta de la Audiencia Provincial de Leónmiembro del GID DerMerUle y Profesora de Derecho Mercantil de la ULE ;  y DOÑA MARÍA TRAPERO, acreditada catedrática y profesora titular de Derecho Penal de la ULE que debatirán en torno a las «Obligaciones del empresario en la implantación de medidas. Su responsabilidad»,

 

El jueves 25 de octubre las IV Jornadas Nacionales  de Ciberseguridad y Derecho se trasladarán al Salón de Grados de la Facultad de Derecho de la Universidad de León:

El aforo a estas Jornadas es limitado, pero puede obtenerse información en el correo de inscripciones idurs@unileon.es

Desde DerMerUle, felicitamos a l@s organizadores, animamos a los inscritos y recomendamos la asistencia a cuantos estén interesados en las perspectivas de presente y futuro de la perspectiva jurídica del entorno cibernético.

 

 

Ciber seguridad, redes y transposición en España. (II) Ambito

el 17 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

El real decreto-ley 12/2018 se aplicará a las entidades que presten servicios esenciales para la comunidad y dependan de las redes y sistemas de información para el desarrollo de su actividad (ver entrada anterior).**

NYC_by Jara IPM. Freedom Statue

 

Su ámbito de aplicación se extiende también a sectores que no están expresamente incluidos en la Directiva, aunque sin perjuicio de su legislación específica. Especialmente en el caso de los operadores de servicios esenciales, su designación se realiza conforme a legislación sectorial

  • Veíamos que las actividades de explotación de las redes y de prestación de servicios de comunicaciones electrónicas y los recursos asociados, así como de los servicios electrónicos de confianza, están expresamente excluidos de dicha Directiva (que en ese sentido opera como norma de armonización mínima).  Sin embargo el real decreto-ley si se aplica a los “operadores críticos” que se designan conforme a la ley  8/2011
  • El real decreto-ley se aplicará, así mismo, a los proveedores de determinados servicios digitales: los que sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. La Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, los somete a un régimen de armonización máxima. La función de las autoridades nacionales se limita, por tanto, a supervisar su aplicación por los proveedores establecidos en su país, y coordinarse con las autoridades correspondientes de otros países de la Unión Europea.

 

Los operadores de servicios esenciales y los proveedores de servicios digitales deberán adoptar medidas adecuadas para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información que utilicen, aunque su gestión esté externalizada.

NYC_by Jara IPM. One Trade Center Tower

  • Las obligaciones de seguridad que asuman deberán ser proporcionadas al nivel de riesgo  y estar basadas en una evaluación previa .
  • Las normas de desarrollo de este real decreto-ley podrán concretar las obligaciones de seguridad exigibles a los operadores de servicios esenciales, incluyendo en su caso las inspecciones a realizar o la participación en actividades y ejercicios de gestión de crisis.
  • El real decreto-ley requiere así mismo que los operadores de servicios esenciales y los proveedores de servicios digitales notifiquen los incidentes que sufran en las redes y servicios de información que emplean para la prestación de los servicios esenciales y digitales, y tengan efectos perturbadores significativos en los mismos, al tiempo que prevé la notificación de los sucesos o incidencias que puedan afectar a los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquellos, y perfila los procedimientos de notificación. La notificación de incidentes forma parte de la cultura de gestión de riesgos que la Directiva y el real decreto-ley fomentan. Por ello, el real decreto-ley protege a la entidad notificante y al personal que informe sobre incidentes ocurridos; se reserva la información confidencial de su divulgación al público o a otras autoridades distintas de la notificada y se permite la notificación de incidentes cuando no sea obligada su comunicación.
  • El real decreto-ley recalca la necesidad de tener en cuenta los estándares europeos e internacionales, así como las recomendaciones que emanen del grupo de cooperación y de la red de CSIRT (Computer Security Incident Response Team) establecidos en el ámbito comunitario por la Directiva, con vistas a aplicar las mejores prácticas aprendidas en estos foros y contribuir al impulso del mercado interior y a la participación de nuestras empresas en él. Con el fin de aumentar su eficacia, este real decreto-ley trata de garantizar su coherencia con las que se derivan de la aplicación de otras normativas en materia de seguridad de la información, tanto de carácter horizontal como sectorial, y la coordinación en su aplicación con las autoridades responsables en cada caso.

Respecto a las normas horizontales, destacan los vínculos establecidos con las Leyes 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y 36/2015, de 28 de septiembre, de Seguridad Nacional, y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, como normativa especial en materia de seguridad de los sistemas de información del sector público.

** Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Ciber seguridad en las redes. Directiva de seguridad de las redes y transposición en España (I)

el 15 octubre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, Otros

Lincoln, Ox

La protección de los servicios considerados esenciales para la sociedad son los objetivos sobre los que trabaja la Unión Europea y sus Estados.**

A tales efectos  destaca la legislación y propuestas a las que aludimos.

En primer lugar la Directiva 2008/114/CE del Consejo, sobre Identificación y Designación de las Infraestructuras Críticas Europeas y la Evaluación de la Necesidad de Mejorar su Protección”, que fue transpuesta en España con la “Ley 8/2011 por la que se establecen medidas para la Protección de las Infraestructuras Críticas”.

En segundo la  Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión; y  su primera transposición en España (Real Decreto-ley 12/2018 con tramitación parlamentaria como Proyecto de Ley de seguridad de las redes y sistemas de información (procedente del Real Decreto-ley 12/2018, de 7 de septiembre). Esta Directiva es objeto de desarrollo regulatorio, en el llamado «paquete NIS»).

