Dinamarca

No existe una ley específica de ciberseguridad como tal en Dinamarca. Más bien, el panorama legal está compuesto por varias leyes que promueven la ciberseguridad. Los principales estatutos dentro del campo de la ciberseguridad son los siguientes.

Legislación

Infraestructura crítica

  • Ley danesa sobre seguridad de redes e información de los sistemas de nombres de dominio y ciertos servicios digitales (Ley N ° 436 de 8 de mayo de 2018);
  • Ley sobre seguridad de redes e información para operadores de puntos esenciales de intercambio de Internet (Ley N ° 437 de 8 de mayo de 2018);
  • la Ley sobre requisitos de seguridad para redes y sistemas de información en el sector de la salud (Ley no 440 de 8 de mayo de 2018); y
  • Ley sobre seguridad de redes y sistemas de información en el sector del transporte (Ley N ° 441 de 8 de mayo de 2018).
  • Ley de Empresas de Dinamarca (Ley N ° 1089 de 14 de septiembre de 2015).

Protección de Datos

  • El Reglamento general de protección de datos (Reglamento (UE) 2016/679) (GDPR); y
  • Ley de Protección de Datos de Dinamarca (Ley N ° 502 de 23 de mayo de 2018).

Derecho penal

  • Código Penal danés

Sector de salud

  • La Orden ejecutiva danesa sobre planificación de la preparación para la salud (Orden no 971 de 28 de junio de 2016); y
  • Orden ejecutiva danesa sobre registros de salud (Orden no 530 de 24 de mayo de 2018).

Sector financiero

  • La Ley Danesa de Negocios Financieros (Ley Consolidada N ° 1140 de 26 de septiembre de 2017);
  • Ley danesa sobre servicios de pago (Ley N ° 652 de junio de 2017);
  • Orden danesa sobre gestión y control de los bancos (Orden no 1026 de 30 de junio de 2016); y
  • Orden danesa de subcontratación (Orden no 1304 de 25 de noviembre de 2010).

Sector de telecomunicaciones

  • Ley danesa sobre redes y servicios de comunicaciones electrónicas (Ley consolidada núm. 128 de 7 de febrero de 2014); y
  • Ley danesa sobre actividades de radio y televisión (Ley consolidada n.o 444 de 8 de mayo de 2018).

Sector transporte

  • Ley danesa sobre seguridad de redes e información para el sector del transporte (Ley N ° 442 de 8 de mayo de 2018); y
  • Orden ejecutiva danesa sobre seguridad de redes y de información para el transporte (Orden no 1042 de 6 de agosto de 2018).

Propiedad Intelectual

  • Ley Danesa de Derecho de Autor (Ley Nº 1144 de 23 de octubre de 2014).

Otras regulaciones sectoriales que promueven la ciberseguridad

  • Orden ejecutiva sobre preparación para el sector eléctrico (Orden Nº 1024 de 21 de agosto de 2007);
  • Norma sobre preparación de TI para el sector de la electricidad y el gas natural (Orden no 425 de 1 de mayo de 2018);
  • Orden ejecutiva danesa sobre preparación para el sector petrolero (Orden no 424 de 25 de abril de 2018); y
  • Norma sobre requisitos de seguridad para la red y los sistemas de información de ciertos suministros de agua (Orden no 429 de 4 de mayo de 2018).
  • Ley danesa de vigilancia de la televisión (Ley N ° 1190 de 11 de octubre de 2017);
  • Ley de Dinamarca sobre el Centro de Seguridad Cibernética (Ley Nº 713 de 25 de junio de 2014); y
  • Orden sobre proveedores de redes de comunicaciones electrónicas y registro y almacenamiento electrónicos de servicios de comunicaciones (Orden N ° 988 de 28 de septiembre de 2006).

Definición de ciberseguridad y cibercrimen

Dinamarca no ha adoptado ninguna definición legal o jurisprudencial de ciberseguridad o cibercrimen, respectivamente.

