Regulació de la ciberseguretat

Una regulació de ciberseguretat inclou directives que protegeixen la tecnologia de la informació i els sistemes informàtics amb el propòsit d'obligar les empreses i organitzacions a protegir els seus sistemes i la informació dels ciberatacs com virus, cucs, cavalls de Troia, phishing, atacs de denegació de servei (DOS), accés no autoritzat (robatori), propietat intel·lectual o informació confidencial) i els atacs al sistema de control. Tot i que les regulacions de ciberseguretat tenen com a objectiu minimitzar els riscos cibernètics i millorar la protecció, la incertesa derivada dels canvis freqüents o de les noves regulacions pot afectar significativament les estratègies de resposta de l'organització.^[1]

Hi ha nombroses mesures disponibles per prevenir els ciberatacs. Les mesures de ciberseguretat inclouen tallafocs, programari antivirus, sistemes de detecció i prevenció d'intrusions, xifratge i contrasenyes d'inici de sessió. Hi ha hagut intents de millorar la ciberseguretat mitjançant la regulació i els esforços col·laboratius entre el govern i el sector privat per fomentar millores voluntàries de la ciberseguretat.^[2]^[3]^[4] Els reguladors de la indústria, inclosos els reguladors bancaris, s'han adonat del risc de la ciberseguretat i han començat o tenen previst començar a incloure la ciberseguretat com a aspecte dels exàmens reguladors.^[3]

Investigacions recents suggereixen que també hi ha una manca de regulació i aplicació de la ciberseguretat a les empreses marítimes, inclosa la connectivitat digital entre vaixells i ports.^[5]

Rerefons

El 2011, el Departament de Defensa dels Estats Units va publicar una guia anomenada Estratègia del Departament de Defensa per a Operar al Ciberespai que articulava cinc objectius: tractar el ciberespai com un domini operatiu, emprar nous conceptes defensius per protegir les xarxes i sistemes del DoD, associar-se amb altres agències i sector privat en la recerca d'una "estratègia de ciberseguretat a tot el govern", per treballar amb aliats internacionals en suport de la ciberseguretat col·lectiva i per donar suport al desenvolupament d'una força de treball cibernètica capaç d'innovar tecnològicament ràpidament.^[6] Un informe de la GAO de març de 2011 "va identificar la protecció dels sistemes d'informació del govern federal i la infraestructura cibernètica del país com una àrea d'alt risc a tot el govern", assenyalant que la seguretat de la informació federal havia estat designada com a àrea d'alt risc des de 1997. A partir de l'any 2003, també s'han inclòs sistemes que protegeixen la infraestructura crítica, anomenats protecció d'infraestructura crítica cibernètica de ciber CIP.

El novembre de 2013, el DoD va presentar la nova regla de ciberseguretat (78 Fed. Reg. 69373), que imposava certs requisits als contractistes: el compliment de certs estàndards informàtics del NIST, la notificació obligatòria d'incidents de ciberseguretat al DoD i un "flow-down". "clàusula que aplica els mateixos requisits als subcontractistes.^[7]

Un informe del Congrés de juny de 2013 va trobar que hi havia més de 50 estatuts rellevants per al compliment de la ciberseguretat. La Llei federal de gestió de la seguretat de la informació de 2002 (FISMA) és un dels estatuts clau que regeixen les regulacions federals de ciberseguretat.^[8]

Unió Europea

Els estàndards de ciberseguretat han tingut una gran importància en les empreses actuals impulsades per la tecnologia. Per maximitzar els seus beneficis, les corporacions aprofiten la tecnologia fent funcionar la majoria de les seves operacions per Internet. Atès que hi ha un gran nombre de riscos que comporten operacions d'internet, aquestes operacions han d'estar protegides per una normativa exhaustiva i àmplia. Les regulacions de ciberseguretat existents cobreixen diferents aspectes de les operacions empresarials i sovint varien segons la regió o el país en què opera l'empresa. A causa de les diferències en la societat, la infraestructura i els valors d'un país, un estàndard de seguretat cibernètica general no és òptim per reduir els riscos. Tot i que els estàndards dels EUA proporcionen una base per a les operacions, la Unió Europea ha creat una regulació més adaptada per a les empreses que operen específicament a la UE. A més, a la llum del Brexit, és important tenir en compte com el Regne Unit ha optat per adherir-se a aquestes regulacions de seguretat.

