Todo lo que necesita saber sobre el proyecto de ley de seguridad informática de Alemania

El proyecto de ley de seguridad de Alemania ha sido un trabajo en progreso durante aproximadamente dos años. Retrasado por disputas dentro de la coalición gobernante del país, uno de los principales puntos de la discordia ha sido cómo determinar políticamente que un proveedor es digno de confianza. Si bien el proyecto de ley no pretende apuntar a ninguna empresa en particular, es difícil no ver una conexión con Huawei, el gigante de las redes de telecomunicaciones globales. Estados Unidos, Gran Bretaña, Francia y varios otros países ya han explícita o implícitamente Huawei prohibido. Por lo tanto, el proyecto de ley de seguridad de TI determinará sin duda si Huawei puede continuar operando en Alemania y de qué manera. Para Alemania, es un dilema entre fortalecer las relaciones con China, la superpotencia mundial en rápido crecimiento o adoptar un enfoque más agresivo hacia Beijing. Pero la cuestión de China / Huawei no es todo lo que hay en el proyecto de ley de seguridad informática de Alemania.

ley de seguridad informática de Alemania

Fondo

En marzo de 2019, el Ministerio del Interior de Alemania propuso un nuevo proyecto de ley de ciberseguridad denominado IT Security Act 2.0. Alemania estaba interesada en asumir un papel de liderazgo en ciberseguridad en Europa. El proyecto de ley fue un seguimiento de la ley de seguridad informática integral del país aprobada en 2015. Fue enmendada en 2017 para cumplir con una directiva de la UE sobre seguridad de sistemas de información y redes.

El borrador de la Ley de Seguridad de TI 2.0 reconoce que los ataques están creciendo en calidad, sofisticación e impacto. Los ataques cibernéticos, los delitos cibernéticos y el espionaje cibernético continúan representando una amenaza para las personas, la sociedad, las empresas y el estado.

Objetivo general

La IT Security Act 2.0 tiene múltiples objetivos. Su objetivo es proteger la posición de Alemania como líder en seguridad informática. El proyecto de ley busca cerrar las lagunas en las leyes de seguridad de TI existentes, así como ampliar el alcance del marco regulatorio actual. Enmienda una serie de leyes existentes, incluidos los estatutos primarios que rigen la seguridad cibernética, los proveedores de telecomunicaciones, los proveedores de alojamiento web, el comercio electrónico, los medios en línea y el código penal del país.

Aspectos clave del proyecto de ley

Hay cinco elementos principales del proyecto de ley de seguridad informática.

1. Protección del consumidor

El proyecto de ley está orientado hacia un enfoque más holístico de la ciberseguridad. En este sentido, agrega la protección del consumidor digital como una responsabilidad adicional de la Oficina Federal de Seguridad de la Información (BSI). También introduce una etiqueta de seguridad de TI que está destinada a brindar a los consumidores digitales una mayor transparencia sobre las características relevantes para la seguridad de los productos de TI.

2. Ampliación del mandato de BSI

El proyecto de ley dota a la BSI de competencias adicionales para ser el organismo de evaluación de la conformidad en todos los asuntos de seguridad informática. También amplía la autoridad de investigación y advertencia de BSI. Estas autoridades extendidas incluyen lo siguiente:

  • Cribado, investigación técnica y evaluación de seguridad de productos de TI en el mercado, como televisores inteligentes y enrutadores.
  • Autoridad para solicitar datos de inventario a los proveedores de servicios de telecomunicaciones. Esto es para ayudar a identificar los objetivos o víctimas de los ciberataques al tiempo que ofrece un apoyo defensivo eficaz contra los ataques.
  • Detectar y evaluar los riesgos de seguridad de la infraestructura de TI, así como los intentos de ciberinfección. Esto se lograría, por ejemplo, estableciendo honeypots activos o realizando escaneos de puertos.
  • Autoridad para desarrollar planes de respuesta a crisis apropiados mientras se involucran a las partes interesadas relevantes.
  • Analizar y recopilar datos sobre malware, vulnerabilidades y otros riesgos de ciberseguridad.
  • Evaluación de datos ampliada y procesamiento de datos seudonimizados de la infraestructura de telecomunicaciones de las autoridades federales de Alemania. Dicha información de registro puede almacenarse durante no más de 18 meses. Sin embargo, el acceso a cualquier dato de más de tres meses solo debe permitirse y ser posible si hay signos de un ataque.
  • Se amplió el control y la supervisión de la tecnología y los componentes de comunicación de las autoridades federales alemanas para identificar cualquier riesgo de forma temprana. La BSI también tiene la autoridad para evaluar las interfaces de cualquier tercero que interactúe con la tecnología de comunicación de las autoridades federales.

