Francia

Francia dispone de una legislación en materia de ciberseguridad que cubre los siguientes aspectos.

El artículo L111-1 del Código de Seguridad Nacional establece que el estado debe mantener la seguridad, que se extiende al ciberespacio. A este respecto, Francia ha promulgado no una ley específica, sino varios actos y reglamentos que promueven la ciberseguridad.

Son los siguientes.

Legislación

Ley de Programación Militar No. 2013-1168, de 18 de diciembre de 2013

De conformidad con esta ley, el estado tiene el deber y la responsabilidad de tomar las medidas adecuadas para proteger los sectores esenciales que se consideran «de suma importancia para la supervivencia del Estado». Estos son bancos, hospitales y plantas de energía nuclear.

Un capítulo entero está dedicado a la defensa cibernética en la nueva Ley de Programación Militar para 2019 a 2024, que aún no está en vigor (actualmente se está redactando en el Parlamento).

Decretos Nos. 2015-350 y 2015-351 del 27 de marzo de 2015, que promulgan la Ley de Programación Militar de 2013

Estos decretos establecen que los sectores esenciales que se consideran «de suma importancia para la supervivencia del Estado» están obligados a:

  • adoptar herramientas de detección en sus redes e infraestructuras de tecnología de la información (TI) para evitar cualquier ataque cibernético;
  • notificar de inmediato cualquier violación de seguridad cibernética a las autoridades pertinentes;
  • auditar regularmente sus infraestructuras de TI; y
  • adoptar medidas específicas solicitadas por las autoridades pertinentes.

La ley establece además que el incumplimiento puede dar lugar a una multa de hasta 150.000 euros.

La ANSSI, también designada por la Ley de Programación Militar de 2013, es una agencia gubernamental que opera bajo la autoridad del Secretario General de Defensa y Seguridad Nacional para garantizar la buena aplicación de la ley y, más precisamente, la seguridad de la red y la información. sistemas.

Ley de Protección de datos 2018-493 de 20 de junio de 2018

Incluso antes de la entrada en vigor del Reglamento General de Protección de Datos de la UE, los artículos 34 y 34-bis de la Ley de Protección de Datos de 1978 (modificada por la Ley N ° 2018-493 de 20 de junio de 2018) tomaron en consideración la seguridad cibernética. Se establece que al tratar con datos personales, las medidas técnicas y organizativas deben ser implementadas por los controladores y procesadores de datos, ya sean privados o públicos, para garantizar un nivel de seguridad adecuado al riesgo al procesar los datos personales.

Estos incluyen la protección contra el acceso no autorizado, alteración o robo.

Además, los proveedores de servicios de Internet (ISP) que procesan datos personales están obligados a informar a la Autoridad Francesa de Protección de Datos (CNIL) de inmediato en caso de incumplimiento. Estos ISP incluso están obligados a mantener registros de ciberataques.

De conformidad con el Reglamento general de protección de datos de la UE, aplicable desde el 25 de mayo de 2018, estas obligaciones se han extendido a todos los controladores y procesadores de datos, privados y públicos.

Los controladores y procesadores de datos pueden enfrentar una multa administrativa de hasta el 2 por ciento de la facturación anual mundial total del ejercicio anterior o de 10 millones de euros, lo que sea mayor, en caso de no informar y adoptar las medidas de seguridad apropiadas.

Mediante la Ley N °2018-493 de 21 de junio de 2018, Francia implementó formalmente las disposiciones legales del Reglamento General de Protección de Datos de la UE.

Directiva sobre seguridad de redes e información (Directiva NIS) adoptada por la Unión Europea el 6 de julio de 2016

Aunque los miembros tenían hasta el 9 de mayo de 2018 para transponer esta Directiva en su legislación, Francia ya había implementado el núcleo recomendaciones de la Directiva NIS a través de la Ley de Programación Militar de 2013 y sus decretos.

Si las recomendaciones centrales de la Directiva NIS se implementaron a través de la Ley de Programación Militar de 2013 y sus decretos, el 27 de febrero de 2018 Francia aprobó una Ley de transposición adecuada No. 2018-133, detallada por el Decreto No. 2018-384 publicado el 23 de mayo.

Sectores económicos más afectados por la regulación de ciberseguridad

De conformidad con la Ley de Programación Militar de 2013 y la Directiva NIS, los sectores más preocupados por estas leyes forman parte de los «sectores de suma importancia» y son, entre otros, los sectores de energía, transporte, agua, banca, finanzas mercado e industrias sanitarias.

Se proporciona una lista exhaustiva de esos sectores en el Decreto No. 2018-384. En septiembre de 2018, los servicios del primer ministro publicaron una nueva orden que proporciona 23 reglas de seguridad vinculantes para aquellos sectores de suma importancia esencial.

