Una normativa de ciberseguridad comprende directivas que salvaguardan la tecnología de la información y los sistemas informáticos con el fin de obligar a las empresas y organizaciones a proteger sus sistemas e información de ciberataques como virus , gusanos , troyanos , phishing , ataques de denegación de servicio (DoS) , acceso no autorizado (robo de propiedad intelectual o información confidencial) y ataques a sistemas de control .Si bien las regulaciones de ciberseguridad buscan minimizar los riesgos cibernéticos y mejorar la protección, la incertidumbre derivada de los cambios frecuentes o las nuevas regulaciones puede afectar significativamente las estrategias de respuesta de las organizaciones. [ 1 ]
Existen numerosas medidas disponibles para prevenir los ciberataques . Las medidas de ciberseguridad incluyen cortafuegos , software antivirus , sistemas de detección y prevención de intrusiones, cifrado y contraseñas de inicio de sesión .Se han realizado intentos para mejorar la ciberseguridad mediante la regulación y los esfuerzos de colaboración entre el gobierno y el sector privado para fomentar mejoras voluntarias en este ámbito. [ 1 ] [ 2 ] [ 3 ] Los reguladores de la industria, incluidos los reguladores bancarios , han tomado nota del riesgo que supone la ciberseguridad y han comenzado o planeado comenzar a incluirla como un aspecto de las auditorías regulatorias. [ 2 ]
Investigaciones recientes sugieren que también existe una falta de regulación y aplicación de la ciberseguridad en las empresas marítimas, incluida la conectividad digital entre buques y puertos. [ 4 ]
Fondo
En 2011, el Departamento de Defensa de los Estados Unidos (DoD) publicó una guía llamada Estrategia del Departamento de Defensa para Operar en el Ciberespacio que articulaba cinco objetivos: tratar el ciberespacio como un dominio operativo, emplear nuevos conceptos defensivos para proteger las redes y los sistemas del DoD, asociarse con otras agencias y el sector privado en la búsqueda de una "Estrategia de ciberseguridad de todo el gobierno", trabajar con aliados internacionales en apoyo de la ciberseguridad colectiva y apoyar el desarrollo de una fuerza laboral cibernética capaz de una rápida innovación tecnológica. [ 3 ] Un informe de marzo de 2011 de la Oficina de Responsabilidad Gubernamental (GAO) "identificó la protección de los sistemas de información del gobierno federal y la infraestructura crítica cibernética de la nación como un área de alto riesgo para todo el gobierno", señalando que la seguridad de la información federal había sido designada como un área de alto riesgo desde 1997. [ 5 ] A partir de 2003, los sistemas que protegen la infraestructura crítica, denominada protección de la infraestructura crítica cibernética o CIP cibernética, también se han incluido. [ 6 ]
En noviembre de 2013, el Departamento de Defensa presentó la nueva norma de ciberseguridad (78 Fed. Reg. 69373), que imponía ciertos requisitos a los contratistas: cumplimiento de ciertas normas de TI del Instituto Nacional de Estándares y Tecnología (NIST), notificación obligatoria de incidentes de ciberseguridad al Departamento de Defensa y una cláusula de "desplazamiento descendente" que aplica los mismos requisitos a los subcontratistas. [ 7 ]
Un informe del Congreso de junio de 2013 reveló que existían más de 50 leyes relevantes para el cumplimiento de la ciberseguridad. La Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA) es una de las leyes clave que rigen las regulaciones federales de ciberseguridad. [ 7 ]
Estados Unidos
gobierno federal
Existen pocas regulaciones federales de ciberseguridad, y las que hay se centran en sectores específicos. Las tres principales son la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) de 1996, la Ley Gramm-Leach-Bliley de 1999 y la Ley de Seguridad Nacional de 2002 , que incluye la Ley Federal de Gestión de la Seguridad de la Información (FISMA). Estas tres regulaciones exigen que las organizaciones sanitarias, las instituciones financieras y las agencias federales protejan sus sistemas e información.Por ejemplo, la FISMA, que se aplica a todos los organismos gubernamentales, "exige el desarrollo y la implementación de políticas, principios, estándares y directrices obligatorias sobre seguridad de la información". Sin embargo, la normativa no abarca a numerosas industrias relacionadas con la informática, como los proveedores de servicios de Internet (ISP) y las empresas de software.Además, la normativa no especifica qué medidas de ciberseguridad deben implementarse y solo exige un nivel de seguridad "razonable". El lenguaje ambiguo de esta normativa deja mucho margen para la interpretación. Bruce Schneier , fundador de Counterpane Internet Security, con sede en Cupertino, sostiene que las empresas no invertirán lo suficiente en ciberseguridad a menos que el gobierno las obligue a hacerlo.También afirma que, a pesar de los esfuerzos del gobierno, siguen produciéndose ciberataques exitosos contra sistemas gubernamentales.
Se ha sugerido que la Ley de Calidad de Datos ya otorga a la Oficina de Administración y Presupuesto la autoridad legal para implementar regulaciones de protección de infraestructura crítica mediante el proceso de reglamentación de la Ley de Procedimiento Administrativo . Esta idea no ha sido completamente examinada y requeriría un análisis legal adicional antes de que pudiera iniciarse el proceso de reglamentación . [ 8 ]
gobiernos estatales
Los gobiernos estatales han intentado mejorar la ciberseguridad aumentando la visibilidad pública de las empresas con deficiencias en seguridad. En 2003, California aprobó la Ley de Notificación de Violaciones de Seguridad , que exige que cualquier empresa que gestione información personal de ciudadanos californianos y sufra una violación de seguridad divulgue los detalles del incidente. La información personal incluye nombre, número de seguro social , número de licencia de conducir, número de tarjeta de crédito o información financiera.Otros estados han seguido el ejemplo de California y han aprobado normativas similares sobre la notificación de violaciones de seguridad.Estas regulaciones de notificación de brechas de seguridad sancionan a las empresas por sus fallas en ciberseguridad, al tiempo que les otorgan la libertad de elegir cómo proteger sus sistemas. Además, la regulación incentiva a las empresas a invertir voluntariamente en ciberseguridad para evitar la posible pérdida de reputación y las consiguientes pérdidas económicas derivadas de un ciberataque exitoso. [ 9 ]
En 2004, la Legislatura del Estado de California aprobó el Proyecto de Ley 1950 de la Asamblea de California, que también se aplica a las empresas que poseen o gestionan información personal de residentes de California. La normativa exige que las empresas mantengan un nivel razonable de seguridad y que las prácticas de seguridad requeridas se extiendan también a sus socios comerciales.Esta normativa supone una mejora respecto al estándar federal, ya que amplía el número de empresas obligadas a mantener un nivel aceptable de ciberseguridad. Sin embargo, al igual que la legislación federal, exige un nivel de ciberseguridad "razonable", lo que deja un amplio margen de interpretación hasta que se establezca la jurisprudencia.
Reglamento propuesto
El Congreso de los Estados Unidos ha propuesto numerosos proyectos de ley que amplían la regulación de la ciberseguridad. La Ley de Notificación y Seguridad de Datos del Consumidor modifica la Ley Gramm-Leach-Bliley para exigir la divulgación de las brechas de seguridad por parte de las instituciones financieras. Los congresistas también han propuesto "extender la Ley Gramm-Leach-Bliley a todos los sectores que manejan información financiera de los consumidores, incluidas las empresas que aceptan pagos con tarjeta de crédito".El Congreso ha propuesto regulaciones de ciberseguridad similares a la Ley de Notificación de Violaciones de Seguridad de California para las empresas que manejan información personal. La Ley de Protección y Seguridad de la Información exige que los intermediarios de datos "garanticen la exactitud y la confidencialidad de los datos, autentiquen y rastreen a los usuarios, detecten y prevengan actividades no autorizadas y mitiguen los posibles daños a las personas".
