La Ley de Ciberseguridad 5G vetará a fabricantes de telecomunicaciones

El Gobierno ha decidido reforzar la seguridad de cara a la expansión del 5G. El Real Decreto-ley 7/2022, de 29 de marzo sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, más conocido como Ley de Ciberseguridad 5G, aprieta las tuercas a operadoras y proveedores de software y hardware 5G, que se enfrentan a multas de hasta 20 millones de euros y la prohibición de prestar servicios a entidades públicas en el caso de las infracciones muy graves.

Tal y como venimos describiendo en este espacio, la tecnología 5G no sólo expande las posibilidades de aplicación de las comunicaciones, sino también sus riesgos, documentados en exhaustivos informes de organismos como Europol. Los ataques evolucionan e, incluso, el perfil de los atacantes, tal y como ya ha advertido la Agencia Europea de Seguridad de las Redes y de la Información (ENISA, por sus siglas en inglés), hasta el punto de que, como se indica en la Ley de Ciberseguridad 5G, ya no basta con la legislación vigente como la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones; el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información; o la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

Este es el motivo por el que entra en vigor este nuevo Real Decreto que adquiere rango de ley al considerar urgente la necesidad de incorporar al ordenamiento jurídico español estas medidas de protección. Entre ellas, destaca las exigencias hacia las operadoras, que no sólo han de analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas, sino que están obligadas a diversificar su cadena de suministro, tanto de equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento o cualquier otro recurso para el transporte de señales en una red pública 5G.

Tal y como establece la nueva ley, las operadoras habrás de tener como mínimo dos proveedores diferentes, a los que habrán de solicitar sus prácticas y medidas de seguridad adoptadas en los productos y servicios suministrados. Algunas de las empresas proveedoras de este tipo de tecnología son Ericsson, Nokia o Huawei, entre otras. Sin embargo, no todos estos suministradores podrán participar en el despliegue de las redes 5G en España.

La Ley de Ciberseguridad 5G prohíbe expresamente la incorporación de equipamiento procedente de lo que califica proveedores de alto riesgo, ya sea hardware, como software o servicios auxiliares en el núcleo o core de la red, en su sistema de gestión de red y en determinadas ubicaciones de la red de acceso. Para la calificación de alto riesgo, el Gobierno evaluará diversos aspectos, desde sus vínculos y los de su cadena de suministro con los gobiernos de terceros países, a la composición de su capital social y la estructura de sus órganos de gobierno, o la presión que ejerza un tercer Estado en la compañía, entre otras.

Hasta la fecha, es una incógnita qué suministradores serán vetados y así seguirá hasta finales del mes de junio, que es la fecha prevista por el Gobierno para publicar la lista. Todos los suministradores habrán de elaborar informes de análisis de los riesgos de sus equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G. En el caso de los proveedores de riesgo bajo, tan sólo habrá de remitirlo al Ministerio de Asuntos Económicos y Transformación Digital cuando éste lo requiera, mientras que en el caso de los de alto riesgo o riesgo medio, éstos tienen seis meses para enviarlo desde el momento en que adquieren tal calificación. En este caso, el análisis se ha de actualizar cada dos años.

En caso de que los despliegues de 5G que ya se han realizado cuenten con equipamiento de suministradores de alto riesgo vetado, éste habrá de ser sustituido, según la disposición transitoria única contemplada en el Real Decreto, en un plazo de cinco años cuando afecte a los elementos críticos de red relativos a las funciones del núcleo de la red y a los sistemas de control y gestión y los servicios de apoyo.

En el caso de que el equipamiento vetado se encuentre en estaciones radioeléctricas con las que se proporcione cobertura a centrales nucleares, centros vinculados a la Defensa Nacional o que sus centros y ubicaciones estén vinculados a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, determinados por el Consejo de Seguridad Nacional, el plazo para la sustitución se reduce a dos años. Dichas ubicaciones, no obstante, es material clasificado al amparo de la ley de secretos oficiales de 1968 (Ley 9/1968, de 5 de abril).