Tres regulacions principals dins de la UE inclouen l'ENISA, la Directiva NIS i el GDPR de la UE. Formen part de l'estratègia del Mercat Únic Digital.

Directiva NIS

El 6 de juliol de 2016, el Parlament Europeu va posar en política la Directiva sobre seguretat de xarxes i sistemes d'informació (Directiva NIS).^[9]

Llei de ciberseguretat de la UE

La Llei de ciberseguretat de la UE estableix un marc de certificació de ciberseguretat a tota la UE per a productes, serveis i processos digitals. Complementa la Directiva NIS. ENISA tindrà un paper clau en l'establiment i el manteniment del marc europeu de certificació de la ciberseguretat.^[10]

Llei de resiliència cibernètica

La Llei de resiliència cibernètica (CRA) és un reglament proposat el 15 de setembre de 2022 per la Comissió Europea que estableix estàndards comuns de ciberseguretat per a productes de maquinari i programari a la UE.^[11]^[12]

Referències

↑ Kianpour, Mazaher; Raza, Shahid International Cybersecurity Law Review, 5, 2024, pàg. 169–212. DOI: 10.1365/s43439-024-00111-7 [Consulta: free].
↑ Kianpour, Mazaher; Raza, Shahid International Cybersecurity Law Review, 5, 2024, pàg. 169–212. DOI: 10.1365/s43439-024-00111-7 [Consulta: free].
↑ ^3,0 ^3,1 «Cyber: Think risk, not IT» (en anglès). pwc.com. PwC Financial Services Regulatory Practice, April, 2015.
↑ «DOD-Strategy-for-Operating-in-Cyberspace» (en anglès).
↑ Hopcraft, Rory Journal of Indian Ocean Region, 14, 3, 2018, pàg. 354–366. DOI: 10.1080/19480881.2018.1519056.
↑ «DOD-Strategy-for-Operating-in-Cyberspace» (en anglès).
↑ Schooner, Steven; Berteau, David GW Law Faculty Publications & Other Works, 01-01-2014.
↑ Schooner, Steven; Berteau, David GW Law Faculty Publications & Other Works, 01-01-2014.
↑ «Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union» (en anglès). EUR Lex, 19-07-2016. [Consulta: 26 abril 2018].
↑ «The EU Cybersecurity Act» (en anglès). [Consulta: 6 desembre 2019].
↑ Bertuzzi, Luca. «EU chief announces cybersecurity law for connected devices» (en anglès britànic). www.euractiv.com, 16-09-2021. [Consulta: 30 gener 2023].
↑ «EU pitches cyber law to fix patchy Internet of Things» (en anglès americà). POLITICO, 15-09-2022. [Consulta: 30 gener 2023].

[:11-1] Kianpour, Mazaher; Raza, Shahid International Cybersecurity Law Review, 5, 2024, pàg. 169–212. DOI: 10.1365/s43439-024-00111-7 [Consulta: free].

[:112-2] Kianpour, Mazaher; Raza, Shahid International Cybersecurity Law Review, 5, 2024, pàg. 169–212. DOI: 10.1365/s43439-024-00111-7 [Consulta: free].

[:3-3] 3,0 ^3,1 «Cyber: Think risk, not IT» (en anglès). pwc.com. PwC Financial Services Regulatory Practice, April, 2015.

[:4-4] «DOD-Strategy-for-Operating-in-Cyberspace» (en anglès).

[5] Hopcraft, Rory Journal of Indian Ocean Region, 14, 3, 2018, pàg. 354–366. DOI: 10.1080/19480881.2018.1519056.

[:42-6] «DOD-Strategy-for-Operating-in-Cyberspace» (en anglès).

[schooner2014-7] Schooner, Steven; Berteau, David GW Law Faculty Publications & Other Works, 01-01-2014.

[schooner20142-8] Schooner, Steven; Berteau, David GW Law Faculty Publications & Other Works, 01-01-2014.

[9] «Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union» (en anglès). EUR Lex, 19-07-2016. [Consulta: 26 abril 2018].

[10] «The EU Cybersecurity Act» (en anglès). [Consulta: 6 desembre 2019].

[11] Bertuzzi, Luca. «EU chief announces cybersecurity law for connected devices» (en anglès britànic). www.euractiv.com, 16-09-2021. [Consulta: 30 gener 2023].

[12] «EU pitches cyber law to fix patchy Internet of Things» (en anglès americà). POLITICO, 15-09-2022. [Consulta: 30 gener 2023].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]