En virtud de la Directiva (UE) 2016/1148, los países de la UE deben:

  1. designar a una o más autoridades nacionales competentes y a uno o varios centros de respuesta a incidentes cibernéticos – CSIRT-, así como determinar un punto de contacto único (en caso de que haya más de una autoridad competente)
        • Los CSIRT son responsables de supervisar incidentes de ciberseguridad y responder a ellos; efectuar análisis de riesgos e incidentes; participar en la red de CSIRTs; cooperar con el sector privado; fomentar la utilización de prácticas normalizadas para la clasificación de incidentes, riesgos e información, entre otras competencias
  2. designar operadores de servicios esenciales en sectores fundamentales como la energía, el transporte, las finanzas, la banca, la salud, el agua y la infraestructura digital, en los cuales un ciberataque podría perturbar un servicio esencial.
  3. adoptar una estrategia nacional de ciberseguridad para las redes y sistemas de información, que aborde la preparación y disposición para gestionar y reaccionar a los ciberataques; las funciones, responsabilidades y cooperación de la administración pública y de otros agentes; los programas de educación, concienciación y formación; los planes de investigación y desarrollo; y los planes de identificación de riesgos.
  4. asegurar que sus autoridades nacionales competentes supervisan la aplicación de la Directiva evaluando las políticas de ciberseguridad y seguridad de los operadores de servicios esenciales; supervisando los proveedores de servicios digitales; participando en el trabajo del Grupo de cooperación [formado por las autoridades competentes en materia de seguridad de las redes y de la información (SRI) de cada uno de los países de la UE, la Comisión Europea y la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA)]; informando al público cuando sea necesario a fin de evitar incidentes o gestionarlos cuando ya se hayan producido, respetando siempre los requisitos de confidencialidad; impartiendo instrucciones vinculantes para subsanar las deficiencias en ciberseguridad.

All Souls Bridge. OX

La Directiva se aplica a los operadores de servicios esenciales (designados) -OSE- como a los proveedores de servicios digitales -PSE-, aunque las obligaciones de unos y otros resulten algo distintas.

Sin embargo, la Directiva NIS no se aplica a empresas que suministren redes públicas de comunicaciones o presten servicios de comunicaciones electrónicas disponibles para el público en el sentido de la Directiva 2002/21/CE del Parlamento Europeo y del Consejo  (Directiva Marco de Comunicaciones Electrónicas) que están sujetas a los requisitos específicos de seguridad e integridad, como tampoco a los prestadores de servicios de confianza definidos en el Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo (relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior) que están sujetos a los requisitos de seguridad establecidos en dicho Reglamento.

                                        • Su ámbito de aplicación no empece las medias especiales como las obligatorias en virtud de la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información ; ni la  Directiva 2011/93/UE del Parlamento Europeo y del Consejo, de 13 de diciembre de 2011, relativa a la lucha contra los abusos sexuales y la explotación sexual de los menores y la pornografía infantil y por la que se sustituye la Decisión marco 2004/68/JAI del Consejo; ni la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

 

El Real Decreto Ley  12/2018 incorpora al ordenamiento español la Directiva NIS. Tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes. También establece un marco institucional en las cuestiones relativas a su ámbito.

Se aplica a

  • Operadores de Servicios Digitales -OSE- dependientes de las  redes y sistemas de información comprendidos en los sectores estratégicos (infraestructuras críticas) definidos en el anexo de la mencionada Ley 8/2011, sobre protección de infraestructuras críticas
    • Un operador de servicios esenciales está establecido en España cuando su residencia o domicilio social se encuentren en territorio español, siempre que éstos coincidan con el lugar en que esté efectivamente centralizada la gestión administrativa y la dirección de sus negocios o actividades.
    • Servicios esenciales que los operadores residentes o domiciliados en otro Estado ofrezcan a través de un establecimiento permanente situado en España.
    • La Comisión Nacional para la Protección de las Infraestructuras Críticas aprobará una primera lista de servicios esenciales dentro de los sectores incluidos en el ámbito de aplicación de este real decreto-ley e identificará a los operadores que los presten que deban sujetarse a este real decreto-ley 
  • Prestadores  o proveedores de servicios digitales – PSD-   conforme se determina en el artículo 3 e), es decir  «persona jurídica que presta un servicio digital.» que además sean mercados en línea, motores de búsqueda en línea y servicios de computación en nube. Es decir, proveedores de servicios digitales que tengan su sede social en España y/o con establecimiento principal en la Unión Europea, así como los que, no estando establecidos en la Unión Europea, designen en España a su representante en la Unión para el cumplimiento de la Directiva (UE) 2016/1148 y se dediquen a alguna (o todas) de las 3 actividades

Exclusiones. El RD-l, no se aplica a

  • a) Los operadores de redes y servicios de comunicaciones electrónicas, prestadores de servicios electrónicos de confianza que no sean designados como operadores críticos en virtud de la Ley 8/2011, de 28 de abril.
  • b) Los proveedores de servicios digitales cuando se trate de microempresas o pequeñas empresas, de acuerdo con las definiciones recogidas en la Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas.
Obligaciones de seguridad de los OSD y PSD:

Houses of Parliament

  • adoptar medidas técnicas y de organización, adecuadas y proporcionadas, para gestionar los riesgos que se planteen para la seguridad de las redes y sistemas de información utilizados en la prestación de los servicios sujetos a este real decreto-ley.
  • notificar incidentes conforme al título V
  • tomar medidas adecuadas para prevenir y reducir al mínimo el impacto de los incidentes que les afecten.

Los operadores de servicios esenciales designarán y comunicarán a la autoridad competente, la persona, unidad u órgano colegiado responsable de la seguridad de la información, como punto de contacto y de coordinación técnica con aquella,  cuyas funciones específicas serán las previstas reglamentariamente.

