La CNMC acaba de publicar su informe sobre el Anteproyecto de Ley de Ciberseguridad 5G elaborado por la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.
El desarrollo y despliegue de redes y servicios 5G es una prioridad en las estrategias industriales y de fomento de la competitividad europeas y nacionales. En este contexto, los requisitos de seguridad de las redes 5G tienen especial relevancia. En enero de 2020, se publicó la caja de herramientas de la UE para medidas de reducción del riesgo en las redes 5G.
El Anteproyecto de Ley tiene como propósito establecer los requisitos de seguridad específicos para el despliegue y la explotación de redes y servicios basados en la tecnología 5G, incorporando a la normativa nacional las medidas consensuadas entre los Estados miembros.
Estas obligaciones están destinadas a los operadores de redes y servicios 5G, pero también a los suministradores de equipos y servicios necesarios para la explotación de redes 5G, los fabricantes de equipos terminales y dispositivos conectados a esta red o los usuarios corporativos que tengan derecho de uso del dominio público radioeléctrico en régimen de autoprestación.
El Anteproyecto también se refiere a la posibilidad de requerir la certificación en elementos de las redes 5G y de supeditar la comercialización o uso de equipos terminales y dispositivos conectados en las redes 5G al cumplimiento de los requisitos esenciales en ciberseguridad que sean conformes a la normativa comunitaria.
La CNMC valora positivamente esta futura norma, ya que refuerza la seguridad de las redes basadas en tecnología 5G y, por tanto, de los nuevos servicios que serán prestados por estas redes y fundamentarán la transformación digital en múltiples sectores económicos y servicios esenciales para la sociedad.
Sin embargo, se considera conveniente modificar algunas de sus disposiciones, especialmente en relación con aspectos como:
- la aclaración de las definiciones y ámbito de aplicación de los requisitos de seguridad (que incluya la delimitación explícita de operadores a los que sería de aplicación la norma),
- la inclusión de criterios de valoración de todos los riesgos (para determinar las medidas más adecuadas y proporcionadas con respecto a la importancia de cada riesgo) o
- la revisión de algunos detalles del régimen sancionador del Anteproyecto para que sea más detallado y sistemático.
La norma contempla determinadas medidas que pueden llegar a prohibir o limitar la actividad en el mercado de suministradores que hayan sido considerados de alto riesgo por el Gobierno. Entre los criterios de valoración del perfil de riesgo se incluyen aspectos técnicos y aspectos geopolíticos que pueden impactar en la seguridad, como el nivel de exposición a injerencias de terceros países. Por tanto, las medidas relacionadas con el perfil de riesgo de los suministradores pueden alterar las condiciones de competencia en el mercado.
Por ello, se aconseja incluir criterios de valoración de las obligaciones de seguridad con respecto a su afectación a la competencia, en especial para aquellas medidas que puedan limitar o condicionar el uso de suministradores con un determinado perfil de riesgo.
Por otra parte, también se recomienda agilizar la aprobación del “Esquema de Seguridad para las redes y servicios 5G”, que debe concretar los criterios y condiciones de aplicación de las obligaciones o, en su defecto, aclarar el alcance y concreción de las medidas que puedan ser cumplimentadas sin esperar a la aprobación de dicho Esquema, para evitar situaciones de incertidumbre regulatoria.
Por último, se considera muy acertado el apoyo en la norma a la I+D+I en ciberseguridad 5G. En este sentido, se recomienda el fomento y apoyo a la investigación y desarrollo de iniciativas tecnológicas, en coordinación con la UE, que permitan diversificar el número de suministradores en las redes 5G y reforzar su resiliencia, fortaleciendo la industria tecnológica europea.