En nuestro nuevo Breves de Regulación Digital, analizamos el contenido del borrador de Proyecto de Ley de Ciberseguridad 5G, la norma que establece los requisitos de ciberseguridad para un despliegue rápido y efectivo de las redes 5G en territorio español.
El objetivo del Anteproyecto es crear un marco fiable y seguro que fomente el despliegue y la inversión, con el fin de promover el desarrollo de la tecnología 5G en España.
De esta forma, el Gobierno trata de impulsar las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad incluidas en la Tool Box de la Comisión Europea. Veámoslo a continuación con más detalle.
La importancia del 5G
Tanto la Unión Europea como España están tratando de impulsar un rápido y efectivo despliegue de redes de quinta generación dado (i) el valor añadido que estas pueden ofrecer en muchos sectores de la economía y (ii) el avance en la transición digital y ecológica de las compañías al fomentar una comunicación constante, ubicua y de gran velocidad.
Como ejemplo de lo anterior, el gobierno español prevé en su Plan Estratégico de Promoción del 5G una inversión pública de 300 millones de euros para 2021.
El desembolso económico tan importante que se prevé llevar a cabo en esta tecnología deriva en una necesidad de generar confianza en el mercado de manera que se saque el máximo partido garantizando en todo momento la protección de las comunicaciones y de los datos.
A este respecto, siguiendo la Recomendación 2019/534 de la Comisión Europea, el borrador de Anteproyecto de Ley de Ciberseguridad 5G (a partir de ahora, el Anteproyecto), propone someter a los operadores y suministradores a estrictos controles para garantizar su fiabilidad y su independencia frente a “injerencias externas”.
Trámite de audiencia publica
El Anteproyecto, que será sometido a audiencia pública hasta el mes de enero y cuya aprobación se espera en 2021, “no pretende etiquetar a nadie sino que fija una serie de reglas generales y si algún operador o fabricante no las cumple, no podrá desplegar red 5G en España” de acuerdo con lo que asegura el Secretario de Estado de Telecomunicaciones.
De tal forma, el Ministerio de Asuntos Económicos y Transformación Digital se distancia de las recientes decisiones en Estados Unidos y Reino Unido que prohíben la comercialización a determinados suministradores por cuestiones geopolíticas y se decanta por un enfoque de supervisión estricta y continuada, siguiendo los pasos de Alemania o Francia, si bien con capacidad de veto para situaciones de riesgo alto.
Con respecto al contenido del Anteproyecto, incluye medidas destinadas principalmente a los operadores y suministradores de redes y servicios 5G, pero también a fabricantes y determinados usuarios corporativos.
El Anteproyecto incluye igualmente instrumentos destinados a abordar la ciberseguridad en las redes y servicios, (I+D+I, interoperabilidad, requisitos para la comercialización de terminales, etc…).
A continuación se resumen las principales novedades que introduce el Anteproyecto.
-
Análisis de riesgos y medidas de ciberseguridad
El Anteproyecto traslada a la normativa española las medidas identificadas en el Tool Box de la Comisión Europea para mitigar los riesgos de seguridad del 5G. En particular, exige a los operadores (entre los que se encuentran compañías como Orange, Vodafone, Movistar, etc.) (i) llevar a cabo un análisis de riesgos periódico de las redes y servicios 5G y (ii) adoptar las medidas técnicas y organizativas necesarias desde una perspectiva de ciberseguridad para mitigar los riesgos identificados.
En la misma línea, el artículo 7 del Anteproyecto obliga a los operadores a analizar las prácticas de seguridad que puedan repercutir en los productos y servicios que comercialicen sus suministradores (entre los cuales destacan Huawei, Ericsson o Nokia).
Asimismo, se reconoce a los operadores la potestad de exigir a sus suministradores el cumplimiento de determinados estándares de seguridad y a solicitar la información que consideren oportuno a la hora de llevar a cabo los mencionados análisis de riesgos.
Tanto los análisis de riesgos, como el informe de las medidas técnicas y organizativas, deberán ser entregados por los operadores al Ministerio de Asuntos Económicos y Transformación Digital en un plazo máximo de 4 meses desde la aprobación de la norma (para su posterior estudio) debiendo actualizarlos, al menos, cada dos años.
-
Estrategia de diversificación
De igual manera, el Anteproyecto exige a los operadores analizar su dependencia en la cadena de suministros y, en base a dicho análisis, elaborar una estrategia de diversificación de suministradores.
Dicha estrategia deberá incluir medidas para limitar la dependencia de elementos o funciones esenciales de la red de un solo suministrador o de varios que tengan una calificación de alto riesgo e incluir plazos para restringir o excluir la presencia de riesgo alto en dichos elementos o funciones.