Además de exigir a las empresas que mejoren su ciberseguridad, el Congreso también está considerando proyectos de ley que penalizan los ciberataques. La Ley de Protección Segura contra la Intrusión Cibernética ( SPY ACT ) fue un proyecto de ley de este tipo. Se centró en el phishing y el software espía y fue aprobada el 23 de mayo de 2005 en la Cámara de Representantes de los Estados Unidos , pero no prosperó en el Senado . [ 9 ] El proyecto de ley "declara ilegal el uso no autorizado de una computadora para tomar el control de la misma, modificar su configuración, recopilar o inducir al propietario a revelar información de identificación personal , instalar software no solicitado y manipular el software de seguridad, antispyware o antivirus ".
El 12 de mayo de 2011, el presidente estadounidense Barack Obama propuso un paquete de reformas legislativas en materia de ciberseguridad para mejorar la seguridad de los ciudadanos estadounidenses, el gobierno federal y la infraestructura crítica. Tras un año de debate público y audiencias en el Congreso, la Cámara de Representantes aprobó un proyecto de ley sobre intercambio de información y el Senado elaboró un proyecto de ley de compromiso que buscaba equilibrar la seguridad nacional, la privacidad y los intereses empresariales.
En julio de 2012, los senadores Joseph Lieberman y Susan Collins propusieron la Ley de Ciberseguridad de 2012 .El proyecto de ley habría exigido la creación de " estándares de mejores prácticas " voluntarios para la protección de infraestructuras clave contra ciberataques, que las empresas se verían incentivadas a adoptar mediante medidas como la protección contra responsabilidad civil.El proyecto de ley fue sometido a votación en el Senado, pero no fue aprobado.Obama había manifestado su apoyo a la ley en un artículo de opinión publicado en el Wall Street Journal.Además, recibió el apoyo de funcionarios militares y de seguridad nacional, entre ellos John O. Brennan , el principal asesor antiterrorista de la Casa Blanca.Según The Washington Post , los expertos afirmaron que el hecho de no aprobar la ley podría dejar a Estados Unidos "vulnerable a un pirateo informático generalizado o a un ciberataque grave".La ley fue rechazada por senadores republicanos como John McCain, a quien le preocupaba que la ley introdujera regulaciones que no serían efectivas y que podrían ser una "carga" para las empresas.Tras la votación en el Senado, la senadora republicana Kay Bailey Hutchison declaró que la oposición al proyecto de ley no era una cuestión partidista, sino que no representaba el enfoque correcto en materia de ciberseguridad.La votación en el Senado no siguió estrictamente líneas partidistas, ya que seis demócratas votaron en contra y cinco republicanos votaron a favor.Entre los críticos del proyecto de ley figuraba la Cámara de Comercio de Estados Unidos .grupos de defensa como la Unión Estadounidense por las Libertades Civiles y la Fundación Electronic Frontier ,La experta en ciberseguridad Jody Westby y la Fundación Heritage argumentaron que, si bien el gobierno debe actuar en materia de ciberseguridad, el proyecto de ley tenía un enfoque defectuoso y representaba "un papel federal demasiado intrusivo".
En febrero de 2013, Obama propuso la Orden Ejecutiva para la Mejora de la Ciberseguridad de la Infraestructura Crítica. Esta representa la versión más reciente de la política, pero no se considera ley, ya que aún no ha sido abordada por el Congreso. Busca mejorar las asociaciones público-privadas existentes mediante la optimización de la puntualidad del flujo de información entre el DHS y las empresas de infraestructura crítica. Ordena a las agencias federales que compartan las alertas de inteligencia sobre amenazas cibernéticas con cualquier entidad del sector privado identificada como objetivo. Asimismo, encomienda al DHS la mejora del proceso para agilizar los trámites de autorización de seguridad para las entidades del sector público y privado pertinentes, a fin de que el gobierno federal pueda compartir esta información en los niveles de confidencialidad y clasificación adecuados. Ordena el desarrollo de un marco para reducir los riesgos cibernéticos, incorporando las mejores prácticas actuales de la industria y los estándares voluntarios. Por último, encomienda a las agencias federales involucradas la incorporación de protecciones de privacidad y libertades civiles de conformidad con los Principios de Prácticas Justas de Información. [ 10 ]
En enero de 2015, Obama anunció una nueva propuesta legislativa sobre ciberseguridad. Esta propuesta buscaba preparar a Estados Unidos ante el creciente número de ciberdelitos. En ella, Obama describió tres iniciativas principales para lograr un ciberespacio más seguro para el país. La primera iniciativa hacía hincapié en la importancia de facilitar el intercambio de información sobre ciberseguridad. Al hacerlo, la propuesta fomentaba el intercambio de información entre el gobierno y el sector privado. Esto permitiría al gobierno conocer las principales ciberamenazas a las que se enfrentan las empresas privadas y, por consiguiente, ofrecer protección legal a aquellas empresas que compartieran su información. Además, esto le daría al gobierno una mejor idea de las necesidades de protección de Estados Unidos. Otra iniciativa principal de esta propuesta era modernizar las fuerzas del orden para que estuvieran mejor equipadas para abordar adecuadamente los ciberdelitos, proporcionándoles las herramientas necesarias para ello. También se actualizarían las clasificaciones de los ciberdelitos y sus consecuencias. Una forma de lograrlo sería tipificar como delito la venta de información financiera en el extranjero. Otro objetivo de esta iniciativa es que los ciberdelitos sean procesables. El último esfuerzo importante de la propuesta legislativa fue exigir a las empresas que informaran a los consumidores sobre las filtraciones de datos si su información personal se había visto comprometida. Al exigirles que lo hicieran, los consumidores están al tanto de cuándo corren el riesgo de sufrir robo de identidad. [ 11 ]
En febrero de 2016, Obama elaboró un Plan de Acción Nacional de Seguridad Cibernética (CNAP). Este plan se creó para establecer acciones y estrategias a largo plazo con el fin de proteger a Estados Unidos contra las ciberamenazas. Su objetivo principal era informar al público sobre la creciente amenaza de los ciberdelitos, mejorar las medidas de ciberseguridad, proteger la información personal de los estadounidenses e informarles sobre cómo controlar su seguridad digital. Uno de los puntos clave de este plan es la creación de una "Comisión para el Fortalecimiento de la Ciberseguridad Nacional". El objetivo es crear una comisión integrada por un grupo diverso de expertos con perspectivas que puedan contribuir a formular recomendaciones sobre cómo fortalecer la ciberseguridad tanto en el sector público como en el privado. Otro punto clave es la transformación de la infraestructura informática gubernamental (TIG). La nueva TIG permitirá implementar una infraestructura informática más segura. El tercer punto clave es brindar a los estadounidenses conocimientos sobre cómo proteger sus cuentas en línea y evitar el robo de su información personal mediante la autenticación multifactor . El cuarto punto clave es invertir un 35% más de lo invertido en ciberseguridad que en 2016. [ 12 ]
Novedades recientes a nivel federal y sectorial (2023-2025)
En julio de 2023, la SEC adoptó normas que exigen a las empresas públicas informar sobre incidentes de ciberseguridad “materiales” en el Formulario 8-K y describir las prácticas de gestión de riesgos y gobernanza en informes periódicos; la divulgación del incidente debe realizarse cuatro días hábiles después de que la entidad registrada determine su materialidad. La mayoría de las entidades registradas comenzaron a cumplir en diciembre de 2023. [ 13 ] [ 14 ]
A nivel estatal, el Departamento de Servicios Financieros de Nueva York modificó su reglamento de ciberseguridad (23 NYCRR Parte 500) con un segundo conjunto de cambios que entraron en vigor el 1 de noviembre de 2023. Las modificaciones amplían los requisitos de gobernanza y gestión de incidentes, e introducen mayores obligaciones para las empresas más grandes de “Clase A”. [ 15 ]
