El Gobierno se aleja de otros socios europeos y evita los vetos en la futura Ley de Ciberseguridad 5G

El Gobierno ha iniciado este lunes el plazo de audiencia pública hasta el próximo 14 de enero del Anteproyecto de Ley de Ciberseguridad 5G , que adapta a la legislación española las recomendaciones europeas en esta materia concretadas en la Recomendación (UE) 2019/534, de 26 de marzo de 2019 o en la denominada «caja de herramientas» para un desarrollo seguro del 5G (tool box), y que el Gobierno tiene previsto aprobar el próximo verano. El anteproyecto, han asegurado fuentes de la Secretaría de Estado de Telecomunicaciones, no establece vetos a priori en referencia a casos como el de Huawei .

Sin embargo, sí deja en manos del Consejo de Ministros la calificación del nivel de riesgo de los distintos proveedores o suministradores (de hardware, de software, de servicios...) de esta tecnología a los que divide en tres categorías: bajo, medio y alto riesgo. Además de abrir la puerta a que el Ministerio de Asuntos Económicos y Transformación Digital adopte medidas como una auditoría de seguridad o externa, e incluso, se abre la puerta a que los citados agentes sean sustituidos o vetados.

Según el texto dado a conocer hoy, este listado será público y se elaborará previo informe del Consejo de Seguridad Nacional -al menos- cada seis años. Para ello, el Consejo de Ministros tendrá en cuenta, entre otros criterios, la vinculación de los proveedores de tecnología 5G y su cadena de suministros con terceros países ; así como la composición de su capital social u órganos de gobierno del suministrador o las características del régimen político de ese tercer estado. Además, también estudiará la adecuación de estas compañías a la normativa de protección de datos de la Unión Europea.

En este sentido, el Anteproyecto, también establece que el Ejecutivo elaborará vía real decreto ley el denominado «Esquema de Seguridad de Redes y Servicios 5G» que abordará la seguridad global de estas redes y servicios junto a las precauciones que deberán tener en cuenta los operadores para mitigar las posibles amenazas. Además de establecer otras medidas para fomentar la seguridad en estas tecnologías o los requisitos para la c ontratación pública de comunicaciones o servicios 5G .

Todo ello, en base a la información de los «análisis de riesgo» que deberán realizar todas las operadoras cada dos años. En este sentido, fuentes del sector, han explicado que este tipo de estudios ya son norma en su actividad. En concreto, el Anteproyecto especifica que estos exámenes deberán preocuparse de aspectos como las vulnerabilidades en la cadena de suministro o las medidas de seguridad adoptadas hasta la actualidad, para minimizar posibles riesgos. Unos documentos que deberán remitirse a Asuntos Económicos en el plazo de cuatro meses «desde la aprobación de la Ley», junto a un informe sobre los proveedores y suministradores de sus redes y servicios 5G. Toda la información anterior deberá actualizarse cada cuatro meses.

En esta línea, los operadores también tendrán de dotarse una vez la norma entre en vigor de una «estrategia de diversificación de suministradores» , en la que se concretará, por ejemplo, cómo actuar en el caso de que exista una fuerte dependencia de un proveedor calificado de alto riesgo.

El Anteproyecto también reserva al Ministerio de Asuntos Económicos y Transformación Digital las labores de inspección, solicitud de información y sanción a las operadoras, suministradoras y «usuarios corporativos» (que solicita servicios 5G no disponibles para el público en general) que no cumplan con lo que se vaya estableciendo en materia de ciberseguridad. En concreto, establece multas desde 50.000 euros para las infracciones más leves hasta los 20 millones de euros paras las faltas más graves.