Una vez definida la estrategia de diversificación, deberán remitirla al Ministerio de Asuntos Económicos y Transformación Digital junto con un informe sobre las prácticas de seguridad de sus suministradores. Dicha remisión deberá tener lugar en el plazo máximo de 4 meses a contar desde la aprobación de la norma.
-
Esquema de seguridad de las redes y servicios 5G
El Ministerio de Asuntos Económicos y Transformación Digital estudiará el conjunto de análisis de riesgos y medidas que le hayan sido remitidos por los operadores nacionales.
En base a dicho estudio, el Gobierno aprobará, mediante real decreto, a propuesta del Ministerio un esquema de seguridad de las redes y servicios 5G (el Esquema de Seguridad) con el cual se realizará un tratamiento integral de la seguridad en las redes y servicios 5G nacionales. En concreto, entre otros aspectos, el Esquema de Seguridad contendrá:
- Una priorización de los riesgos que afectan a las redes y servicios 5G e impondrá, en función de tal priorización, obligaciones aplicables a los suministradores, fabricantes y usuarios corporativos.
- Objetivos de diversificación de suministradores en la cadena de suministro de los operadores y para el conjunto del Estado.
- Obligaciones de seguridad exigibles a los operadores y suministradores (el artículo 14.2 del Anteproyecto adelanta algunos ejemplos).
-
Calificación de suministradores según nivel de riesgo
El Gobierno examinará el perfil de riesgo de los suministradores de los operadores de redes y servicios 5G en base a los siguientes criterios: las garantías técnicas de funcionamiento y protección frente a ataques y la exposición a injerencias externas.
A la hora de analizar la exposición a dichas injerencias externas, el Anteproyecto identifica aspectos tales como los vínculos con los gobiernos de terceros países o el poder de un tercer Estado para ejercer presión sobre la actuación de la empresa, lo cual ha suscitado cierta polémica en el sector debido a un potencial incumplimiento de algunos de los principios del derecho de la competencia.
En base al análisis de riesgos de la cadena de suministros, y previo informe del Consejo de Seguridad Nacional, el Gobierno, mediante Acuerdo del Consejo de Ministros y a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, calificará el nivel de riesgo (bajo, medio o alto) de los distintos suministradores y especificará las consecuencia de dicha calificación, lo que abre la puerta a potenciales vetos o limitaciones en la prestación de los servicios de 5G.
De acuerdo a lo anterior, los esfuerzos de los suministradores deberán centrarse en cumplir con los estándares y certificaciones que se establezcan en la versión definitiva de la ley y del Esquema de Seguridad a la hora determinar el riesgo pues ello determinará en gran medida su futura posición y presencia en el mercado nacional, si bien el borrador concede determinados poderes a las autoridades para tomar decisiones en base a criterios geopolíticos.
-
Facultad inspectora
El Ministerio de Asuntos Económicos y Transformación Digital deberá supervisar la aplicación de lo establecido en el Anteproyecto. A este respecto, en aras de garantizar una correcta supervisión de las obligaciones establecidas en el Anteproyecto, el mismo reconoce al Ministerio todas las potestades de la función inspectora previstas en el Título VIII de la Ley General de Telecomunicaciones.
De acuerdo con lo anterior, el Ministerio podrá exigir a los fabricantes de equipos terminales y dispositivos conectados o quienes los pongan en el mercado y los usuarios corporativos de las redes y servicios 5G a aportar información y colaborar en las inspecciones que se lleven a cabo en relación con los operadores y los suministradores.
-
Contratación Pública
El artículo 18 del Anteproyecto reconoce a las Administraciones Públicas un derecho a excluir a los suministradores que tengan una determinada calificación de riesgo de la participación en una licitación pública. Dicha exclusión debe realizarse de forma motivada por la Administración correspondiente.
-
Régimen sancionador
Será de aplicación el régimen sancionador establecido en el Título VIII de la Ley General de Telecomunicaciones, a excepción de determinadas especialidades.
La infracción muy grave, podrá ser sancionada con hasta 20.000.000 euros y comportar la prohibición de prestar servicios a entidades públicas. Por la comisión de infracciones graves, la compañía correspondiente podrá recibir una multa de hasta 2.000.000 euros y por la comisión de infracciones leves, de hasta 50.000 euros.
Por último, el Anteproyecto también establece expresamente la posibilidad de que en caso de que se acredite fehacientemente que el perjuicio causado o el beneficio obtenido con algún acto sancionado a una compañía supera las cuantías anteriormente expuestas, la sanción podrá incrementarse hasta dicho importe.