La Comisión Federal de Comercio ( FTC) modificó la Regla de Salvaguardias para añadir la obligación de notificar violaciones de seguridad a ciertas instituciones financieras no bancarias. El requisito ya está en vigor y exige la notificación a la FTC lo antes posible y a más tardar 30 días después del descubrimiento cuando un incidente involucre la información de al menos 500 consumidores. [ 16 ] [ 17 ]
En el ámbito de la atención médica, la Regla de Seguridad de HIPAA ha sido objeto de una propuesta de modernización. El Departamento de Salud y Servicios Humanos de los Estados Unidos publicó un aviso de propuesta de reglamentación a finales de 2024, que se publicó en el Registro Federal el 6 de enero de 2025, con el fin de actualizar los requisitos para proteger la información sanitaria electrónica protegida. [ 18 ] [ 19 ]
Tras el incidente del oleoducto Colonial Pipeline en 2021, la Administración de Seguridad del Transporte (TSA) emitió y posteriormente revisó las Directivas de Seguridad de Ciberseguridad para oleoductos. En julio de 2024 se publicó una versión censurada de la Directiva SD Pipeline-2021-02E, y la agencia mantiene una página con las directivas de seguridad vigentes para oleoductos y otros medios de transporte. [ 20 ] [ 21 ]
Otros esfuerzos del gobierno
Además de la regulación, el gobierno federal ha intentado mejorar la ciberseguridad destinando más recursos a la investigación y colaborando con el sector privado para elaborar estándares. En 2003, la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio asignó al Departamento de Seguridad Nacional (DHS) la responsabilidad de formular recomendaciones de seguridad e investigar soluciones nacionales. El plan contempla la cooperación entre el gobierno y la industria para crear un sistema de respuesta de emergencia ante ciberataques y reducir la vulnerabilidad del país ante dichas amenazas.En 2004, el Congreso de los Estados Unidos destinó 4.700 millones de dólares a la ciberseguridad y al logro de muchos de los objetivos establecidos en la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio.Algunos expertos en seguridad del sector afirman que la Estrategia Nacional del Presidente para la Seguridad del Ciberespacio es un buen primer paso, pero resulta insuficiente.La Estrategia Nacional del Presidente establece que el objetivo es proporcionar un marco para que los propietarios de sistemas informáticos mejoren su seguridad, en lugar de que el gobierno se haga cargo y resuelva el problema.Sin embargo, las empresas que participan en las iniciativas de colaboración descritas en la estrategia no están obligadas a adoptar las soluciones de seguridad descubiertas.
En Estados Unidos, el Congreso está intentando aumentar la transparencia de la información después de que la Ley de Ciberseguridad de 2012, que habría creado estándares voluntarios para proteger la infraestructura vital, no lograra ser aprobada por el Senado. [ 22 ] En febrero de 2013, la Casa Blanca emitió una orden ejecutiva, titulada "Mejora de la ciberseguridad de la infraestructura crítica", que permite al poder ejecutivo compartir información sobre amenazas con más empresas e individuos. [ 22 ] [ 23 ] En abril de 2013, la Cámara de Representantes aprobó la Ley de Intercambio y Protección de Inteligencia Cibernética (CISPA), que exige protección contra demandas dirigidas a empresas que divulguen información sobre violaciones de seguridad. [ 22 ] La administración Obama dijo que podría vetar el proyecto de ley. [ 22 ]
India
A raíz del ataque informático al sitio web del brazo comercial de la Agencia Espacial India en 2015, Antrix Corporation y el programa gubernamental Digital India, Pavan Duggal , experto en derecho cibernético y abogado ante la Corte Suprema de la India , afirmó que "una legislación específica sobre ciberseguridad es un requisito fundamental para la India. No basta con simplemente incluir la ciberseguridad como parte de la Ley de Tecnologías de la Información. Debemos considerar la ciberseguridad no solo desde una perspectiva sectorial, sino también desde una perspectiva nacional". [ 24 ]
Más sobre India: Su marco de ciberseguridad se basa principalmente en la Ley de Tecnologías de la Información de 2000 (Ley de TI) y sus enmiendas de 2008, que otorgan reconocimiento legal a los registros electrónicos y las firmas digitales, y tipifican como delito el acceso no autorizado, la manipulación de datos y ciertas formas de contenido en línea. La Ley también designa al Equipo Indio de Respuesta a Emergencias Informáticas (CERT-In) como la agencia nacional para la respuesta a incidentes según la sección 70B, con funciones que incluyen la recopilación y el análisis de información sobre incidentes, la emisión de avisos y la coordinación de la respuesta técnica. [ 25 ] [ 26 ]
Según la Ley de Tecnologías de la Información, una serie de normas y notificaciones establecen obligaciones más detalladas. Las Normas de Tecnologías de la Información (Directrices para Intermediarios y Código de Ética de los Medios Digitales) de 2021 imponen requisitos de diligencia debida a los "intermediarios", como las redes sociales y los servicios de mensajería, incluyendo disposiciones sobre la eliminación de contenido y, para ciertas categorías de contenido, la trazabilidad del autor. [ 27 ]
En abril de 2022, CERT-In emitió directrices vinculantes en virtud de la sección 70B que exigen a los proveedores de servicios, intermediarios, centros de datos, proveedores de servicios de activos virtuales y proveedores de redes privadas virtuales (VPN) que informen a la agencia sobre incidentes cibernéticos específicos en un plazo de seis horas desde su detección y que conserven ciertos registros del sistema durante 180 días. Las directrices también exigen que se mantenga información precisa de los suscriptores o clientes, la cual puede proporcionarse a las autoridades si así lo solicitan. [ 28 ]
Porcelana
China ha desarrollado un marco integral de leyes y reglamentos que rigen la ciberseguridad, los datos y la información personal. Los instrumentos principales son la Ley de Ciberseguridad, que entró en vigor en 2017, la Ley de Seguridad de Datos, vigente desde 2021, y la Ley de Protección de Información Personal (LPIP), vigente desde noviembre de 2021. En conjunto, regulan a los operadores de red, los operadores de infraestructuras de información críticas, la clasificación y protección de datos, y el tratamiento de información personal, con un énfasis explícito en la seguridad nacional y el interés público. [ 29 ]
La Ley de Ciberseguridad exige a los operadores de infraestructuras de información críticas que adopten medidas de seguridad técnicas y organizativas, se sometan a revisiones de seguridad para determinados productos y servicios de red y, en muchos casos, almacenen información personal y «datos importantes» generados en China continental en servidores nacionales, a menos que se apruebe una evaluación de seguridad para las transferencias transfronterizas. [ 29 ] La Ley de Seguridad de Datos introduce un sistema por capas para clasificar y proteger los datos, incluido el concepto de «datos importantes», y vincula las obligaciones de gestión de datos con los riesgos potenciales para la seguridad nacional, el interés público y los derechos individuales. [ 29 ]
La Ley de Protección de Datos Personales establece principios para el tratamiento lícito, justo y transparente de la información personal, define los derechos de las personas sobre sus datos y establece obligaciones para quienes manejan información personal similares a las impuestas a los responsables del tratamiento de datos en otras jurisdicciones. Tiene efecto extraterritorial en ciertas situaciones en las que organizaciones fuera de China manejan información personal de personas en China para proporcionar productos o servicios o para analizar su comportamiento, e impone requisitos adicionales, como evaluaciones de seguridad, contratos estándar o certificación para la transferencia de información personal al extranjero. [ 30 ]