El Centro Danés para la Seguridad Cibernética, que es un organismo gubernamental bajo el Servicio de Inteligencia de Defensa de Dinamarca, define el delito cibernético en su evaluación anual de amenazas como casos en los que las personas o las redes usan ataques cibernéticos para cometer actos delictivos, con el fin de enriquecerlos.

Sin embargo, el Centro de Seguridad Cibernética diferencia entre cibercrimen y ciberamenazas, definiéndose estas últimas como amenazas de ciberataques, donde las personas o las redes intentan interrumpir u obtener acceso no autorizado a datos, sistemas, redes digitales o servicios digitales.

Como concepto general, por lo tanto, se debería considerar que el delito cibernético abarca ambas definiciones. Del mismo modo, no existe una definición formal de ciberseguridad en Dinamarca. Sin embargo, el Centro Danés para la Seguridad Cibernética define su objetivo principal como ayudar a las empresas y organizaciones danesas, que apoyan las funciones esenciales de la comunidad, para prevenir, mitigar y protegerse contra los ataques cibernéticos, lo que puede proporcionar una medida indicativa de lo que se considera ciberseguridad por parte de las autoridades danesas.

Según la legislación danesa y de la UE, existe una distinción entre ciberseguridad y privacidad de datos, ya que la ciberseguridad se considera un instrumento en virtud de la legislación de privacidad de datos para lograr la privacidad de datos.

Obligaciones de las empresas en materia de ciberseguridad

No existen medidas de protección mínimas integrales como tales, excepto para cumplir con los requisitos de la Ley de Protección de Datos para implementar medidas de seguridad técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.

Específicamente, en relación con la transmisión de categorías confidenciales y especiales de datos personales, sin embargo, es un requisito que las empresas y organizaciones apliquen cifrado al transmitir dichos datos por correo electrónico a través de Internet.

La Agencia Danesa de Protección de Datos no ha establecido requisitos específicos para el tipo de cifrado que se debe usar, es simplemente un requisito que el nivel de cifrado sea apropiado en relación con el riesgo.

Las autoridades públicas deben aplicar ISO 27001.

Además, de conformidad con la Orden ejecutiva danesa sobre la subcontratación, las empresas del sector financiero deben cumplir con un amplio conjunto de requisitos al subcontratar actividades clave.

Ejemplos de estos requisitos incluyen la preparación de una política de seguridad de TI que promueva la ciberseguridad y la preparación de un plan de contingencia como respuesta a incidentes.

Principales ciberactividades penalizadas

Los delitos penales relacionados con las ciberactividades están regulados en el Código Penal danés. Las principales ciberactividades criminalizadas por ley en Dinamarca son las siguientes:

  • piratería (es decir, acceso no autorizado a información o programas destinados a ser utilizados en un sistema de información);
  • ataques de denegación de servicio (que impiden el uso o acceso a los sistemas de información);
  • infección de sistemas informáticos con malware (punible como vandalismo);
  • posesión o uso de hardware, software u otras herramientas utilizadas para cometer delitos cibernéticos;
  • phishing (no específicamente criminalizado, pero en la mayoría de los casos formará parte de otros delitos tipificados como fraude de datos);
  • fraude o robo de identidad (no específicamente criminalizado, pero en la mayoría de los casos formará parte de otros delitos tipificados como piratería, robo, falsificación de documentos, fraude o fraude de datos);
  • robo electrónico (por ejemplo, infracción de derechos de autor, fraude de datos, adquisición ilegal, uso y divulgación de secretos comerciales); y
  • interceptación no autorizada de información.

Recomendaciones de las autoridades en materia de ciberseguridad

El Centro Danés de Seguridad Cibernética y la Agencia Danesa de Digitalización han publicado numerosas pautas relacionadas con la seguridad informática y la gestión de amenazas de seguridad cibernética, todas las cuales están disponibles en los respectivos sitios web de las autoridades.

