España tendrá que alinear su Ley de Ciberseguridad 5G con la de la UE

La Comisión Europea unificará criterios para todos los países en materia de ciberseguridad en sus redes 5G, a través del esquema común de certificación que ha encargado recientemente a la Agencia de la UE para la Ciberseguridad, Enisa. Algunos países ya han avanzado en esta misma línea, como es el caso de Alemania que incluyó las medidas del 'Toolbox' de la Comisión 5G a su legislación.

Mientras en España el anteproyecto de Ley de Ciberseguridad 5G se presentaba el 14 de diciembre, solo dos días después el Gobierno alemán aprobaba ya el borrador de su Ley de Telecomunicaciones en los que se priman los criterios técnicos. Así lo afirmaba el ministro Federal del Interior, Horst Seehofer, en una entrevista al diario alemán 'Handlesblatt. “El camino que hemos elegido ahora define mayores requisitos de seguridad para todos los fabricantes, independientemente del país del que procedan. Esto mejorará significativamente la seguridad informática en general”. dijo. En este sentido, Seehofer apuntaba que “no es principalmente el país de origen lo que importa, sino la tecnología que se utiliza”.

Un marco seguro

En España, a punto de cumplirse dos meses de la presentación en audiencia pública por parte del Gobierno español del anteproyecto de Ley de Ciberseguridad 5G, se prevé que aún tarde varios meses su aprobación y que hasta final de año no se tenga clara la clasificación del nivel de riesgo de los proveedores. Esta clasificación, según un reciente informe publicado por la consultora del Reino Unido Oxford Economics, podría vulnerar la libre circulación de bienes y servicios, la libertad de empresa y el principio de no discriminación; incluso podría causar graves perjuicios económicos y costes a los operadores móviles además de retrasar el despliegue de las redes 5G.

El borrador de Ley del 5G, que traslada al marco legal de España las medidas para reducir los riesgos de seguridad que se incluyen en el 'Toolbox' de la Comisión Europea, se ha desarrollado con el propósito de “establecer un marco confiable y seguro que incentive el despliegue y la inversión por parte de los operadores”, según se recoge el propio proyecto. Sin embargo, diversos especialistas apuntan que la falta de concreción y claridad en algunos aspectos del texto están acrecentando las dudas y generando una sensación de inseguridad jurídica en el sector.

Incertidumbre

Javier Fernández-Samaniego apunta en un artículo publicado en 'Expansión' que “las limitaciones a la libertad de empresa que se podrán llevar a cabo, como la evaluación del riesgo de suministradores individuales mediante métodos de 'perfilado' (profiling), conllevan un riesgo potencial de que su desarrollo reglamentario o aplicación práctica por la Administración española se centre en cuestiones geopolíticas en lugar de en el loable objetivo de la ciberseguridad de las redes 5G y la promoción de un mercado de suministradores suficientemente diversificado sean de cualquier nacionalidad”.

El Catálogo de Seguridad 2.0. de Alemania, que recoge los requisitos de seguridad que tiene que cumplir fabricantes y proveedores, es efectivo desde el 23 de diciembre. Por su parte, el esquema de Seguridad 5G en España no se publicará hasta después de la aprobación del anteproyecto ley. Diversos especialistas señalan que esto podría añadir incertidumbre tanto en operadores como proveedores, reticentes a comprometer sus inversiones, al no existir un proceso claro tras la aprobación del anteproyecto.

Los criterios

Uno de los factores fundamentales que diferencian ambas legislaciones es el establecimiento de los criterios que determinan los posibles riesgos en las redes 5G. En el caso de Alemania los criterios, muy estrictos, son de carácter exclusivamente técnico. Se basan en la identificación y notificación de los componentes críticos y certificación, declaración de fiabilidad y garantía del vendedor.

En España, tal como está planteado en el borrador del anteproyecto de Ley de Ciberseguridad 5G, los operadores deberán realizar un análisis del nivel de riesgo, que servirá como base para que el Gobierno cree una lista en la que los suministradores aparecerán clasificados por su nivel de riesgo (bajo, medio o alto). Este análisis se basará en dos tipos de criterios, uno técnico, centrado en estándares, certificaciones, test, auditorías de seguridad y otro no técnico, en el que se tiene en cuenta, entre otros aspectos, la posible exposición de los suministradores a injerencias externas.