Las normas detalladas emitidas por la Administración del Ciberespacio de China, incluidas las Medidas para la Evaluación de la Seguridad de las Transferencias Transfronterizas de Datos que entraron en vigor en 2022, especifican con mayor precisión cuándo los exportadores de datos deben solicitar una evaluación de seguridad oficial, por ejemplo, al exportar datos importantes o grandes volúmenes de información personal. Grupos empresariales y comentaristas jurídicos han resaltado la carga de cumplimiento y la incertidumbre generadas por la superposición de definiciones y procedimientos de aprobación, especialmente para las empresas multinacionales que necesitan trasladar datos operativos o de investigación fuera de China. [ 31 ] [ 32 ] [ 33 ]
Estas normas de transferencia de datos también han afectado la cooperación científica internacional. En 2025, varios de los principales financiadores públicos de investigación europeos anunciaron pausas o cambios en los programas cofinanciados con socios chinos, alegando que el régimen de protección de datos de China, en particular la Ley de Seguridad de Datos, dificulta el intercambio de datos de investigación transfronterizos sin dejar de cumplir con la normativa. [ 34 ]
unión Europea
Los estándares de ciberseguridad han adquirido gran relevancia en las empresas tecnológicas actuales. Para maximizar sus beneficios, las corporaciones aprovechan la tecnología y realizan la mayor parte de sus operaciones a través de internet. Dado el gran número de riesgos que conllevan las operaciones en red, estas deben estar protegidas por una normativa integral y exhaustiva. Las normativas de ciberseguridad vigentes abarcan diferentes aspectos de las operaciones comerciales y suelen variar según la región o el país donde opera la empresa. Debido a las diferencias en la sociedad, la infraestructura y los valores de cada país, un único estándar general de ciberseguridad no resulta óptimo para reducir los riesgos. Si bien los estándares estadounidenses proporcionan una base para las operaciones, la Unión Europea ha creado una normativa más específica para las empresas que operan dentro de la UE. Asimismo, a raíz del Brexit , es importante considerar cómo el Reino Unido ha optado por cumplir con dichas normativas de seguridad.
Tres normativas importantes dentro de la UE son la ENISA, la Directiva NIS y el RGPD. Estas forman parte de la estrategia del Mercado Único Digital .
En lo que respecta a las normas, la Ley de Ciberseguridad / Reglamento ENISA no hace referencia directa a ellas. No obstante, ENISA reconoce en su sitio web que «la estrategia de ciberseguridad de la UE subraya el apoyo a una mayor estandarización a través de las organizaciones europeas de normalización (CEN, CENELEC y ETSI), así como de la ISO. [ 35 ] »
Las normas ISO/IEC, así como las normas europeas de CEN, CENELEC y ETSI, pueden utilizarse de forma voluntaria para cumplir con los requisitos de la legislación de la UE. Se puede consultar una lista actualizada de normas ISO/IEC y CEN/CENELEC sobre ciberseguridad en el sitio web de información pública y gratuita Genorma.com. [ 36 ]
ENISA
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es un organismo rector creado originalmente por el Reglamento (CE) n.º 460/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, con el fin de aumentar la seguridad de las redes y de la información (SNI) para todas las operaciones de interconexión de redes en la UE. Actualmente, ENISA opera bajo el Reglamento (UE) n.º 526/2013, [ 37 ] que sustituyó al reglamento original en 2013. ENISA colabora activamente con todos los Estados miembros de la UE para proporcionar una gama de servicios. Sus operaciones se centran en tres factores:
- Recomendaciones a los Estados miembros sobre las medidas a adoptar en caso de violaciones de seguridad.
- Apoyo a la formulación e implementación de políticas para todos los Estados miembros de la UE.
- Apoyo directo con ENISA adoptando un enfoque práctico para trabajar con equipos operativos en la UE [ 38 ]
ENISA está compuesta por un consejo de administración que cuenta con el apoyo del director ejecutivo y del Grupo Permanente de Partes Interesadas. Sin embargo, la mayoría de las operaciones son gestionadas por los jefes de los distintos departamentos. [ 39 ]
ENISA ha publicado diversas obras que abarcan todos los temas principales de ciberseguridad. Entre las iniciativas pasadas y presentes de ENISA se incluyen la Estrategia de la UE para la Nube, las Normas Abiertas en Tecnologías de la Información y la Comunicación, una Estrategia de Ciberseguridad de la UE y un Grupo de Coordinación de Ciberseguridad. ENISA también colabora con organizaciones internacionales de normalización como la ISO y la UIT . [ 40 ]
Directiva NIS
El 6 de julio de 2016, el Parlamento Europeo adoptó como política la Directiva sobre la seguridad de las redes y los sistemas de información (la Directiva NIS ). [ 41 ]
La directiva entró en vigor en agosto de 2016, y todos los Estados miembros de la Unión Europea dispusieron de 21 meses para incorporar sus reglamentos a sus leyes nacionales. [ 42 ] El objetivo de la Directiva NIS es crear un nivel general más alto de ciberseguridad en la UE. La directiva afecta significativamente a los proveedores de servicios digitales (PSD) y a los operadores de servicios esenciales (OSE). Los operadores de servicios esenciales incluyen a todas las organizaciones cuyas operaciones se verían gravemente afectadas en caso de una brecha de seguridad si participan en actividades sociales o económicas críticas. Tanto los PSD como los OSE son ahora responsables de notificar los incidentes de seguridad importantes a los Equipos de Respuesta a Incidentes de Seguridad Informática (CSIRT). [ 43 ] Si bien los PSD no están sujetos a regulaciones tan estrictas como los operadores de servicios esenciales, los PSD que no están establecidos en la UE pero que operan en ella también están sujetos a regulaciones. Incluso si los PSD y los OSE subcontratan el mantenimiento de sus sistemas de información a terceros, la Directiva NIS los responsabiliza de cualquier incidente de seguridad. [ 44 ]
Los Estados miembros de la UE están obligados a crear una estrategia de directiva NIS, que incluya los CSIRT, además de las Autoridades Nacionales Competentes (ANC) y los Puntos Únicos de Contacto (POPC). Estos recursos tienen la responsabilidad de gestionar las brechas de ciberseguridad de forma que se minimice su impacto. Además, se anima a todos los Estados miembros de la UE a compartir información sobre ciberseguridad. [ 45 ]
Los requisitos de seguridad incluyen medidas técnicas que gestionan los riesgos de las brechas de ciberseguridad de forma preventiva. Tanto DSP como OES deben proporcionar información que permita una evaluación exhaustiva de sus sistemas de información y políticas de seguridad. [ 46 ] Todos los incidentes significativos deben notificarse a los CSIRT. Los incidentes de ciberseguridad significativos se determinan por el número de usuarios afectados por la brecha de seguridad, así como por la duración del incidente y su alcance geográfico. [ 46 ]
NIS2
Ley de Ciberseguridad de la UE (CRA)
La Ley de Resiliencia Cibernética (Reglamento (UE) 2024/2847) establece requisitos horizontales de ciberseguridad para productos con elementos digitales. Fue adoptada el 23 de octubre de 2024. Su aplicación es gradual: algunas disposiciones entraron en vigor en 2026 y la aplicación completa se realizó a partir del 11 de diciembre de 2027, según lo establecido en el artículo 71. [ 47 ] ENISA desempeñará un papel fundamental en el establecimiento y mantenimiento del marco europeo de certificación de ciberseguridad. [ 48 ]
Reglamento General de Protección de Datos (RGPD) de la UE
El Reglamento General de Protección de Datos (RGPD) de la UE entró en vigor el 14 de abril de 2016, pero posteriormente se modificó la fecha de entrada en vigor al 25 de mayo de 2018. [ 49 ] El RGPD tiene como objetivo establecer un estándar único de protección de datos para todos los Estados miembros de la UE. Entre los cambios se incluye la redefinición de las fronteras geográficas. Se aplica a las entidades que operan en la UE o que tratan datos de cualquier residente de la UE. Independientemente de dónde se procesen los datos, si se procesan datos de un ciudadano de la UE, la entidad está sujeta al RGPD. [ 50 ]
Las multas también son mucho más estrictas según el RGPD y pueden ascender a 20 millones de euros o al 4 % de la facturación anual de una entidad, lo que sea mayor. [ 50 ] Además, como en las normativas anteriores, todas las violaciones de datos que afecten a los derechos y libertades de las personas residentes en la UE deben notificarse en un plazo de 72 horas.