    • Las autoridades competentes podrán establecer mediante Orden ministerial obligaciones específicas para garantizar la seguridad de las redes y sistemas de información empleados por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes.
    • Al elaborar las disposiciones reglamentarias, instrucciones y guías, tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de seguridad de la información a las que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, aprobado por el Real Decreto 3/2010, de 8 de enero. Las autoridades competentes deberán coordinarse entre sí y con los diferentes órganos sectoriales con competencias por razón de la materia, con objeto de evitar duplicidades en las obligaciones exigibles y facilitar su cumplimiento a los operadores de servicios esenciales.

Los proveedores de servicios digitales determinarán las medidas de seguridad que aplicarán, teniendo en cuenta, como mínimo, los avances técnicos y los siguientes aspectos (atendiendo a los actos de ejecución de la Comisión Europea):

  •  La seguridad de los sistemas e instalaciones;
  •  La gestión de incidentes;
  •  La gestión de la continuidad de las actividades;
  •  La supervisión, auditorías y pruebas;
  •  El cumplimiento de las normas internacionales.

Turf Street (and Pub) Ox

Obligaciones de notificar
  • (Los operadores de servicios esenciales notificarán a la autoridad competente, a través del CSIRT de referencia, los incidentes que puedan tener efectos perturbadores significativos en tales servicios, o, conforme se determine reglamentariamente, incidentes relativos a los sucesos o incidencias que puedan afectar a las redes y sistemas de información empleados para la prestación de los servicios esenciales, pero que aún no hayan tenido un efecto adverso real sobre aquéllos.

  • Los proveedores de servicios digitales notificarán a la autoridad competente, a través del CSIRT de referencia (INCIBE en el caso de entidades privadas y empresarios individuales)  los incidentes que tengan efectos perturbadores significativos en dichos servicios.

    • A los efectos de valorar la gravedad del incidente, los operadores de servicios esenciales medirán la relevancia teniendo en cuenta, como mínimo, los siguientes factores: a) El número de usuarios afectados por la perturbación del servicio esencial. b) La duración del incidente. c) La extensión o áreas geográficas afectadas d) El grado de perturbación del funcionamiento del servicio. e) El alcance del impacto en actividades económicas y sociales cruciales. f) La importancia de los sistemas afectados o de la información afectada por el incidente para la prestación del servicio esencial. g) El daño a la reputación.
      • Estos operadores deben realizar una notificación inicial, otra intermedia y otra final
    • Los operadores de servicios digitales, determinan la medición conforme a lo que establezcan los actos de ejecución previstos en los apartados 8 y 9 del artículo 16 de la Directiva NIS. La obligación de la notificación del incidente únicamente se aplicará cuando el proveedor de servicios digitales tenga acceso a la información necesaria para valorar el impacto de un incidente.

 

  • Los operadores de servicios esenciales y los proveedores de servicios digitales  así como cualquier otra parte interesada, que tengan noticia de incidentes que afecten de modo significativo a servicios digitales ofrecidos en España por proveedores establecidos en otros Estados miembros de la Unión Europea, podrán notificarlo a la autoridad competente aportando la información pertinente, al objeto de facilitar la cooperación con el Estado miembro en el que estuviese establecido el citado proveedor.
  • Las notificaciones tanto de operadores de servicios esenciales como de proveedores de servicios digitales se referirán a los incidentes que afecten a las redes y sistemas de información empleados en la prestación de los servicios, tanto si se trata de redes y servicios propios como si lo son de proveedores externos.
    • Las autoridades competentes y los CSIRT de referencia utilizarán una plataforma común para facilitar y automatizar los procesos de notificación, comunicación e información sobre incidentes.
    • El desarrollo reglamentario de este real decreto-ley preverá las medidas necesarias para el cumplimiento de lo preceptuado en este artículo por parte de los operadores de servicios esenciales.
      • Las autoridades competentes podrán establecer, mediante Orden ministerial, obligaciones específicas de notificación por los operadores de servicios esenciales. Así mismo, podrán dictar instrucciones técnicas y guías orientativas para detallar el contenido de dichas órdenes. Al elaborar las disposiciones reglamentarias, instrucciones y guías, se tendrán en cuenta las obligaciones sectoriales, las directrices relevantes que se adopten en el grupo de cooperación y los requisitos en materia de notificación de incidentes a los que estuviera sometido el operador en virtud de otras normas, como la Ley 8/2011, de 28 de abril, y el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, de 8 de enero.
    • La obligación de notificación de incidentes no obsta al cumplimiento de los deberes legales de denuncia de aquellos hechos que revistan caracteres de delito .

      Grove Qd, Lincoln, Ox

    • Proteccion de notificantes: Las notificaciones consideradas en este título no sujetarán a la entidad que las efectúe a una mayor responsabilidad. Además, los empleados y el personal que, por cualquier tipo de relación laboral o mercantil, participen en la prestación de los servicios esenciales o digitales, que informen sobre incidentes no podrán sufrir consecuencias adversas en su puesto de trabajo o con la empresa, salvo en los supuestos en que se acredite mala fe en su actuación.