Dado que la Ley de Programación Militar de 2013 y la Directiva NIS son relativamente nuevas, las órdenes, ordenanzas y decretos ministeriales solo se publicaron alrededor de 2016, hasta el punto de que es demasiado pronto para analizar el progreso realizado hacia la promoción de la ciberseguridad.

Sin embargo, el gobierno tiene una línea clara sobre la ciberseguridad: debe abordarse seriamente. De acuerdo con la Ley de Programación Militar que se votará de 2019 a 2024, esa línea gubernamental sobre seguridad cibernética está a punto de ampliarse y enfatizarse.

En un aspecto más general, todos los controladores y procesadores de datos, privados y públicos, también están obligados por la Ley de protección de datos francesa y el Reglamento general de protección de datos de la UE para proporcionar medidas de seguridad adecuadas al recopilar, procesar, transferir y almacenar datos.

En este sentido, para cumplir con esta obligación, deben adoptar medidas de ciberseguridad.

Obligaciones de las empresas en materia de ciberseguridad

De conformidad con la Ley de Protección de datos, los controladores y procesadores de datos que procesan datos personales deben implementar medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo.

Estos incluyen la protección contra el acceso no autorizado, alteración o robo. Los ISP que procesan datos personales también están obligados a informar a la CNIL de inmediato en caso de incumplimiento. También están obligados a mantener registros de ataques cibernéticos.

El CNIL puede multar a las empresas que no cumplan con hasta el 2 por ciento de la facturación anual total mundial del ejercicio anterior o 10 millones de euros.

Además, de conformidad con el artículo 226-17 del Código Penal, los infractores se pueden enfrentar a cinco años de prisión y recibir una multa de hasta 300.000 euros. Esta cantidad se multiplica por cinco para las organizaciones, de conformidad con el artículo 131-38 del Código Penal.

Una ley relativamente importante fue adoptada el 27 de marzo de 2017, a saber, la Ley No. 2017-399.

Esta ley requiere que las empresas con más de 5.000 trabajadores en Francia realicen un mapeo de los riesgos potenciales que pueden afectar negativamente las libertades públicas, los derechos fundamentales y la salud y la seguridad, y que tomen las medidas apropiadas para mitigar sus efectos. Este mapeo debe identificar los riesgos, clasificar su nivel de importancia y analizar sus posibles consecuencias.

Definición de ciberseguridad y cibercrimen

Ni la ciberseguridad ni el cibercrimen tienen definiciones universales y precisas.

Sin embargo, según la ANSSI, la seguridad cibernética se puede definir como un sistema de información que es lo suficientemente resistente como para sostener y mitigar el impacto de un ataque cibernético. La ANSSI agrega además que la seguridad cibernética se logra mediante la aplicación de medidas técnicas de seguridad apropiadas al sistema de información, luchando contra actos cibercriminales y adoptando estrategias de defensa cibernética.

El delito cibernético se define como el acto de utilizar un sistema de información o una red para cometer un delito menor o un delito punible por la legislación nacional y los tratados internacionales.

Se hará una distinción entre la ciberseguridad y la privacidad de los datos, ya que la ciberseguridad se considera un componente de la privacidad de los datos en virtud de la legislación francesa y de la UE. Como tal, para tener privacidad de los datos, se tendrían que implementar medidas de ciberseguridad.

Además, las políticas de ciberseguridad y cibercrimen de Francia se consideran cada vez más como secciones de la política de defensa cibernética.

Medidas de ciberseguridad mínimas a implantar por las empresas

En septiembre de 2017, la ANSSI publicó 42 medidas para proteger los datos y los sistemas de TI de las amenazas cibernéticas. De acuerdo con esto, la seguridad cibernética se abordará seriamente y, por lo tanto, generalmente recomienda a las empresas y organizaciones, entre otras cosas:

  • sensibilizar;
  • actualizar periódicamente sus sistemas informáticos;
  • restringir el acceso y alentar el uso de autenticación fuerte;
  • realizar una auditoría;
  • cifrar datos e información altamente sensibles cuando se transfieren; y
  • descentralizar la red.

Con respecto a los sectores esenciales, se adoptaron varias órdenes ministeriales en 2016 y 2017.

Estas órdenes prevén medidas de seguridad obligatorias, como la adopción de herramientas de detección, herramientas de defensa, autenticación fuerte y protocolos de acceso restringido que deberán tomar las entidades que operan principalmente en el sector eléctrico, marítimo, finanzas, industria espacial, gas, medios, nuclear y armamento.

Principales ciberactividades penalizadas

Francia ha promulgado leyes sobre una amplia gama de delitos relacionados con delitos cibernéticos desde 1988.