El organismo rector, el Comité Europeo de Protección de Datos (CEPD), es el responsable de toda la supervisión establecida por el RGPD.
El consentimiento desempeña un papel fundamental en el RGPD. Las empresas que gestionan datos de ciudadanos de la UE ahora también deben ofrecerles el derecho a revocar el consentimiento para compartir sus datos con la misma facilidad con la que lo otorgaron. [ 51 ]
Además, los ciudadanos también pueden restringir el tratamiento de los datos almacenados sobre ellos y optar por permitir que las empresas almacenen sus datos, pero no los procesen, lo que crea una clara diferenciación. A diferencia de las normativas anteriores, el RGPD también restringe la transferencia de datos de un ciudadano fuera de la UE o a un tercero sin su consentimiento previo. [ 51 ]
Directiva NIS 2
El 16 de enero de 2023, el Parlamento Europeo y el Consejo adoptaron la Directiva 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas para lograr un alto nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972, y se deroga la Directiva (UE) 2016/1148 (Directiva NIS) [ 52 ] . Esta nueva Directiva tiene por objeto ampliar el alcance de las obligaciones de las entidades que deben adoptar medidas para aumentar sus capacidades de ciberseguridad. La Directiva también pretende armonizar el enfoque de la UE en materia de notificaciones de incidentes, requisitos de seguridad, medidas de supervisión e intercambio de información. [ 53 ] El Proyecto de Ley Nacional de Ciberseguridad de 2024 transpondrá la Directiva NIS2 al derecho irlandés una vez promulgada. [ 54 ]
Fondo
En el contexto de la creciente dependencia de las tecnologías digitales, la pandemia de COVID-19 puso de manifiesto la vulnerabilidad de las sociedades digitalizadas ante riesgos inesperados. [ 55 ] A la luz de esta evidencia, la Comisión Europea revisó la Directiva NIS (Seguridad de las Redes y de la Información) vigente e identificó los siguientes puntos críticos:
- Resiliencia cibernética insuficiente de las empresas que operan en la UE,
- inconsistencia en la comparación de la solidez entre los Estados miembros y los sectores,
- Comprensión compartida insuficiente de las principales amenazas y desafíos entre los Estados miembros,
- Falta de respuesta conjunta ante la crisis.
Tras varias rondas de consultas, la Directiva NIS 2 final [ 56 ] fue adoptada por la Comisión Europea el 14 de diciembre de 2022.
Contenido
La directiva exige a los Estados miembros de la Unión Europea que adopten una estrategia nacional de ciberseguridad. Además, deben designarse equipos nacionales de respuesta a incidentes de seguridad informática (CSIRT, por sus siglas en inglés), responsables de gestionar los riesgos e incidentes. Un punto único de contacto (SPoC, por sus siglas en inglés) tiene como objetivo garantizar una cooperación transfronteriza segura entre las autoridades de los Estados miembros.
La Directiva NIS 2 impone requisitos más estrictos a las autoridades nacionales que la Directiva NIS anterior y armoniza las posibilidades de sanción en todos los Estados miembros. La directiva introduce medidas de supervisión más rigurosas para las autoridades nacionales, requisitos de aplicación más estrictos y la armonización de los regímenes de sanciones en todos los Estados miembros.
Ampliación del alcance
A diferencia, por ejemplo, de la ordenanza emitida en 2016 en virtud de la Ley BSI alemana para la protección de infraestructuras críticas ( BSI-KritisV ), [ 57 ] la cultura y los medios de comunicación, el transporte público local y la venta al por mayor de medicamentos no están cubiertos por la Directiva NIS 2, pero se añadieron nuevos ámbitos como el espacio, los registradores de dominios de nivel superior y los proveedores de servicios de confianza. [ 58 ] El aumento de las instituciones afectadas se debe principalmente a que los umbrales conocidos de la BSI-KritisV ya no se aplican aquí. Además, existen varias gradaciones: ahora se distingue entre las denominadas entidades esenciales y las entidades importantes , principalmente en función del número de empleados o la facturación. Como antes, también existen entidades críticas . [ 59 ]
La Ley de Resiliencia Operativa Digital (DORA)
DORA crea un marco regulatorio sobre resiliencia operativa digital mediante el cual todas las empresas deben asegurarse de poder resistir, responder y recuperarse de todo tipo de interrupciones y amenazas relacionadas con las TIC . Estos requisitos son homogéneos en todos los Estados miembros de la UE. El reglamento se aplicará a partir del 17 de enero de 2025 a las entidades financieras pertinentes y a los proveedores de servicios de TIC de terceros. [ 60 ]
Ley de Resiliencia Cibernética
La Ley de Resiliencia Cibernética (Reglamento (UE) 2024/2847) establece requisitos horizontales de ciberseguridad para productos con elementos digitales. Fue adoptada el 23 de octubre de 2024. Su aplicación es gradual, con ciertas disposiciones en vigor desde 2026 y su plena aplicación a partir del 11 de diciembre de 2027, tal como se establece en el artículo 71. [ 61 ] [ 62 ] [ 63 ]
Países individuales de la UE
República de Irlanda
La Ley de Justicia Penal (Delitos Relacionados con los Sistemas de Información) de 2017 se introdujo en mayo de 2017 para consolidar las leyes sobre delitos informáticos. [ 64 ] [ 65 ]
Reino Unido
El régimen de Seguridad de Productos e Infraestructura de Telecomunicaciones (PSTI) introdujo requisitos de seguridad obligatorios para los productos de consumo “conectables” en el Reino Unido. Entró en vigor el 29 de abril de 2024 e incluye medidas como la prohibición de contraseñas predeterminadas o fáciles de adivinar, la publicación de un punto de contacto para la notificación de vulnerabilidades y la transparencia en las actualizaciones de seguridad. [ 66 ] [ 67 ]
Marcos y estándares
Fuera del marco legal vinculante, el Marco de Ciberseguridad del NIST se actualizó a la versión 2.0 en febrero de 2024. La actualización añadió una nueva función de Gobernanza que hace hincapié en la gobernanza y el riesgo de la cadena de suministro y tiene como objetivo orientar sobre cómo las organizaciones implementan las demás funciones. [ 68 ] [ 69 ]
Reacciones
Si bien los expertos coinciden en que son necesarias mejoras en la ciberseguridad, existe desacuerdo sobre si la solución reside en una mayor regulación gubernamental o en una mayor innovación del sector privado.