Recuérdese a los efectos de la aplicación en España de la Directiva que los centros de respuesta a incidentes de seguridad cibernética, en lo concerniente a las relaciones con los operadores de servicios esenciales son 1º El CCN-CERT, del Centro Criptológico Nacional, al que corresponde la comunidad de referencia constituida por las entidades del ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público. 2.º El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, al que corresponde la comunidad de referencia constituida por aquellas entidades no incluidas en el ámbito subjetivo de la Ley 40/2015, de 1 de octubre. (el INCIBE-CERT es operado conjuntamente por el INCIBE y el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) en todo lo que se refiera a la gestión de incidentes que afecten a los operadores críticos. 3.º El ESPDEF-CERT, del Ministerio de Defensa, que cooperará con el CCN-CERT (centro criptológico nacional) y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores de servicios esenciales y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional y que reglamentariamente se determinen. En lo concerniente a las relaciones con los proveedores de servicios digitales que no estuvieren comprendidos en la comunidad de referencia del CCN-CERT: el INCIBE-CERT. El INCIBE-CERT será, así mismo, equipo de respuesta a incidentes de referencia para los ciudadanos, entidades de derecho privado y otras entidades no incluidas anteriormente.

Los CSIRT de referencia se coordinarán entre sí y con el resto de CSIRT nacionales e internacionales en la respuesta a los incidentes y gestión de riesgos de seguridad que les correspondan. En los supuestos de especial gravedad que reglamentariamente se determinen y que requieran un nivel de coordinación superior al necesario en situaciones ordinarias, el CCN-CERT ejercerá la coordinación nacional de la respuesta técnica de los CSIRT. Cuando las actividades que desarrollen puedan afectar de alguna manera a un operador crítico, los CSIRT de referencia se coordinarán con el Ministerio del Interior, a través de la Oficina de Coordinación Cibernética del Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), de la forma que reglamentariamente se determine.

**Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Abuso de posición dominante. Sanción de la Comisión Europea a Google.

el 3 septiembre, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, DM_ADE, DM_Publicidad, Introducción al Derecho Mercantil. G Relaciones Laborales y Recursos Humanos, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

La Comisión Europea ha impuesto a Google una multa de cerca de 4,34 miles de millones EUR por vulnerar las normas de defensa de la Competencia de la UE en materia de abusi de posición dominante. La multa se hizo pública el 18.07.2018

Recuérdese que Google, que controla desde 2005 el sistema operativo Android, ocupa una posición dominante en el mercado mundial (excluida China) de los sistemas operativos móviles inteligentes con licencia.Ostenta además una posición dominante en los mercados de servicios de búsqueda general en Internetsistemas operativos móviles inteligentes con licencia y tiendas de aplicaciones para el sistema operativo móvil Android.  También tiene una posición dominante en el mercado mundial (excluida China) de las tiendas de aplicaciones para el sistema operativo móvil Android  ( Play Store, representa más del 90 % de las aplicaciones descargadas en los dispositivos Android).

Si bien las posiciones dominantes no están prohibidas por el Derecho de la UE, si lo está el abuso de esa posición.

Como es sabido, el artículo 102 del Tratado de Funcionamiento de la Unión Europea (TFUE) y el artículo 54 del Acuerdo EEE prohíben los abusos de posición dominante. La Comisión incoó un procedimiento relativo a la conducta de Google en relación con el sistema operativo y las aplicaciones Android en abril de 2015 y remitió un pliego de cargos a Google en abril de 2016. En el transcurso de sus investigaciones, la Comisión Europea ha identificado prácticas contrarias a la competencia de Google en relación con los dispositivos de Android que refuerzan, abusivamente, la posición dominante del grupo empresarial  Google. Así, la Comisión concluye que Google tiene una posición dominante en los mercados de servicios de búsqueda general en internetsistemas operativos móviles inteligentes con licencia y tiendas de aplicaciones para el sistema operativo móvil Android.

La decisión de la Comisión va dirigida a Google LLC (antes Google Inc.)  y a Alphabet Inc., la sociedad matriz de Google.

Summer time

Concretamente la sanción se refiere a tres tipos de restricciones que ha impuesto Google a los fabricantes de dispositivos Android y a los operadores de redes,  para consolidar su posición de  dominio, que resultan contrarias a las normas de la libre competencia de la UE.

En particular, Google imponía a los fabricantes la obligación de preinstalar la aplicación Google Search y el navegador Chrome como condición para conceder la licencia de su tienda de aplicaciones, Play Store. También pagaba a  grandes fabricantes y operadores de redes móviles para que preinstalaran la aplicación Google Search en sus dispositivos, de modo exclusivo. Por otra parte en sus negociaciones con fabricantes que deseaban preinstalar aplicaciones de Google, les imponía como condición el no vender dispositivos inteligentes que funcionasen en versiones de Android no aprobadas por Google (las denominadas «bifurcaciones de Android»). La vinculación de la aplicación Google Search preinstalada en prácticamente todos los moviles android vendidos en el EEE y la vinculación del navegador Google Chrome preinsatalada en prácticamente todos los dispositivos Android vendidos en el EEE  son elementos  fundamentales en estas prácticas sancionadas.

La multa de €4 342 865 000 que se impone a Google/Alphabet tiene en cuenta la duración y la gravedad de las infracciones, de conformidad con las Directrices de la Comisión de 2006 sobre multas. Como consecuencia de la Decisión de la que se da noticia, Google debe poner fin de manera efectiva a estas conductas en un plazo de 90 días (y no volver a incidir en ellas ni en otras equivalentes),  y si incumple deberá hacer frente a multas coercitivas de hasta el 5 % del volumen de negocios mundial medio diario de Alphabet, la sociedad matriz de Google.  debe interrumpir y no volver a participar en ninguno de los tres tipos de prácticas.

