El pasado 30 de septiembre Alemania concluyó el periodo de consultas de su Catálogo de Requisitos de Seguridad 2.0 de la Ley de Telecomunicaciones (TKG), publicado a comienzos de agosto. Este documento ha sido debatido en las últimas semanas por diferentes organismos oficiales, fabricantes y asociaciones de operadores de redes de telecomunicaciones y debería ver la luz de manera oficial próximamente.
El objetivo es adaptar la toolbox, o caja de herramientas, que la Unión Europea entregó a sus estados miembros a comienzos de este año y que debe servir de guía para los protocolos europeos de seguridad de sus redes de telecomunicaciones.
Con este movimiento, Alemania se pone a la cabeza de los grandes países europeos y sienta las bases de una legislación que servirá de referencia para sus socios comunitarios. En el caso de España, y como ya contó este diario, se está ultimando el borrador que debería salir a audiencia pública en los próximos meses, un documento que según las informaciones recogidas por este diario se inspira en buena parte de las directrices marcadas por Alemania.
La primera y la más relevante es que el Catálogo de Requisitos de Seguridad 2.0 de la Ley de Telecomunicaciones (TKG) establece estándares de ciberseguridad neutrales de igual aplicación para todos los proveedores. En la práctica esto recoge las recomendaciones de la Unión Europea de no vetar a ningún proveedor a priori e iguala a Huawei al resto de compañías como proveedores de las redes de telecomunicaciones.
Todos los proveedores de tecnología son igualmente bienvenidos para competir de manera justa para proporcionar tecnología 5 G, siempre que cumplan con los requisitos de seguridad.
Presiones de EE. UU.
De esta manera, pese a las presiones de Estados Unidos -que tiene al proveedor chino en su lista negra comercial- ni la Unión Europea, ni ahora Alemania bloquean a la compañía y establecen estándares más exigentes, pero de igual cumplimiento para todos los operadores. Un base, según ya contó Invertia, que también tomará la futura ley de ciberseguridad española.
Así es como la actualización de seguridad alemana incorpora varios nuevos requisitos de seguridad clave, según los cuales Alemania gestionará los riesgos de ciberseguridad técnicos y no técnicos desde dos perspectivas: una declaración de fiabilidad y certificaciones técnicas.
De esta forma, todos los proveedores de servicios y los operadores de redes públicas de telecomunicaciones deben respetar las medidas técnicas y otras salvaguardas para controlar los riesgos de seguridad y protegerse de interrupciones que puedan producir un deterioro significativo, tanto de las redes como de los servicios de telecomunicaciones, como por ejemplo, el acceso no autorizado.
Según algunos medios locales como Frankfurter Allgemeine, la publicación de este catálogo se podría interpretar como una señal de que “la Cancillería, el Ministerio Federal de Economía y el Ministerio de Transporte consideran que el papel de Huawei como proveedor no debe prohibirse desde el inicio. Más bien, debe evaluarse en función de las mismas especificaciones que las de los competidores europeos y estadounidenses”.
Dentro de las principales novedades de esta nueva legislación se encuentra la obligación del proveedor de redes de garantizar que la información confidencial sobre sus clientes no llegue a un país extranjero, ya sea por iniciativa propia o por medio de terceros.
Nuevos requisitos
También se establece la obligación del proveedor de proporcionar, previa solicitud, información concreta sobre el desarrollo del producto de los componentes del sistema relacionados con la seguridad de sus productos. El proveedor también deberá garantizar que trabaja solo con "empleados particularmente confiables para el desarrollo y producción de los componentes críticos del sistema".
La compañía de redes también tendrá la obligación de notificar inmediatamente a los usuarios las vulnerabilidades o manipulaciones que sean conocidas o recién conocidas para que se puedan tomar las medidas oportunas para limitar y eliminar las posibles consecuencias de los defectos de calidad.
"Si el fabricante obtiene información que sugiera que la seguridad y la función de sus productos podrían verse debilitadas o el correcto funcionamiento podría verse afectado negativamente, el fabricante debe comunicar esta información a los usuarios de inmediato. Además, el fabricante está obligado a proporcionar inmediatamente propuestas de solución".
Al igual que Alemania, España debe adaptar la normativa europea que se consensuó en Bruselas en enero de este año y sentar las bases legales para un despliegue seguro de las nuevas redes de 5G, así como delimitar el campo de acción de nuevas tecnologías como el Internet de las cosas (IoT) y de la Inteligencia Artificial (AI por sus siglas en inglés), donde la seguridad es el mayor desafío.
En este sentido, el Gobierno prepara su Ley de ciberseguridad como uno de los proyectos estrella de la legislatura en el ámbito de las telecomunicaciones. De momento, no hay plazos para su presentación, pero la idea es poder ponerla en marcha durante el año 2021, coincidiendo con el despliegue de las nuevas infraestructuras digitales.
La vía europea
No obstante, sus líneas maestras comienzan a estar claras y pasan porque España adapte de manera fiel buena parte de las bases sentadas por Bruselas en enero y que, entre otras cosas, no excluyen explícitamente a ningún operador del despliegue de sus redes.