El Gobierno ha presentado los primeros detalles de su Anteproyecto de Ley de Ciberseguridad 5G que entre sus principales novedades incluirá la elaboración periódica de una lista de proveedores de red de bajo, medio y alto riesgo. El proyecto ahora entra ahora en audiencia pública para recibir los comentarios del sector antes de ser enviado al Congreso.
Esta lista con operadores de alto riesgo será la base a partir de la cual se decidirá qué compañías podrán ser vetadas y en qué parte de la infraestructura se producían estos vetos. Lógicamente, los de riesgo bajo no tendrán vetos y los de medio, solo algunas limitaciones.
Esta lista podría actualizarse anualmente, pero en algunas partes de la red y dependiendo de determinadas circunstancias, podría pasar más o menos tiempo. Este listado se hará tomando en cuenta los análisis de las operadoras y previo informe del Consejo de Seguridad Nacional y del Ministerio de Asuntos Económicos y tras la aprobación del Consejo de Ministros.
¿Plazos? El Ejecutivo espera tener aprobada como pronto esta nueva Ley a mediados de 2021 y no antes de 2022 la lista definitiva de proveedores de alto riesgo. Respecto a la seguridad jurídica que piden empresas como Telefónica, Orange o Vodafone para cerrar contratos con proveedores, el Ejecutivo cree que esta Ley no afectará sus decisiones de inversión.
¿Cómo se decidirá quiénes entran en la lista? Fuentes de la Secretaría de Estado de Telecomunicaciones han indicado que se hará gracias a dos tipos de análisis. El primero estará solo centrado en criterios técnicos, relacionado con las características del sistema, provisión de servicios o garantía de suministros.
Sin vetos a empresas
El segundo análisis se hará en base a riesgos externos. Estos requisitos tienen que ver básicamente con la estructura de la sociedad que soporta a la compañía sumistradora de red o la capacidad de la injerencia de un Gobierno extranjero.
Bajo este análisis deberán someterse a escrutinio compañías que proveen redes de 5G como Nokia, Ericsson, ZTE o Huawei, entre otras. Sin embargo, desde el Gobierno se han apresurado en apuntar que esto no significa que se haga un veto a priori a alguna empresa en concreto, ni por nacionalidad ni por presiones extranjeras, como ya había adelantado Invertia.
Apuntan que la Ley solo establece requisitos técnicos y objetivos que analizan los niveles de riesgos reales de cada compañía. En este proceso de análisis participarán los operadores, la Secretaría de Estado de Telecomunicaciones y el Consejo de Seguridad Nacional.
Los operadores de redes tendrán la obligación de realizar un pormenorizado análisis y gestión del riesgo -que ya realizan- y contarán con dos años para realizarlos. Pese a ello, el Gobierno no introduce obligación adicional alguna, pero sí incluye determinados elementos y factores que ahora deben tomarse en cuenta para estos análisis.
El proyecto también es proactivo para pedir diversificación de proveedores en todos los puntos de la red -algo que también están haciendo las operadoras-, ya que en base a la nueva metodología de análisis de riesgos se deberá apuntar la eventual dependencia de sumistradores sobre los que trabajan las operadoras en puntos calientes de la red.
'Tool box' europea
Las operadoras tendrán la obligación de realizar una adecuada gestión de los riesgos asociados a los operadores críticos, al mismo tiempo que la administración deberá realizar un análisis de riesgos nacionales, por lo menos cada seis años. Para ello contará además con informes del Consejo de Seguridad Nacional.
Estos análisis se compartirán con los Estados Miembros y con la Comisión Europea. Los informes primarios vendrán de los operadores, y el Gobierno podrá revisar la vulnerabilidad de la cadena de suministros.
El Anteproyecto realiza la transposición al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (tool box) consensuada entre los Estados Miembros de la Unión Europea.
La caja de herramientas identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.
El Gobierno adoptará, por real decreto, el Esquema de Seguridad de Redes y Servicios 5G, con el cual se realizará un tratamiento integral de la seguridad en las redes y servicios 5G nacionales. Dentro del esquema, se priorizarán los riesgos y las medidas para mitigarlos que deberán tener en cuenta los operadores.