3. Nuevas categorías, sectores adicionales y componentes básicos redefinidos

El proyecto de ley amplía la lista de sectores del mercado de infraestructura crítica (KRITIS) al incluir la gestión de residuos a los existentes de energía, transporte, servicios financieros, atención médica, alimentos y TI / telecomunicaciones. Ahora también abarca explícitamente los productos de TI utilizados tanto en la operación de infraestructura crítica como en el procesamiento y almacenamiento de datos de infraestructura.

El proyecto de ley amplía la Ley de la Oficina Federal de Seguridad de la Información (BSIG) en dos nuevas entidades: infraestructuras especiales de interés público y operadores cibernéticos.

Infraestructuras especiales de interés público

La infraestructura de especial interés público abarca empresas de los sectores de defensa, medios de comunicación y cultural, y empresas de gran importancia económica.

Operadores cibernéticos críticos

Los operadores cibernéticos críticos son aquellas empresas que no tienen una importancia significativa por sí mismas y, por lo tanto, no pueden clasificarse como infraestructura de interés público especial. Sin embargo, se consideran cibernéticos porque una interrupción en sus sistemas y procesos provocaría el deterioro o la falla de la infraestructura crítica. Eso es gracias a su interconexión con infraestructura crítica.

4. Responsabilidades adicionales sobre proveedores, fabricantes y operadores de KRITIS

Regulaciones de privacidad de datos

Shutterstock

Las entidades clasificadas como infraestructura de interés público especial deberán cumplir con las mismas responsabilidades técnicas, organizativas y de presentación de informes de los operadores de KRITIS. La BSI también tendrá el poder de imponer estos requisitos a las empresas cibernéticas críticas caso por caso.

Por ejemplo, los operadores de KRITIS están obligados a instalar controles técnicos que puedan detectar ataques en sus sistemas de TI. También deben registrarse en la BSI y designar un punto de contacto para facilitar la comunicación. Los fabricantes de productos de TI y componentes centrales de KRITIS deben informar a la BSI de cualquier mal funcionamiento conocido lo antes posible.

Declaración de confiabilidad

Los fabricantes de componentes básicos de KRITIS también deben realizar una “declaración de confiabilidad” que cubra toda su cadena de suministro. Los operadores de KRITIS estarán limitados a comprar únicamente a dichos fabricantes. Esta declaración es el intento del gobierno federal alemán de cambiar la evaluación de la seguridad desde un punto de vista técnico a un nivel geoestratégico. Los requisitos mínimos para ello serán establecidos por el Ministerio del Interior.

Respuesta a incidentes de ciberseguridad

En cuanto a la ley de telecomunicaciones existente, las enmiendas impondrán obligaciones integrales a los proveedores de servicios de telecomunicaciones que cubren la eliminación, notificación y provisión de datos de inventario a raíz de un incidente de ciberseguridad.

Deben informar a la Oficina Federal de Policía Criminal (BKA) si la información ha sido revelada o transmitida a terceros ilegalmente o si su servicio se utiliza para publicar o transmitir ilegalmente datos obtenidos sin el permiso requerido. Los proveedores de servicios también están obligados a bloquear la divulgación o recopilación ilegal de datos personales o secretos industriales.

5. Nuevos delitos de protección de datos y sanciones más estrictas

El proyecto de ley introduce nuevos delitos de protección de datos junto con sanciones más estrictas. Aborda las lagunas de las leyes vigentes en lo que respecta a la responsabilidad penal en delitos relacionados con las tecnologías de la información. Introduce nuevas calificaciones para los delitos relacionados con las tecnologías de la información y las herramientas de investigación de delitos cibernéticos.

Tomando prestado del Reglamento General de Protección de Datos (GDPR) de la UE, aumenta significativamente las sanciones potenciales y las multas aplicables. Las multas pueden ascender a 20 millones de euros o al cuatro por ciento de la facturación global de la organización.

Ley de seguridad informática de Alemania: todavía un trabajo en curso

El proyecto de ley de seguridad informática de Alemania todavía está en curso, por lo que su forma final tendrá que esperar hasta que haya el consenso necesario. Puede haber nuevas disposiciones y eliminación de secciones existentes. Sin embargo, una cosa es segura: la ley generará costos adicionales considerables para las empresas afectadas.

Imagen destacada: Pixabay


Vistas de publicaciones:
295


About the Author

Leave a Reply

Your email address will not be published. Required fields are marked *