Las pautas son voluntarias para las empresas privadas y en algunos casos son obligatorias para las autoridades públicas. Los ejemplos de estas pautas incluyen:

  • Guías de la Agencia Danesa de Digitalización;
  • Guía para la planificación de la preparación de TI;
  • Orientaciones de sensibilización sobre seguridad de la información;
  • Consejos para la planificación de la implementación de seguridad de TI;
  • Guía sobre qué requisitos imponer a los proveedores en relación con la seguridad de la información;
  • Guías del Centro Danés de Seguridad Cibernética;
  • Recomendaciones sobre seguridad de dispositivos móviles;
  • Guía para reducir el riesgo de correos electrónicos falsos;
  • Guía para reducir el riesgo de ransomware;
  • Manual sobre cómo evitar ataques de amplificación de DNS;
  • Guía para mejorar la seguridad de las instalaciones de mainframe;
  • Guía sobre seguridad informática cuando viaja; y
  • Recomendaciones para mejorar la seguridad de las operaciones de TI tercerizadas por el sector público.

No existen normas y códigos de prácticas principales de la industria que promuevan la ciberseguridad en Dinamarca. Más bien, la orientación ha aparecido poco a poco y es emitida por diferentes autoridades gubernamentales dependiendo del alcance de la directriz específica.

Cooperación entre el Gobierno y el sector privado

El gobierno y el sector privado cooperan a través de organismos específicos del sector ad hoc formados por el gobierno y, en cierta medida, a través de redes formales e informales para desarrollar estándares y procedimientos de seguridad cibernética.

Cada año, el gobierno danés publica una ‘Estrategia nacional para la seguridad informática y de la información’, que describe las medidas e iniciativas que el gobierno planea llevar a cabo el próximo año.

En el último informe, el gobierno anunció que formaría unidades sectoriales específicas para cada uno de los sectores de vital importancia para la sociedad. Estas unidades específicas del sector están destinadas a contribuir a la implementación de evaluaciones de amenazas específicas del sector, vigilancia, planificación de preparación, implementación de seguridad e intercambio de conocimientos.

Autoridades danesas en materia de ciberseguridad

La Autoridad Danesa de Protección de Datos es responsable de supervisar el cumplimiento de los requisitos de la Ley Danesa de Protección de Datos.

La autoridad reguladora responsable de supervisar y hacer cumplir los requisitos para los operadores de servicios esenciales según la Directiva NIS y los actos de implementación depende del sector del operador en cuestión.

Con respecto al sector de las telecomunicaciones, la Autoridad Comercial de Dinamarca es la autoridad responsable de supervisar y hacer cumplir la Ley de Telecomunicaciones de Dinamarca.

Con respecto al sector financiero, la autoridad responsable de hacer cumplir las normas de ciberseguridad depende del tema del caso. Sin embargo, las principales autoridades responsables son la Autoridad Comercial Financiera, la Autoridad Comercial Danesa y el Centro Danés de Seguridad Cibernética.

Certificación en ciberseguridad

Dinamarca ha adoptado ISO27001 como estándar de seguridad estatal y ha sido obligatorio para las autoridades públicas y las instituciones estatales desde enero de 2014.

De acuerdo con la Ley de Compañías Danesas, es un requisito para las compañías de responsabilidad limitada, que la junta directiva garantice que la compañía haya implementado los procedimientos necesarios para gestión de riesgos y controles internos.

Esto incluye la obligación de mantener una visión general de la idoneidad de la protección de la organización de las redes y los datos y de implementar las medidas técnicas y organizativas necesarias para proteger a la empresa contra las amenazas de ciberseguridad.

Si se determina que tales medidas son inadecuadas en relación con un incidente cibernético, puede considerarse como un incumplimiento de las obligaciones de la junta directiva, lo que puede dar lugar a una responsabilidad individual para los miembros de la junta.

Sanciones

Según el Capítulo 5 del Código Penal danés, las compañías y otras entidades legales están sancionadas por la ley danesa.

