El Gobierno elaborará una lista de suministradores de 5G en función de su nivel de riesgo

El Gobierno elaborará una lista de suministradores de tecnología para las redes de 5G que identificará el nivel de riesgo (bajo, medio o alto) de las distintas compañías proveedoras, que podrán ver restringida su presencia en alguna parte o la totalidad de las redes de la nueva tecnología móvil en función de la categoría en la que hayan sido incluidas.

Así, lo recoge el Anteproyecto de Ley de Ciberseguridad 5G, cuyo periodo de audiencia pública comienza este lunes y que tiene por objetivo establecer los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes de 5G, según ha informado el Ministerio de Asuntos Económicos y Transformación Digital en un comunicado.

La propuesta de norma incluye principalmente medidas destinadas a los operadores de redes y servicios 5G, pero también a suministradores, fabricantes y a determinados usuarios corporativos que el texto identifica, así como los procedimientos que se deben seguir en el ámbito público para garantizar la seguridad en el despliegue.

En lo que se refiere a los operadores de redes, tendrán como principal obligación realizar un adecuado análisis y gestión del riesgo. El anteproyecto proporciona una guía del alcance y los factores que deben considerar en relación con las redes 5G, ampliando a ese ámbito las actividades que estas compañías realizan de modo habitual.

Además, deberán analizar su dependencia en la cadena de suministros y estarán obligados a elaborar e informar de la ejecución de una estrategia de diversificación de suministradores. Dicha estrategia debe incluir medidas para limitar la dependencia de un solo suministrador y restricciones para los suministradores que sean calificados de alto riesgo.

Por su parte, el Gobierno adoptará, por Real Decreto, el Esquema de Seguridad de Redes y Servicios 5G, con el cual se realizará un tratamiento integral de la seguridad en las redes y servicios 5G nacionales. Dentro del esquema, se priorizarán los riesgos y las medidas para mitigarlos que deberán tener en cuenta los operadores.

Para la elaboración del mismo se tendrán en cuenta los análisis realizados por los operadores, incluyendo las vulnerabilidades de la cadena de suministros. El borrador establece de modo transparente los factores a considerar en el análisis de la cadena de suministros, desde la garantía técnica de funcionamiento y protección frente a ataques, hasta la limitación de su exposición a injerencias de terceros.

NIVEL DE RIESGO DE SUMINISTRADORES

En función del análisis de riesgos de la cadena de suministros, y previo informe del Consejo de Seguridad Nacional, el Ministerio de Asuntos Económicos y Transformación Digital podrá promover un Acuerdo de Consejo de Ministros para calificar el nivel de riesgo (bajo, medio o alto) de los distintos suministradores.

Fuentes de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales han explicado que la propuesta de Ley establece un procedimiento «muy transparente, muy integral y muy abierto», así como basado en datos, para que se vayan estableciendo los distintos pasos para crear estas categorías.

Así, han remarcado que una vez se decida la inclusión de un suministrador en una de las categorías fijadas, esto tendrá consecuencias para dicha compañía en un proceso posterior en el que, en función del riesgo correspondientes, se podría ver excluido de una parte o de la totalidad de la red 5G.

Para evaluar el nivel de riesgo de un operador se realizarán dos tipos de análisis, uno que abordará cuestiones puramente técnicas y otro que dedicará a identificar riesgos adicionales como pueden ser la estructura de la sociedad o la capacidad de injerencia de un Gobierno extranjero en la empresa.

La fuentes han recalcado que el Anteproyecto de Ley no establece «vetos apriorísticos» con ningún operador, como ocurre en otros países en relación a fabricantes chinos como Huawei, sino que las restricciones que se produzcan dependerán del perfil de riesgo analizado en cada momento.

Por otro lado, han explicado que las operadoras deberán realizar su análisis de riesgo cada dos años, mientras que el Esquema de Seguridad de Redes y Servicios 5G se hará cada seis años, aunque se deja abierta la opción de acortar estos plazos en caso de que los avances tecnológicos o la situación así lo requieran.

MARCO SEGURO Y CONFIABLE

El objetivo de esta Ley, que desde el Ministerio calculan podrían estar aprobada el próximo verano, es crear un marco «confiable y seguro» que incentive el despliegue y la inversión por parte de los operadores de telecomunicaciones y, al mismo tiempo, la demanda de los servicios por parte de los usuarios, para impulsar el desarrollo de la tecnología 5G en España.

El anteproyecto realiza la traslación al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (‘tool box’) consensuada entre los Estados Miembros de la Unión Europea. La caja de herramientas identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.

Fuentes de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales han recordado que la ciberseguridad de las redes 5G es un proceso que se está abordando a nivel europeo avanzando hacia la «máxima amornización posible» y adaptándolo a la realidad de cada uno de los países.

Además de los ya mencionados, el anteproyecto incluye otros instrumentos destinados a abordar la ciberseguridad en las redes y servicios, como medidas de apoyo en materia de I+D para redes y servicios 5G y de impulso a la interoperabilidad y estandarización; requisitos para la puesta en el mercado de terminales y dispositivos de acceso a la red 5G; y facultades para imponer obligaciones y requisitos en la compra pública de redes y servicios que hagan uso de 5G.