13 de septiembre de 2016
Ciberseguridad: Directiva de la UE
El Parlamento Europeo y el Consejo de la Unión Europea han adoptado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El documento adoptado el 6 de julio de 2016, ya se encuentra vigente; medidas transitorias serán implementadas hasta noviembre de 2018.
El Parlamento Europeo y el Consejo de la Unión Europea han adoptado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión. El documento adoptado el 6 de julio de 2016, ya se encuentra vigente.
El mejoramiento de la función del mercado interior de la UE es el objetivo central de la Directiva. Para ello establece medidas que logren un elevado nivel común de seguridad de las redes y sistemas de información. Esto es, en términos de la Directiva, “la capacidad de las redes y sistemas de información de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o tratados, o los servicios correspondientes ofrecidos por tales redes y sistemas de información o accesibles a través de ellos (Directiva 2016/1148, art. 4(2)).
En ésta línea establece tres escenarios de acción. Por una parte, establece la obligación para los Estados miembro de adoptar una estrategia nacional de seguridad de redes y sistemas de información, incluido un régimen de sanciones frente al incumplimiento de las disposiciones nacionales adoptadas bajo el amparo de la Directiva. En segundo lugar, establece requisitos en materia de seguridad y notificación para los operadores de servicios esenciales y para los proveedores de servicios digitales y la obligación a cargo de los Estados miembros de velar por su cumplimiento. Por último, establece escenarios de cooperación; entre ellos, un Grupo de cooperación entre Estados miembro, y una Red de equipos de respuesta a incidentes de seguridad informática.
Para los propósitos de análisis en términos del presente BLOG, llama la atención las categorías de actores de la sociedad de la información incorporadas por la Directiva sobre ciberseguridad: “los operadores de servicios esenciales” y “los proveedores de servicios digitales”. Veamos entonces.
Los operadores de servicios esenciales son entidades públicas o privadas que prestan un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales, cuandoquiera que la prestación de dicho servicio depende de las redes y sistemas de información, y un incidente tendrá efectos perturbadores significativos en la prestación de dicho servicio (Directiva 2016/1148, art 5(2)). El efecto perturbador de un incidente será evaluado por los Estados conforme el número de usuarios afectados, la dependencia de otros sectores sobre el servicio prestado por la entidad, la repercusión en grado y duración en actividades económicas o de seguridad pública, su extensión geográfica, y la importancia de la entidad para mantener un nivel suficiente del servicio (Directiva 2016/148, art 6).
Por su parte, los proveedores de servicios digitales son personas jurídicas que prestan servicios a distancia, por vía electrónica y a petición individual de un destinatario de servicios (servicios de la sociedad de la información). El ámbito de aplicación de la Directiva sobre ciberseguridad estará limitado a los siguientes servicios: mercado en línea, motores de búsqueda en línea y servicios de computación en la nube (Directiva 2016/1148, art 4(5)(6)). La definición reenvía a la definición de “servicio” incorporado en la Directiva 2015/1535. Esto es, un servicio prestado normalmente a cambio de una remuneración, sin que las partes estén presentes simultáneamente (a distancia); enviado desde la fuente y recibido por el destinatario mediante equipos electrónicos de tratamiento y almacenamiento de datos y que se transmite, canaliza y recibe enteramente por hilos, radio, medios ópticos o cualquier otro medio electromagnético (por vía electrónica); y prestado mediante la transmisión de datos a petición individual (a petición individual de un destinatario de servicios).
Los proveedores de servicios digitales se considerarán sometidos a la jurisdicción del Estado miembro en que se encuentre su establecimiento principal, adoptando el criterio de domicilio social. Para aquellos proveedores de servicios digitales no establecidos en la Unión, que ofrezcan servicios de mercado en línea, de motores de búsqueda en línea y de computación en la nube, tienen la obligación de designar un representante para la Unión Europea en uno de los Estados miembro en los que ofrezca los servicios.