 

 

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus +

Entendiendo los ciber riesgos en la UE, y su impacto en el sector asegurador

el 6 agosto, 2018 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Mucaf, Otros

La Autoridad Europea de Seguros y Pensiones de Jubilación (EIOPA)  publica un informe  relativo a los riesgos cibernéticos, en el que se concluye que el ciber riesgo representa una preocupación creciente para las instituciones, empresas, mercados financieros y ciudadanos. Este informe, Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, se basa en una encuesta realizada por ocho aseguradoras y cinco reaseguradoras en el Reino Unido, Suiza, Francia, Italia y Alemania.**

London’s Eye

Una de las principales conclusiones del informe es la necesidad de una comprensión más profunda del riesgo cibernético, entendimiento que representa, en si mismo, un reto fundamental para el sector asegurador europeo. Recuerda la Autoridad Europea que el mercado de seguros cibernéticos florece  predominantemente en los Estados Unidos, quedando sólo una reducida parte de ese mercado en manos de operadores y tomadores europeos.  Precisamente por ese motivo, los informes y encuestas disponibles se centran en el mercado de seguros mundial o en el de los Estados Unidos, afectando  a la configuración de las propias pólizas en Europa, al tratamiento de riesgos (principalmente los llamados «no afirmativos» , o implícitos en las coberturas) .

Como ocurre en los productos aseguradores novedosos, la falta de amplias series de datos resulta problemático. Este informe es el primer intento de la  EIOPA  de mejorar el nivel de comprensión de la suscripción de riesgos cibernéticos, centrándose en el mercado europeo de seguros, y se presenta como un primer paso en futuros estudios y trabajos de EIOPA en este campo.

  • La encuesta que subyace al informe se basa en un universo limitado, muestra con todo algunos aspectos importantes como es la necesidad de seguir profundizando en este tipo de productos y de alcanzar una mejor comprensión del ciber riesgo, de las estructuras de los productos aseguradores destinados a cubrirlos, y también de las necesidades de los eventuales asegurados, teniendo en cuenta que si bien hasta el momento las coberturas se han centrado fundamentalmente en la cibernética de empresa, con el tiempo la propia configuración de asegurados irá evolucionando para aceptar coberturas de consumo y consumidores.

Si bien el trabajo del que se da noticia no abarca el mercado español, llamamos la atención sobre el hecho de que entre nosotros se comercializan seguros de ciber riesgos, al menos a través de MAPFRE, existiendo una cierta estandarización para los riesgos de responsabilidad civil(cobertura de violación de privacidad y de multimedia y publicidad). Y un segundo conjunto de coberturas de daños propios del asegurado como daños a los sistemas informáticos, ya sean derivados de un acto informático doloso, malware, robo de datos o denegación de servicio o relacionados con  la interrupción del negocio ( que se asimilaría a un seguro de danos de lucro cesante y cubre la pérdida de beneficios como consecuencia de un fallo en los sistemas informáticos, derivado de un ciberataque), y amenaza de extorsión cibernética ( cubre los gastos realizados para proteger los sistemas informáticos y aminorar las consecuencias de una amenaza de extorsión cibernética), y también daños relacionados con la protección de datos (multas y sanciones por vulneración de la normativa de protección de datos; gastos derivados de notificaciones por violación de la privacidad, e incluso gastos de restitución de imagen por sanciones de la Agencia de Protección de Datos.

 

Ver también en este blog, Ciberseguridad y contenidos ilícitos, Sobre la unidad de ciber seguridad de la SEC, Ciberseguridad y seguros; Ciberseguridad en la UE Directiva general v ley especial

We thank the European and Comparative Law Institute, Oxford University, for the support and materials made available to us. August 2018

Texto redactado con el apoyo del Programa Erasmus + y  con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

Ciberseguridad, contenidos ilícitos, UE

el 30 abril, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

Recomendación (UE) 2018/334 de la Comisión, de 1 de marzo de 2018, sobre medidas para combatir eficazmente los contenidos ilícitos en línea y otros documentos relativos a la ciberseguridad en la UE **

Computer’s room. By M A Diaz

**Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

2017 fue un nuevo año récord en cuanto a número de casos de ciberocupación presentados ante la OMPI.

el 29 marzo, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, DM2- Derecho de la Competencia, propiedad industrial e intelectual. Grado en Derecho, Otros, Régimen jurídico del mercado. Grado Comercio Internacional

2017 fue un nuevo año récord en cuanto a número de casos de ciberocupación presentados ante la OMPI. Así lo manifiesta la Organización Mundial de la Propiedad Intelectual (OMPI), en nota de prensa del día 13  de este mes de marzo de 2018 (aquí).

Reconstrucción de un ejemplar de ‘Herrerasaurio Ischigualastensis y réplica de su esqueleto’, realizados por Juan Vicente Casado. Escuela Superior y Tecnica de Ingenieros de Minas de la Universidad de León. By M.A. Díaz.

Según la OMPI, aproximadamente un tercio de las controversias por ciberocupación tramitadas por  el Centro de Arbitraje y Mediación de la OMPI en 2017 corresponden a estos sectores: banca y finanzas, moda, e Internet y tecnologías de la información (TI). Indica asimismo que los propietarios de marcas presentaron la cifra que no se había alcanzado de 3.074 casos ante la OMPI en virtud de la Política Uniforme de Solución de Controversias en materia de Nombres de Dominio.

Los supuestos de ciberocupación relacionadas con los nuevos dominios genéricos de nivel superior (Nuevos gTLD) suponen más del 12% del total de casos sometidos a examen de la OMPI en 2017, ascendiendo a un total de 6.370 nombres de dominio.

