protegiendo el negocio frente al cumplimiento legal
TRANSCRIPT
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015
Protegiendo el Negocio frente al Cumplimiento Legal
Joan Figueras Tugas (@JoanFiguerasT)
La Voz de la Industria. Barcelona, 8.SEP.2016
Centro de Ciberseguridad Industrial
cci-es.org | 1 CCI | Centro de Ciberseguridad Industrial
(@info_CCI)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 2 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
Estadísticas de ciberataques
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 3 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Estudio sobre la cibercriminalidad en España» (Ministerio del Interior, 2015)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 4 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Código de Derecho de la Ciberseguridad» (BOE – INCIBE, julio 2016)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 5 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Mapa Normativo de la Ciberseguridad Industrial en España» (CCI, 2015)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 6 CCI | Centro de Ciberseguridad Industrial cci-es.org | 6 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 7 CCI | Centro de Ciberseguridad Industrial cci-es.org | 7 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«The more people rely on the internet the more
people rely on it to be secure. A secure internet
protects our freedoms and rights and our ability
to do business.
It's time to take coordinated action - the cost of
not acting is much higher than the cost of acting»
Neelie Kroes, Vicepresidenta de la Comisión Europea para la Agenda Digital
Bruselas, 7 de febrero de 2013
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 8 CCI | Centro de Ciberseguridad Industrial cci-es.org | 8 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«The more people rely on the internet the more
people rely on it to be secure. A secure internet
protects our freedoms and rights and our ability
to do business.
It's time to take coordinated action - the cost of
not acting is much higher than the cost of acting»
Neelie Kroes, Vicepresidenta de la Comisión Europea para la Agenda Digital
Bruselas, 7 de febrero de 2013
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 9 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 10 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
Obligaciones de los Estados miembros
Adoptar una Estrategia Nacional de Ciberseguridad
Identificar a los Operadores de Servicios Esenciales
Designar una Autoridad Nacional Competente
Designar un Equipo de Respuesta a Incidentes (CSIRT)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 11 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
Ámbito de aplicación
Operadores de Servicios Esenciales
Energía Transporte Banca
Infraestructura de los
mercados financieros Sector sanitario
Infraestructura
digital
Suministro y distribución
de agua potable
2. Los criterios para la identificación de operadores de servicios esenciales a que se refiere el artículo 4, punto 4, son los siguientes:
a) una entidad presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales;
b) la prestación de dicho servicio depende de las redes y sistemas de información, y c) un incidente tendría efectos perturbadores significativos en la prestación de dicho
servicio
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 12 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
Ámbito de aplicación
Operadores de Servicios Esenciales
Proveedores de Servicios Digitales
ANEXO III
TIPOS DE SERVICIOS DIGITALES A EFECTOS DEL ARTÍCULO 4, PUNTO 5
1. Mercado en línea
2. Motor de búsqueda en línea
3. Servicios de computación en nube
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 13 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
Ámbito de aplicación
Operadores de Servicios Esenciales
Proveedores de Servicios Digitales
Exclusiones
Microempresas y pequeñas empresas
Proveedores de redes públicas de telecomunicaciones
Prestadores de servicios de confianza
Fabricantes de Hardware / Software
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 14 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 15 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
«Directiva NIS» (Diario Oficial de la Unión Europea, 19.7.2016)
Obligaciones (para O.S.E. y P.S.D.)
Adoptar medidas técnicas y organizativas para gestionar
los riesgos de ciberseguridad
Adoptar las medidas necesarias para prevenir y minimizar
los efectos de incidentes de ciberseguridad
Notificar “sin dilación indebida” los incidentes de
seguridad a las autoridades competentes o CSIRT
«…incidentes que tengan efectos significativos en la continuidad de los servicios esenciales que prestan.»
O.S.E.:
«… cualquier incidente que tenga un impacto significativo en la prestación de uno de los servicios a que se refiere el anexo III que ellos ofrezcan en la Unión.»
P.S.D.:
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 16 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
Otras normas
DIRECTIVA (UE) 2016/943 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 8 de junio de 2016
relativa a la protección de los conocimientos técnicos y la información empresarial no divulgados (secretos comerciales) contra su obtención, utilización y revelación ilícitas
COMMISSION IMPLEMENTING DECISION
of 12.7.2016
pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 27 de abril de 2016
relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la
Directiva 95/46/CE (Reglamento general de protección de datos)
CENTRO DE CIBERSEGURIDAD INDUSTRIAL | ACTIVIDADES 2015 cci-es.org | 17 CCI | Centro de Ciberseguridad Industrial
CCI | La Voz de la Industria | Barcelona | 08/09/2016 Protegiendo el Negocio frente al Cumplimiento Legal | Joan Figueras
Obligación de notificar incidentes o brechas de seguridad
Directiva NIS Directiva ePrivacy RGPD
Aplica a…
Operadores de servicios
esenciales y Proveedores de
servicios digitales
Proveedores de
telecomunicaciones
Tratamiento de datos de
carácter personal
Obligación de notificar
Cuando tengan un impacto
significativo en la
continuidad del servicio
Destrucción, pérdida,
alteración o acceso no
autorizado a datos
personales
Destrucción, pérdida,
alteración o acceso no
autorizado a datos
personales
Plazo de notificación “sin dilación indebida” “sin dilación indebida” 72 horas
Notificación a los
afectados (No consta)
A los abonados y otros
sujetos afectados
Al titular de los datos
personales
Contenido de la
notificación (No consta)
Medidas adoptadas y
recomendaciones para el
afectado
Naturaleza del incidente,
posibles consecuencias, DPO
de contacto, medidas
adoptadas