Apoyo
Muchos funcionarios gubernamentales y expertos en ciberseguridad creen que el sector privado no ha logrado resolver el problema de la ciberseguridad y que se necesita regulación. Richard Clarke afirma que "la industria solo responde cuando se amenaza con la regulación. Si la industria no responde [a la amenaza], hay que cumplirla".Él cree que hay que obligar a las empresas de software a producir programas más seguros.Bruce Schneier también apoya la regulación que anima a las empresas de software a escribir código más seguro mediante incentivos económicos.El representante estadounidense Rick Boucher ( demócrata por Virginia ) propone mejorar la ciberseguridad responsabilizando a las empresas de software por las fallas de seguridad en su código.Además de mejorar la seguridad del software, Clarke cree que ciertas industrias, como las de servicios públicos y los proveedores de servicios de Internet, requieren regulación.
Oposición
Por otro lado, muchos ejecutivos y lobistas del sector privado creen que una mayor regulación limitará su capacidad para mejorar la ciberseguridad. Harris Miller, lobista y presidente de la Asociación de Tecnología de la Información de Estados Unidos , opina que la regulación frena la innovación.Rick White, exabogado corporativo y presidente y director ejecutivo del grupo de presión TechNet, también se opone a una mayor regulación. Afirma que "el sector privado debe seguir siendo capaz de innovar y adaptarse en respuesta a los nuevos métodos de ataque en el ciberespacio, y en ese sentido, felicitamos al presidente Bush y al Congreso por ejercer moderación regulatoria".
Otra razón por la que muchos ejecutivos del sector privado se oponen a la regulación es que resulta costosa e implica la supervisión gubernamental de la empresa privada. A las empresas les preocupa tanto que la regulación reduzca sus beneficios como que limite su flexibilidad para resolver el problema de la ciberseguridad de forma eficiente.
En concreto, en torno a la CRA, destacadas organizaciones de software libre y de código abierto , como la Fundación Eclipse , la Internet Society y la Python Software Foundation , expresan su preocupación por la amplitud de su impacto. Estas organizaciones resaltan consecuencias no contempladas en la normativa, que, según concluyen, perjudican fundamentalmente al movimiento de código abierto. Proponen cambios que permitirían el uso de software de código abierto en la UE sin la misma regulación que se aplicaría a los desarrolladores de software comercial. [ 70 ] [ 71 ] [ 72 ] [ 73 ]
Véase también
- Centro de Coordinación CERT
- estándares de ciberseguridad
- Ley de Intercambio de Información sobre Ciberseguridad
- Proyecto de Ley de Ciberseguridad y Resiliencia : propuesta de reglamento del Reino Unido.
- Contraseña predeterminada
- garantía de la información
- Lista de filtraciones de datos
- Secuestro de dispositivo médico
- División Nacional de Ciberseguridad
- Estrategia nacional para garantizar la seguridad del ciberespacio
- Directiva presidencial
- Defensa cibernética proactiva
- Equipo de respuesta ante emergencias informáticas de los Estados Unidos
- Departamento de Seguridad Nacional de los Estados Unidos
Notas
- ^ "Cronología de las filtraciones de datos reportadas desde el incidente de ChoicePoint." (2005). Consultado el 13 de octubre de 2005.
- ^ "Seguimiento del proyecto de ley del Centro de Información sobre Privacidad Electrónica: Seguimiento de la privacidad, la libertad de expresión y las libertades civiles en el 109.º Congreso". (2005). Consultado el 23 de octubre de 2005.
- ^ "Cómo funcionan los virus informáticos." (2005). Consultado el 10 de octubre de 2005.
- ^ "Estrategia Nacional para la Seguridad del Ciberespacio.Archivadoel 27 de febrero de 2012 enWayback Machine." (2003). Consultado el 14 de diciembre de 2005.
- ^ "Aviso de violación de seguridad – artículos 1798.29 y 1798.82 – 1798.84 del código civil." (2003). Consultado el 23 de octubre de 2005.
- ^ "Entrevista a Richard Clarke." (2003). Consultado el 4 de diciembre de 2005.
- ^ Gordon, LA, Loeb, MP, Lucyshyn, W. y Richardson, R. (2005). "Encuesta sobre delitos informáticos y seguridad del CSI/FBI de 2005". Recuperado el 10 de octubre de 2005.
- ^ Heiman, BJ (2003).La regulación de la ciberseguridad ya está aquí.Conferencia de seguridad RSA, Washington, DC. Consultado el 17 de octubre de 2005.
- ^ Kirby, C. (2003, 4 de diciembre de 2003). "Foro se centra en la ciberseguridad". San Francisco Chronicle.
- ^ Lemos, R. (2003). "Bush presenta su plan final de ciberseguridad". Recuperado el 4 de diciembre de 2005.
- ^ Menn, J. (2002, 14 de enero de 2002). "Las fallas de seguridad pueden ser una trampa para Microsoft". Los Angeles Times, págs. C1.
- ^ Rasmussen, M., & Brown, A. (2004). "La ley de California establece el deber de diligencia en materia de seguridad de la información". Recuperado el 31 de octubre de 2005.
- ^ Schmitt, E., Charron, C., Anderson, E., & Joseph, J. (2004). "Qué significarán las leyes de datos propuestas para los profesionales del marketing". Recuperado el 31 de octubre de 2005.
- ^ Jennifer Rizzo. (2 de agosto de 2012) "Proyecto de ley de ciberseguridad fracasa en el Senado". Consultado el 29 de agosto de 2012.
- ^ Paul Rosenzweig. (23 de julio de 2012) "Ley de Ciberseguridad de 2012: El proyecto de ley revisado sobre ciberseguridad aún presenta problemas [inadecuado] ". The Heritage Foundation. Consultado el 20 de agosto de 2012.
- ^ Ed O'Keefe y Ellen Nakashima. (2 de agosto de 2012) «El proyecto de ley de ciberseguridad fracasa en el Senado». The Washington Post. Consultado el 20 de agosto de 2012.
- ^ Alex Fitzpatrick. (20 de julio de 2012) "Obama da el visto bueno al nuevo proyecto de ley de ciberseguridad". Mashable. Consultado el 29 de agosto de 2012.
- ^ Brendan Sasso. (4 de agosto de 2012) "Tras el rechazo del proyecto de ley de ciberseguridad del Senado, Obama sopesa la opción de una orden ejecutiva". The Hill. Consultado el 20 de agosto de 2012.
- ^ Jaikumar Vijayan. (16 de agosto de 2012) "No hay disputa partidista sobre el proyecto de ley de ciberseguridad, afirma un senador republicano". Computerworld. Consultado el 29 de agosto de 2012.
- ^ Carl Franzen. (2 de agosto de 2012) "Tras el fracaso del proyecto de ley de ciberseguridad en el Senado, los defensores de la privacidad se regocijan". TPM. 29 de agosto de 2012.
- ^ Alex Fitzpatrick. (2 de agosto de 2012) "Proyecto de ley de ciberseguridad se estanca en el Senado". Mashable. Consultado el 29 de agosto de 2012.
- ^ Jody Westby (13 de agosto de 2012) "El Congreso necesita volver a la escuela en materia de legislación cibernética". Forbes. Consultado el 20 de agosto de 2012.
Referencias
- 1 2 Kianpour, Mazaher; Raza, Shahid (2024). "Más que malware: desenmascarando el riesgo oculto de las regulaciones de ciberseguridad" . Revista Internacional de Derecho de Ciberseguridad . 5 : 169–212 . doi : 10.1365/s43439-024-00111-7 . hdl : 11250/3116767 .