 Según Francis Gurry, director general de la OMPI:
    •  «La ciberocupación, que supone el abuso de las marcas en el sistema de nombres de dominio, socava el comercio legítimo y perjudica a los consumidores. Esto es especialmente cierto cuando los ocupantes ilegales utilizan nombres de dominio para ofrecer artículos falsificados o para enviar mensajes electrónicos fraudulentos (phishing) como se observa en numerosos casos de la OMPI. El procedimiento que ofrece la Política Uniforme, sumamente eficaz, contribuye de forma esencial a la credibilidad del comercio en Internet y a la protección contra las prácticas fraudulentas».

Los Estados Unidos de América continuaron siendo el país donde se produjeron la mayoría de los casos sometidos a la OMPI en virtud de la Política Uniforme, con 920 casos en 2017, seguidos por Francia, Reino Unido; Alemania y Suiza. Respecto a los principales sectores donde se producen son “banca y finanzas” “moda”, “actividad de los demandantes Internet y TI” e “industria pesada y maquinaria”; los sectores de “alimentación, bebidas y restaurantes”, “biotecnología y productos farmacéuticos”, “electrónica”, “espectáculo” y “comercio minorista”.

  • Se constata que en casi un tercio de los casos resueltos relacionados con la banca y las finanzas presentados en 2017, se denunció la existencia de fraude, phishing o estafa. Asimismo, refleja que en más de un tercio de los casos resueltos relacionados con la moda presentados en 2017 se denunció la existencia de falsificaciones.
  • Philip Morris se lleva la palma, en la lista de demandantes (91 casos), seguido de Michelin, AB Electrolux, Andrey Ternovskiy (Chatroulette), Sanofi, Zions Bank, Carrefour, Virgin, Accor, BASF y LEGO.

En 2017, la OMPI publicó una nueva edición de WIPO Jurisprudential Overview (reseña de la jurisprudencia de la OMPI). Esta herramienta esencial de la OMPI, recoge numerosos avances en la jurisprudencia de la OMPI sobre la Política Uniforme y el sistema de nombres de dominio.

El Centro de Arbitraje y Mediación de la OMPI administró el primer procedimiento en virtud de la Política Uniforme en 1999, y en 2017 se superó la cifra de 39.000 casos presentados ante la OMPI, en relación con más de 73.000 nombres de dominio.

En lo que atañe a las controversias de propiedad intelectual, en 2017 se presentaron al Centro de la OMPI 52 casos de mediación y arbitraje y 84 peticiones de buenos oficios para distintos tipos de controversias en materia de propiedad intelectual. Las controversias más comunes planteadas en los últimos años son las relacionadas con las patentes, seguidas de las controversias sobre las TIC, las marcas y el derecho de autor.

Se deja constancia de que Europa continúa siendo la ubicación más frecuente de las partes, seguida de América del Norte, Asia y América Latina. Los casos presentados ante la OMPI versan sobre transacciones, especialmente acuerdos de I+D, acuerdos de distribución, acuerdos sobre programas informáticos, acuerdos de coproducción cinematográfica y acuerdos de no divulgación.

Fue la mediación de la OMPI el procedimiento más solicitado, figurando a continuación el arbitraje acelerado y el arbitraje. Se pone de relieve también un incremento, en este año, de las controversias de carácter no contractual interpuestas con posterioridad al planteamiento de un litigio, como pueden ser los procedimientos judiciales en curso ante los tribunales nacionales o las oficinas de propiedad intelectual de los Estados miembros.

Respecto a quiénes utilizaron con mayor frecuencia, en 2017, la mediación y el arbitraje de la OMPI,  fueron las empresas, incluidas las multinacionales y las pymes, situándose a continuación los particulares, las instituciones de investigación y las universidades, así como las sociedades de gestión colectiva del derecho de autor.

En  2017 el Centro de la OMPI emprendió 12 iniciativas de colaboración con las oficinas nacionales de PI y de derecho de autor, tales como el establecimiento de marcos extrajudiciales de solución de controversias, la organización de actividades de capacitación y promoción y la administración de casos.

La OMPI da cuenta de la publicación del el documento Guidance on WIPO FRAND ADR para facilitar la presentación de casos de controversia sobre la aplicación de condiciones justas, razonables y no discriminatorias respecto a las patentes necesarias para cumplir normas técnicas. En el Informe sobre la propiedad intelectual en el mundo 2017 se subraya que hasta un 35% de las solicitudes de patentes presentadas en todo el mundo desde 1990 atañen a los teléfonos inteligentes, siendo muchas de ellas patentes necesarias para cumplir normas técnicas. En dicho documento se recogen los elementos que las partes deben considerar en los procedimientos de solución extrajudicial de controversias y se incorporan acuerdos tipo de sometimiento a fin de recurrir a los procedimientos de la OMPI, en contraposición a la vía judicial.

Fintech, internacionalización de la actividad de las empresas y ciberseguridad

el 19 enero, 2018 en Ciberseguridad en la empresa. Master U en Ciberseguridad, Derecho de los Negocios Internacionales International Business Law. Grado Comercio Internacional

Dentro de los retos para la internacionalización de la actividad empresarial encontramos la necesidad de contar con servicios financieros ciberseguros. A efectos de promover tal objetivo, el ICEX, junto con otras oficinas exteriores realizan trabajos de apoyo a las empresas.**

El 22 de noviembre de 2017 tuvo lugar en Luxemburgo un encuentro de empresas de servicios fintech, patrocinado por ICEX ,  la Fundación House of Finantial Technology de Luxemburgo y  el BCEE (Banque et Caisse d’Epargne de l’Etat, Luxembourg  con el apoyo de la Oficina Económica y Comercial de España en Bélgica y Luxemburgo.