A este respecto, las siguientes ciberactividades están penalizadas:

  • Cualquier ataque cibernético a un sistema de información a través del acceso o mantenimiento no autorizados. En caso de que este acceso o mantenimiento conduzca a la alteración o eliminación de los datos contenidos en el sistema o altere el buen funcionamiento del sistema, esto será constitutivo de un delito adicional.
  • Atacar los sistemas de información operados por el estado puede llevar a cinco años de prisión y una multa de hasta 150.000 euros.
  • Cualquier ataque cibernético que interrumpa o distorsione el buen funcionamiento de un sistema de información.
  • La introducción, extracción, clonación, transferencia, modificación o eliminación de datos de un sistema de información.
  • Importar, proponer o poseer cualquier equipo, software u otra herramienta desarrollada para cometer actividades cibercriminales.
  • Cualquier recopilación, uso, almacenamiento, transferencia y procesamiento ilícitos de datos personales, y el incumplimiento de las obligaciones de seguridad y el respeto al derecho de oposición también son delitos penales.
  • La suplantación de identidad o el robo de identidad.
  • El fraude con tarjeta de crédito o débito e importar, proponer o poseer cualquier equipo, software o cualquier otra herramienta desarrollada para cometer fraude con tarjeta de crédito o débito.
  • Las estafas cibernéticas, como el phishing.
  • Una violación de la confianza cometida mediante el acceso a un sistema de información.

El legislador ha mejorado los poderes de investigación de la policía y ha establecido tribunales especializados en delitos cibernéticos para tratar de manera eficiente el delito cibernético y los ataques.

Además, se han creado sitios web institucionales dedicados a Internet con el objetivo de luchar contra los actos cibernéticos ilegales y permitir al público denunciar tales actos.

Estándares y procedimientos de ciberseguridad

El gobierno y el sector privado cooperan a través de organizaciones sin fines de lucro.

Como tal, la ANSSI (que actúa en nombre del gobierno), Thales Communications and Security SAS o Électricité de France (EDF) forman parte de la Organización Europea de Seguridad Cibernética (ESCO).

La ESCO reagrupa entidades públicas y privadas y tiene como objetivo desarrollar, promover y fomentar la ciberseguridad europea.

Además, el 5 de julio de 2016 se firmó una asociación público-privada sobre ciberseguridad para equipar mejor a la Unión Europea contra los ciberataques y fortalecer la competitividad de su sector de ciberseguridad. Naturalmente, estos incluyen, y beneficiarán, a las industrias francesas y al gobierno.

Ejemplos de ciberataques

Francia es uno de los países más afectados por ciberataques. Entre los más importantes podemos destacar los siguientes:

Renault, víctima de ransomware

La empresa automovilística francesa Renault ha sido víctima de varios ciberataques. El más importante se produjo en 2017 cuando fue víctima de una intrusión de ransomware que afectó a su producción. La empresa tuvo que detener la actividad en la fábrica afectada para evitar una propagación del virus.

La Agencia Nacional de Seguridad de los Sistemas de Información de Francia (ANSSI) había lanzado una alerta para advertir de la aparición de un programa que se introduce en los equipos informáticos y «explota vulnerabilidades de ejecución de código a distancia para propagarse». Este organismo explicó que se trata de un programa que provoca la codificación de todos los ficheros de un ordenador y dio algunos consejos de seguridad.

En caso de ser víctimas de este tipo de ataques, se recomienda desconectar de la red el equipo afectado para evitar la codificación y destrucción de documentos. También se debe notificar inmediatamente al responsable de seguridad informática de la empresa, guardar los documentos importantes en soportes aislados y no pagar el rescate exigido.

Acceso no autorizado a datos en Airbus

Hace unos meses, el constructor aeronáutico Airbus denunció un ciberataque a sus sistemas de información que produjo un acceso no autorizado a datos personales de profesionales y empleados de la compañía.

Ese ataque no afectó a las operaciones comerciales, según la compañía. La misma puso en marcha medidas para reducir el impacto de ese ciberataque y una investigación para descubrir el origen de ese ataque y los datos que fueron afectados.

Hackeo a la televisión francesa TV5Monde

Hace cuatro años la red de televisión de servicio público TV5Monde fue tomada por individuos que afirmaban pertenecer al Estado Islámico, bloqueando las transmisiones y pirateando sus sitios web y página de Facebook.

Todas las transmisiones de TV5Monde fueron suspendidas en un apagón entre las 10 p.m. y la 1 a.m., hora local, de miércoles a jueves por piratas informáticos que reclamaban lealtad a Isis. Pudieron tomar el control de la red de televisión fundada por el gobierno francés en 1984, pirateando simultáneamente 11 canales, así como su sitio web y cuentas de redes sociales.

Los expertos dicen que el ataque cibernético representó un nuevo nivel de sofisticación para el grupo islamista, que ha reclamado piratería compleja antes, pero nada tan grande como esto. La fiscalía de París abrió una investigación de terrorismo sobre el ataque.