Coincide para ambos actores de la sociedad de la información, las siguientes obligaciones señaladas por la Directiva sobre ciberseguridad:
- Adoptar medidas técnicas y de organización adecuadas y proporcionales para gestionar los riesgos que se planteen en las redes y sistemas de operación que utilizan en sus operaciones (Directiva 2016/1148, art 14(1); art 16(1)).
- Tomar medidas adecuadas para prevenir y reducir al mínimo el efecto o impacto de los incidentes que afectan la seguridad de sus redes y sistemas de información utilizados a efectos de garantizar la continuidad de los servicios (Directiva 2016/1148, art. 14(2), art 16(2)).
- Notificar (sin dilación) a la autoridad competente o a la Red de equipos de respuesta a incidentes de seguridad informática cualquier incidente que tenga impacto significativo en los servicios esenciales o digitales que prestan en la UE (Directiva 2016/1148 , art 14(3), art. 16(3)).
Si bien se encuentra vigente la Directiva, está previsto que hasta febrero de 2017 se implementarán medidas transitorias que permitirán su efectiva aplicación. En todo caso, la identificación de los proveedores de servicios esenciales se realizará en el periodo comprendido hasta el 9 de noviembre de 2018.
Enlace de interés:
- Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, http://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016L1148&qid=1473713840684#ntc17-L_2016194ES.01000101-E0017
Artículos Recientes
¡Ya está disponible el caso! Segunda versión del Concurso Laboratorio de Estrategia Legal #LSL
Invitamos a los estudiantes de pregrado y postgrado de todas las carreras a presentar [...]
Masterclass Legal Operations: Transformando la Función Legal Empresarial de Guardián de Riesgos a Creador de Valor.
El Departamento de Derecho de los Negocios y la Facultad de Administración de Empresas [...]
Conclusión del Proceso de Reforma al Investor-State Dispute Settlement
En la semana del 12 de julio de 2023, durante la sesión anual de [...]
El Departamento de Derecho de los Negocios de la Universidad Externado de Colombia abre convocatoria para la vacante de Asistente de Investigación
¡Sé parte de nuestro equipo de trabajo! Perfil del cargo: Asistente de Investigación Apoyar [...]
Docente del Departamento de Derecho de los Negocios participó en el libro Blanco de la Asociación de Derecho Internacional
La Asociación de Derecho Internacional (ADI), una de la organizaciones más antiguas y prestigiosas [...]
CRYPTO IN COLOMBIA: PROSPECTIVE 2022
By: Daniel Peña Valenzuela The volatility of the main cryptocurrencies seems to be once [...]
Convocatoria de Monitores.
El Departamento de Derecho de los Negocios se complace en anunciar la apertura para [...]
¿Se avecina una regulación de la Franquicia por parte del Gobierno? ¿O lo impedirá la Corte Constitucional?
Por: Juan Miguel Álvarez* y Diana Marcela Araujo* En diciembre del 2020, el congreso [...]
Ciclo de seminarios de Innovaciones en Justicia Digital: un espacio desde la academia que replantea el futuro del sistema de justicia.
El Seminario en Innovaciones en Justicia Digital es un evento de la Universidad Externado [...]
Rostros de mentira: Retos legales producidos por las ‘Deepfakes’
Palabras clave: Deepfake, IA, contenidos audiovisuales, redes generativas adversarias, derecho probatorio, intimidad personal. Una [...]
Memorias: Tercer seminario de innovaciones en la justicia digital- aplicaciones de la inteligencia artificial en la práctica judicial.
El pasado 19 de septiembre de 2024, las instalaciones de la Universidad Externado fueron [...]
Celebramos la realización del 40º Congreso Nacional de Derecho Comercial: Novedades y retos de la contratación mercantil y del arbitraje comercial
El pasado 30 de octubre, en Medellín, se celebró el 40º Congreso Nacional de [...]