- 1 2 "Ciberseguridad: Piensa en el riesgo, no en la tecnología de la información" (PDF) . pwc.com . Práctica de regulación de servicios financieros de PwC, abril de 2015.
- 1 2 "Estrategia del Departamento de Defensa para operar en el ciberespacio" (PDF) .
- ↑ Hopcraft, Rory (2018). "Regulación eficaz de la ciberseguridad marítima: el caso de un código cibernético". Journal of Indian Ocean Region . 14 (3): 354– 366. doi : 10.1080/19480881.2018.1519056 . S2CID 158311827 .
- ↑ "Se necesita atención continua para proteger la infraestructura crítica de nuestra nación y los sistemas federales de información" . Oficina de Responsabilidad Gubernamental de los Estados Unidos . 16 de marzo de 2011. Consultado el 1 de enero de 2026 .
- ↑ Schooner, Steven L.; Berteau, David J. (1 de marzo de 2012). Cuestiones emergentes de política y práctica (2011) . Rochester, NY: Social Science Research Network. SSRN 2014385 .
- 1 2 Schooner, Steven; Berteau, David (2014-01-01). "Cuestiones emergentes de política y práctica" . Publicaciones y otros trabajos de la facultad de derecho de GW .
- ↑ "¿Tienen ya los organismos la autoridad para emitir reglamentos de protección de infraestructuras críticas?" . Consultado el 27 de diciembre de 2016 .
- 1 2 "Ley de protección segura contra intrusiones cibernéticas (2005; 109.º Congreso HR 29) – GovTrack.us" . GovTrack.us .
- ↑ "Orden ejecutiva: mejora de la ciberseguridad de la infraestructura crítica" . whitehouse.gov . 12 de febrero de 2013 - vía Archivos Nacionales .
- ↑ "PROTEGIENDO EL CIBERESPACIO: el presidente Obama anuncia una nueva propuesta legislativa sobre ciberseguridad y otros esfuerzos en este ámbito" . whitehouse.gov . 13 de enero de 2015. Consultado el 6 de agosto de 2017 a través de los Archivos Nacionales .
- ↑ "HOJA INFORMATIVA: Plan de Acción Nacional de Ciberseguridad" . whitehouse.gov . 9 de febrero de 2016. Consultado el 6 de agosto de 2017 a través de los Archivos Nacionales .
- ↑ "La SEC adopta normas sobre gestión de riesgos, estrategia, gobernanza y divulgación de incidentes de ciberseguridad" . Comisión de Bolsa y Valores de EE. UU. 26 de julio de 2023. Consultado el 25 de octubre de 2025 .
- ↑ "Divulgaciones sobre ciberseguridad de empresas públicas, reglas finales (hoja informativa)" (PDF) . Comisión de Bolsa y Valores de EE. UU. 26 de julio de 2023. Consultado el 25 de octubre de 2025 .
- ↑ "Centro de Recursos de Ciberseguridad" . Departamento de Servicios Financieros del Estado de Nueva York. 1 de noviembre de 2023. Consultado el 25 de octubre de 2025 .
- ↑ "La FTC modifica la norma de salvaguardias para exigir a las instituciones financieras no bancarias que informen sobre las violaciones de seguridad de datos" (Comunicado de prensa). Comisión Federal de Comercio. 27 de octubre de 2023. Consultado el 25 de octubre de 2025 .
- ↑ "Requisito de notificación de la Regla de Salvaguardias ya en vigor" . Blog de negocios de la FTC . 14 de mayo de 2024. Consultado el 25 de octubre de 2025 .
- ↑ "Norma de seguridad HIPAA: Hoja informativa de la NPRM" . Departamento de Salud y Servicios Humanos de los Estados Unidos. 27 de diciembre de 2024. Consultado el 25 de octubre de 2025 .
- ↑ "Regla de seguridad de HIPAA para fortalecer la ciberseguridad de la información médica electrónica protegida (regla propuesta)" . Registro Federal . 6 de enero de 2025. Consultado el 25 de octubre de 2025 .
- ↑ "Directiva de seguridad para oleoductos-2021-02E (redactada)" (PDF) . Administración de Seguridad del Transporte. 27 de julio de 2024. Consultado el 25 de octubre de 2025 .
- ↑ "Directivas de seguridad y enmiendas de emergencia" . Administración de Seguridad del Transporte. 2024. Consultado el 25 de octubre de 2025 .
- 1 2 3 4 "El secretismo dificulta la batalla por la web" . Financial Times . 7 de junio de 2013. Consultado el 12 de junio de 2013 .
- ↑ "Orden ejecutiva: mejora de la ciberseguridad de la infraestructura crítica" . La Casa Blanca . Oficina del Secretario de Prensa. 12 de febrero de 2013. Consultado el 12 de junio de 2013 .
- ↑ "Se necesita una legislación específica para la ciberseguridad: Pavan Duggal – Express Computer" . Express Computer . 31 de agosto de 2015.
- ↑ "Ley de Tecnologías de la Información de 2000" . WIPO Lex . Organización Mundial de la Propiedad Intelectual . Consultado el 29 de noviembre de 2025 .
- ↑ "Reforma del derecho cibernético: El avance de la Ley de Tecnologías de la Información hacia la despenalización" . AZB & Partners . 19 de mayo de 2023. Consultado el 29 de noviembre de 2025 .
- ↑ "Reglamento de Tecnologías de la Información (Directrices para Intermediarios y Código de Ética de Medios Digitales), 2021" . Investigación Legislativa de PRS . Investigación Legislativa de PRS . Consultado el 29 de noviembre de 2025 .
- ↑ "Instrucciones conforme al inciso (6) del artículo 70B de la Ley de Tecnología de la Información de 2000 relativas a las prácticas, procedimientos, prevención, respuesta e informes de incidentes cibernéticos en materia de seguridad de la información" . Equipo Indio de Respuesta a Emergencias Informáticas (CERT-In) . Ministerio de Electrónica y Tecnología de la Información, Gobierno de la India. 28 de abril de 2022. Consultado el 29 de noviembre de 2025 .
- 1 2 3 Creemers, Rogier; Triolo, Paul; Webster, Graham. "Traducción: Ley de Ciberseguridad de la República Popular China (Vigente a partir del 1 de junio de 2017)" . New America . Consultado el 29 de noviembre de 2025 .
- ↑ Traducción, China Law (2021-08-20). "Ley de protección de datos personales" . Traducción de China Law . Archivado del original el 18-08-2025 . Consultado el 29-11-2025 .
- ↑ "CAC publica directrices para la evaluación de la seguridad de la exportación de datos" . www.mondaq.com . Consultado el 29 de noviembre de 2025 .
- ↑ "Comentarios de la BSA en respuesta a la solicitud de comentarios de la Oficina del Representante Comercial de los Estados Unidos sobre la Revisión Especial 301 de 2022" (PDF) . Regulations.gov . BSA | The Software Alliance. 2022. Consultado el 29 de noviembre de 2025 .
- ↑ "Presentación de la BSA para el Informe Nacional de Estimación Comercial de 2025 sobre Barreras al Comercio Exterior" (PDF) . BSA.org . BSA | The Software Alliance. 17 de octubre de 2024. Consultado el 29 de noviembre de 2025 .
- ↑ "Las normas de protección de datos de China provocan una pausa entre los principales financiadores de investigación europeos" . Reuters . Archivado del original el 25 de abril de 2025. Consultado el 29 de noviembre de 2025 .
- ↑ "Normas" . Sitio web de ENISA . 4 de abril de 2024.
- ↑ "Lista de estándares de ciberseguridad" . GENERMA.COM .