Gijón, Asturias

El objetivo de la reunión era promocionar la actividad de las corporaciones españolas en este terreno y potenciar la colaboración entre empresas de diferentes países. Cabe señalar que el sector financiero representa más de un 25% del PIB de Luxemburgo y que ese país ha realizado una apuesta clara por el Fintech para el desarrollo del sector financiero, por lo que la presencia de empresas españolas en el acto del que se da noticia augura posibles colaboraciones futuras. Recomendamos estas lecturas facilitadas por la Web del ICEX (exige acceso como empresa inscrita en ICEX)  “El mercado de FinTech en Alemania”, “El mercado FinTech en Israel”, “El mercado de FinTech en Luxemburgo”.

Más

** Redactado con el apoyo del Proyecto de Investigación «Libertad de Mercado y sobreendeudamiento de consumidores: estrategias jurídico-económicas para garantizar una segunda oportunidad» (Núm. Ref. DER2016-80568-R). Ministerio de Economía y Competitividad (España) del que la autora forma parte como investigadora.

La Securities Exchange Commission (División de cumplimiento) publica su informe de 2017 y sus prioridades de 2018. Atención a la nueva unidad de ciberseguridad

el 11 diciembre, 2017 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Otros

La Securities Exchange Control de EEUU satisfecha con su Unidad de Ciberseguridad, según se desprende del Informe anual de la SEC,  (Division de cumplimiento, sobre cumplimiento normativo y prioridades 2018), hecho publico el 15.noviembre 2017

 

Según el informe,2017 fue un año positivo para la división de Cumplimiento que puso en marcha 754 acciones coercitivas, incluidas 446 acciones independientes (stand alone) y devolvió un récord de $ 1.07 mil millones a los inversores perjudicados. Buena parte de las stand alone actions se referían a asesoramiento sobre inversiones, ofertas de valores y presentación de informes / contabilidad y auditoría de los emisores. También interpuso acciones relacionadas con la manipulación del mercado, operaciones con información privilegiada y  otras acciones. Las sentencias favorables a la SEC implicaron  más de $ 3,789 mil millones en restitución y sanciones.

Rey Alfonso V de León

  • Dentro de este informe destaca la creación de la Cyber Unit ,una unidad especializada en la lucha contra los riesgos de ciberseguridad, que se están convirtiendo en los más graves que sufren nuestros mercados y cuyos miembros trabajan para el cumplimiento normativo frente a ciberataques y también se ocupan de poner a la SEC al día en relación con la tecnología de bloques. Se centra en una serie de áreas como la manipulación de mercado mediante la difusión de informaciones falsas a través de medios electrónicas y redes sociales; piratería para obtener información reservada relevante y para negociar en los mercados sobre esa información, infracciones de la legislación vigente con la tecología de bloques y las ofertas iniciales de nuevas monedas,  conductas ilicitas apoyadas en la llamada «dark web» , ataques a webs de intermediarios al por menor y ataques cibernéticos a plataformas de negociación y a otras infrastructuras criticas.
  • El cumplimiento c¡normativo resulta critico para la protección de los intereses a largo plazo de los inversores y dada la importancia del cumplimiento para los pequeños inversores, la División de Cumplimiento creo la Retail Strategy Task Force.

En relación con las prioridades para 2018, destacamos los cinco principios básicos que, señala el informe, guiarán las decisiones de cumplimiento de la SEC en 2018: centrarse en el inversor de la economía real, frente al financiero; enfocarse en la responsabilidad individual; mantener el ritmo del cambio tecnológico; imponer sanciones que de manera más efectiva promuevan los objetivos de cumplimiento; y evaluar constantemente la asignación de recursos.

 

Ciberseguridad y FSB. Evaluación de las respuestas regulatorias y supervisoras frente a ciberataques.

el 25 octubre, 2017 en Banca y Seguros, Otros

El Consejo de Estabilidad Financiera (FSB) publicó el 13 de octubre de 2017  los resultados de su evaluación de las regulaciones, orientaciones  y prácticas de supervisión sobre ciberseguridad. El objetivo último del ejercicio es mejorar la seguridad y la cooperación transfronteriza frente a los riesgos cibernéticos.

 

Reina-Teuta-de-Iliria-circa-235-200-a-C. Reina Pirata

Subyace a este ejercicio la preocupación por la posible alteración del funcionamiento de los servicios financieros a nivel nacional y también internacional como consecuencia de los ciberataques. Y, la percepción de que estos ataques cibernéticos pueden poner en peligro la estabilidad financiera. La naturaleza cambiante del riesgo cibernético para las instituciones financieras se debe a varios factores como la evolución de la tecnología o las interconexiones entre instituciones financieras y entre instituciones financieras y terceros, así como los métodos cambiantes que se utilizan para atacar y para comprometer los sistemas de tecnología de la información.

Las autoridades de todo el mundo han adoptado medidas de regulación y  de supervisión para mitigar el riesgo cibernético que pesa sobre las instituciones financieras, así como para mejorar la respuesta efectiva a los ataques y  hacer más eficiente su recuperación.

El informe del FSB del que se da noticia, se compone de dos documentos, uno  resumido y un segundo análisis detallado de los resultados de la evaluación que tomaen cuenta las experiencias de las diversas jurisdicciones y organismos internacionales. El informe de resumen establece los temas clave planteados en septiembre de 2017 en un taller organizado por el  FSB que reunió a responsables del sector público y del sector privado para discutir la ciberseguridad en el sector financiero.