Los incumplimientos de la Ley Danesa de Protección de Datos para establecer medidas técnicas y organizativas de seguridad adecuadas se castigan con prisión de hasta seis meses o una multa de hasta 10 millones de euros, o en el caso de una empresa, hasta 2 por ciento de la facturación anual mundial total del ejercicio anterior, lo que sea mayor.

Además, el incumplimiento de las leyes y reglamentos destinados a prevenir la ciberseguridad se castiga con una multa. Esto incluye el incumplimiento de las disposiciones de, entre otras, la Ley de telecomunicaciones de Dinamarca, las leyes que implementan la Directiva NIS para proveedores de servicios esenciales, la Ley de servicios de pago de Dinamarca y la Ley de negocios financieros de Dinamarca.

El incumplimiento de la Ley de Negocios Financieros de Dinamarca puede, en ciertas circunstancias, también ser castigado con prisión.

Los casos de incumplimiento de las obligaciones de presentación de informes en virtud del RGPD y la Ley de Protección de Datos de Dinamarca se castiga con prisión de hasta seis meses o una multa de hasta 10 millones de euros, o en el caso de una empresa, hasta el 2 por ciento del volumen de negocios anual total mundial del ejercicio anterior, el que sea mayor.

El incumplimiento de las obligaciones de notificación según las leyes que implementan la Directiva NIS se castiga igualmente con una multa.

Tendencias para el futuro

Dinamarca se ha enorgullecido durante mucho tiempo como un país líder en la digitalización de su sector público y privado. Sin embargo, la digitalización a gran escala ha llevado a muchos desafíos regulatorios y comerciales, y las violaciones de seguridad y el cibercrimen son un problema creciente para las autoridades y empresas danesas. Por lo tanto, no sorprende que la ciberseguridad haya sido y siga siendo un problema importante.

En mayo de 2018, el gobierno danés lanzó una estrategia nacional contra los ataques cibernéticos, que establece 25 iniciativas diferentes y seis estrategias orientadas a objetivos.

Los cambios regulatorios se mencionan explícitamente como una iniciativa clave de la estrategia. Como parte de los desarrollos, el Ministerio de Defensa danés ha comenzado a trabajar en una propuesta legislativa para aumentar las posibilidades de que las autoridades eviten ataques cibernéticos selectivos en infraestructura crítica.

La estrategia nacional es parte de un mayor esfuerzo hacia la seguridad cibernética.

Otra iniciativa en 2018 fue el establecimiento de una unidad de ciberseguridad e información. En cooperación con otros grupos de interés clave, la unidad se esfuerza por lograr una mayor digitalización de Dinamarca, manteniendo un fuerte enfoque en las soluciones de ciberseguridad.

Se espera que en el futuro cercano se publiquen recursos prácticos, como pautas y herramientas de soporte.

Ejemplos de ciberataques

El país del norte de Europa también ha sido víctima de múltiples ciberataques. Aquí vamos a ver algunos de los más importantes.

Ministerio de Extranjería e Integración danés víctima de un ciberataque

En septiembre de 2017, la web del Ministerio de Extranjería e Integración danés sufrió un ataque DDoS que provocó la inaccesibilidad de la página.

Un grupo de piratas informáticos turco llamado Aslan Neferler Tim han asumido la autoría del ataque, apelando a que la ministra publicó en Facebook la viñeta del profeta con turbante-bomba, una de las doce que causaron hace una década una crisis diplomática con varios países musulmanes.

Ciberataques a Bycyklen y DSB

Bycyklen, la empresa que comparte bicicletas en la ciudad de Copenhague, vio su sistema comprometido por hackers desconocidos. En el ataque, alrededor de 1.800 bicicletas fueron afectadas y quedaron inutilizadas.

Pero no fue el único. Días después, DSB, la empresa líder en explotación de servicios ferroviarios, sufrió un ataque masivo DDoS (denegación de servicio distribuida), que derivó en la interrupción del servicio en todo el país y bloqueó la compra de billetes por parte de los viajeros.