- ↑ "L_2013165EN.01004101.xml" . eur-lex.europa.eu . Consultado el 8 de marzo de 2017 .
- ↑ "Acerca de ENISA — ENISA" . www.enisa.europa.eu . Consultado el 8 de marzo de 2017 .
- ↑ "Estructura y organización — ENISA" . www.enisa.europa.eu . Consultado el 8 de marzo de 2017 .
- ↑ Purser, Steve (2014). «Estándares para la ciberseguridad» . En Hathaway, Melissa E. (ed.). Mejores prácticas en la defensa de redes informáticas: detección y respuesta a incidentes . Serie Ciencia para la Paz y la Seguridad de la OTAN - D: Seguridad de la información y las comunicaciones. Vol. 35. IOS Press. doi : 10.3233/978-1-61499-372-8-97 . ISBN 978-1-61499-372-8.
- ↑ «Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas para lograr un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión» . EUR Lex . 19 de julio de 2016. Consultado el 26 de abril de 2018 .
- ↑ "Directiva sobre seguridad de las redes y los sistemas de información (Directiva NIS)" . Mercado Único Digital . Consultado el 12 de marzo de 2017 .
- ↑ "La Directiva sobre seguridad de las redes y la información: ¿quién está dentro y quién está fuera?" . The Register . 7 de enero de 2016. Consultado el 12 de marzo de 2017 .
- ↑ "Directiva NIS publicada: los Estados miembros de la UE tienen poco menos de dos años para implementarla – Informe de protección de datos" . Informe de protección de datos . 21 de julio de 2016. Consultado el 12 de marzo de 2017 .
- ↑ "Acuerdo alcanzado sobre la Directiva de la UE sobre seguridad de las redes y la información (NIS) | Deloitte Luxemburgo | Tecnología | Análisis" . Deloitte Luxemburgo . Archivado del original el 2 de marzo de 2018. Consultado el 12 de marzo de 2017 .
- 1 2 "La Directiva sobre seguridad de las redes y la información se implementará en el Reino Unido a pesar del voto a favor del Brexit, confirma el gobierno" . www.out-law.com . Consultado el 12 de marzo de 2017 .
- ↑ «Reglamento (UE) 2024/2847 (Ley de Resiliencia Cibernética)» . EUR-Lex. 23 de octubre de 2024. Consultado el 25 de octubre de 2025 .
- ↑ "Ley de Ciberseguridad de la UE" . Consultado el 6 de diciembre de 2019 .
- ↑ "Página principal del RGPD de la UE" . Portal del RGPD de la UE . Consultado el 12 de marzo de 2017 .
- 1 2 "Cambios clave con el Reglamento General de Protección de Datos" . Portal del RGPD de la UE . Consultado el 12 de marzo de 2017 .
- 1 2 "Descripción general del Reglamento General de Protección de Datos (RGPD)" . ico.org.uk. 2017-03-03 . Consultado el 2017-03-12 .
- ↑ «Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas para lograr un alto nivel común de seguridad de las redes y los sistemas de información en toda la Unión» , Diario Oficial de la Unión Europea , vol. 194, 6 de julio de 2016 , consultado el 27 de octubre de 2025.
- ↑ "Directiva NIS2" . eur-lex.europa.eu . Consultado el 27 de marzo de 2023 .
- ↑ "Panorama del derecho tecnológico en 2025" . Mason Hayes Curran . Consultado el 12 de diciembre de 2024 .
- ↑ «Directiva sobre medidas para un alto nivel común de ciberseguridad en toda la Unión (Directiva NIS2) - Preguntas frecuentes | Dando forma al futuro digital de Europa» . digital-strategy.ec.europa.eu . Consultado el 27 de octubre de 2025 .
- ↑ «Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas para lograr un alto nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2)» , DO L , vol. 333, pp. 80-152 , 14 de diciembre de 2022 , consultado el 27 de octubre de 2025 .
- ↑ "BSI-KritisV - Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz" [ BSI-KritisV – Ordenanza sobre la determinación de infraestructuras críticas según la ley BSI ] . Bundesamt für Justiz (en alemán) . Consultado el 27 de octubre de 2025 .
- ↑ "Requisitos NIS2: Una guía completa para el cumplimiento y la implementación" . DataGuard . Consultado el 27 de octubre de 2025 .
- ↑ Weissmann, Paul. "Directivas NIS2 y RCE de la UE para infraestructuras críticas" . OpenKRITIS . Consultado el 27 de octubre de 2025 .
- ↑ "Ley de Resiliencia Operativa Digital (DORA)" . eiopa.europa.eu/ . Consultado el 27 de marzo de 2024 .
- ↑ Bertuzzi, Luca (16 de septiembre de 2021). "El jefe de la UE anuncia una ley de ciberseguridad para dispositivos conectados" . www.euractiv.com . Consultado el 30 de enero de 2023 .
- ↑ "Por qué una política cibernética clara es fundamental para las empresas" . Financial Times . 9 de noviembre de 2022. Consultado el 30 de enero de 2023 .
- ↑ "La UE propone una ley cibernética para solucionar las deficiencias del Internet de las Cosas" . POLITICO . 15 de septiembre de 2022. Consultado el 30 de enero de 2023 .
- ↑ Reidy, Diane (15 de abril de 2019). "Away in a hack" . Law Society of Ireland . Recuperado el 19 de febrero de 2024 .
- ↑ Finlay, Adam; Hughes, Ruth. "iclg.com > Áreas de práctica > Ciberseguridad > Irlanda" . iclg.com . Consultado el 20 de febrero de 2024 .
- ↑ "Regulaciones: seguridad de productos conectables para el consumidor (PSTI)" . Gobierno del Reino Unido. 17 de marzo de 2025. Consultado el 25 de octubre de 2025 .
- ↑ "Reglamento de 2023 sobre seguridad de productos e infraestructura de telecomunicaciones (requisitos de seguridad para productos conectables relevantes)" . legislation.gov.uk. 2023. Consultado el 25 de octubre de 2025 .
- ↑ "NIST publica la versión 2.0 de su marco de ciberseguridad de referencia" . NIST. 26 de febrero de 2024. Consultado el 25 de octubre de 2025 .
- ↑ "El Marco de Ciberseguridad (CSF) 2.0 del NIST" (PDF) . NIST. 26 de febrero de 2024. Consultado el 25 de octubre de 2025 .
- ↑ Milinkovich, Mike. "Ley de Resiliencia Cibernética: Buenas intenciones y consecuencias no deseadas" . Blog de la Fundación Eclipse . Director Ejecutivo de la Fundación Eclipse . Consultado el 11 de abril de 2023 .
- ↑ Kolkman, Olaf (24 de octubre de 2022). "La propuesta de ley de ciberresiliencia de la UE perjudicará el ecosistema de código abierto" . The Internet Society . The Internet Society Principal - Internet Technology, Policy, and Advocacy . Recuperado el 11 de abril de 2023 .
- ↑ Nicholson, Deb (11 de abril de 2023). "La propuesta de ley CRA de la UE podría tener consecuencias no deseadas para el ecosistema Python" . Blog de la Fundación de Software Python . Fundación de Software Python . Consultado el 11 de abril de 2023 .
- ↑ Milinkovic, Mike (16 de enero de 2023). "Ley Europea de Resiliencia Cibernética: Impacto Potencial en la Fundación Eclipse" . Blog de la Fundación Eclipse . Consultado el 11 de abril de 2023 .
- Gobierno en los Estados Unidos
- Procedimientos de seguridad informática
- guerra cibernética
- Política y tecnología
- Leyes de datos
- Derecho informático