Entre los resultados destacamos:

  • Algunos mecanismos regulatorios actuales adoptan un enfoque específico para la ciberseguridad y / o para el riesgo de la tecnología de la información. El otro tercio se aproxima al problema como un riesgo operativo.
  • Algunos ordenamientos regulatorios de la ciberseguridad incluyen la evaluación de riesgos, interconexiones de terceros,  controles de acceso al sistema,  recuperación después de incidentes,  pruebas de sistemas y capacitación de personal.
  • El 72% de las jurisdicciones tienen planes para aprobar nuevas regulaciones en 2018, o al menos guías o prácticas de supervisión que aborden la seguridad cibernética para el sector financiero

    Moarves de Ojeda, Palencia

  • Los organismos internacionales también abordan el problema de la ciberseguridad para el sector financiero, desde distintas perspectivas: gobernanza, análisis y evaluación de riesgos, seguridad de la información,  fomento y reconocimiento de la  experiencia y de la capacitación de su personal, respuesta y recuperación frente a incidentes,  intercambio de información y comunicaciones, o  la supervisión de las interconexiones.
  • Desde el sector privado, los participantes en el taller mencionado enfatizaron que la ciberseguridad efectiva requiere un enfoque estratégico, prospectivo, fluido y proactivo, y destacaron la importancia de integrar la seguridad con las operaciones comerciales, así como la importancia de la comunicación de los responsables de ciberseguridad con los órganos de administración de las entidades. Expresaron su apoyo a la regulación proporcional basada en principios y basada en el riesgo, y también destacaron la importancia de un enfoque global coherente que evite múltiples esquemas regulatorios potencialmente conflictivos

Concluimos recordando que  estos resultados fueron presentados en la reunión de los ministros de Finanzas del G20 y de los gobernadores de los bancos centrales en Washington DC ya que había sido precisamente el G20 en su reunión de marzo de 2017  quien había encargado al FSB está evaluación.  con el objetivo último de mejorar la seguridad y la cooperación trasfronteriza.

Ciberseguridad en mercados de valores. EEUU

el 14 agosto, 2017 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad, Régimen jurídico del mercado. Grado Comercio Internacional

  • La Regulation Systems Compliance and Integrity  RSCI es una norma aprobada por la Securities and Exchange Commission, SEC, en 2015 con el objetivo de lograr un funcionamiento seguro de los sistemas tecnológicos de los  «participantes clave del mercado»,  término en el que se incluyen las bolsas de valores, sistemas alternativos de negociación, entre otros. Esta norma reconoce excepciones (como algunas relativas a la liquidación de valores).

 

La RSCI constituyó una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas informáticos que habían sido comunicados, o que se habían hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash de 6 de mayo de 2010. Recordemos  que los negociadores de alta frecuencia había sido también culpados de aquel «crash», al menos por haber contribuido a los problemas de liquidez en los mercados.

HolywellSt, Ox

Anteriormente, la SEC ya contaba con una línea de política estratégica de seguridad basada en principios voluntarios (Política de Revisión de la Automatización, ARP)  y efectuaba inspecciones de vigilancia tecnológica. Además, la Government Accountability Office había recomendado introducir normas obligatorias, así como mayores controles y supervisión de los sistemas informáticos con incidencia en la actividad de los mercados

Los sistemas SCI a los que refiere a RSCI consisten en mecanismos informáticos y procedimientos pautados que se utilizan en la negociación, la liquidación, el enrutamiento de ordenes, los datos operativos y de supervisión de mercado, entre otros. La RSCI impone que las entidades que operan las actividades afectadas desarrollen políticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Estas entidades deben contar con «niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados”. Se les impone además estrictas obligaciones de notificación al supervisor de mercados (SEC), y de difusión de información entre sus propios administradores y altos ejecutivos, y entre  los miembros o partes que se relacionen con la entidad, además de deberes de registro de los incidentes y de las medidas de cumplimento.

A los efectos de la norma, las políticas y procedimientos estarían razonablemente diseñados si se ajustan a las disposiciones tecnológicas para el sector financiero que apruebe el gobierno de los Estados Unidos u otra «organización ampliamente reconocida” de tal modo que el cumplimiento de tales disposiciones implica una presunción de “cumplimiento” que eximiría a las entidades (y a su personal) de responsabilidades, en circunstancias en las que no existieran «motivos razonables para creer que los procedimientos no cumplían con el marco normativo».

We thank the European and Comparative Law Institute, Oxford University, for the support received, July/August 2017

Ciberseguridad y seguros. Colaboración de los supervisores de EEUU y UE

el 23 enero, 2017 en Banca y Seguros, Ciberseguridad en la empresa. Master U en Ciberseguridad

El 17 de enero de 2017 se hacía pública la puesta en marcha de una nueva fase de desarrollo del Proyecto EU-USA en materia de seguros. En esta ocasión el desarrollo se orienta a la ciberseguridad en el sector.

Plaza Mayor de León. By R Castellanos Blanco

El EU-U.S. Insurance Project comenzó su andadura en 2012,  cuando la Comisión Europea, la EIOPA,  el US National Association of Insurance Commissioners (NAIC) y la Federal Insurance Office of the U.S. Department of the Treasury (FIO)  acordaron participar en diálogos para mejorar  el conocimiento recíproco y la cooperación entre la UE y EEUU en materia aseguradora , aumentar las oportunidades de colaborar en operaciones conjuntas, la protección del consumidor y la calidad en la supervisión en materia aseguradora. El Banco de la Reserva Federal (FRB) se ha unido después al projecto.

El incremento y variabilidad del riesgo de ciber ataques constituye un reto para el sector asegurador en el que se recogen, almacenan y procesan muchos tipos de datos.

Los participantes en el proyecto identificaron ya algunas cuestiones de interés prioritario como la protección de infraestructuras críticas, la necesidad de contar con modelos de buenas prácticas, o la colaboración entre autoridades.