El Gobierno aprueba la «Ley de Ciberseguridad 5G»

A finales de los años ochenta del siglo pasado aparecieron los primeros teléfonos móviles. Si los recuerdan, eran terminales difíciles de transportar, cuyo uso se limitaba a realizar o recibir llamadas, con bastante mala señal, todo sea dicho. Años después, llegó la telefonía 2G, que permitió la conversión de la señal analógica en digital, con una evidente mejora en la calidad del servicio.

Con la telefonía 3G llegó la posibilidad de transferir voz y datos (SMS, correo electrónico y descarga de programas) y con la telefonía 4G se multiplicaron los smartphone o teléfonos inteligentes y el intercambio de datos con velocidades de acceso superiores a 100 Mbit/s en movimiento y 1 Gbit/s en reposo.

Las redes evolucionan y llega la quinta generación o 5G, que permitirá avances significativos en el Internet de las cosas y en servicios de enorme valor añadido para la sociedad en ámbitos como la medicina, el transporte y la energía. La previsión del gobierno es que las redes 5G se consoliden en un plazo máximo de diez años.

Para que las redes 5G desarrollen todo su potencial es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a las fugas de información y manipulaciones de datos. Sin esa confianza, las personas y entidades que pueden aprovechar las oportunidades que ofrecen las redes 5G no harán uso de ellas y la tecnología 5G no producirá los beneficios que se esperan de ella.

A fin de garantizar el funcionamiento y seguridad de las redes 5G se acaba de publicar en el B.O.E. de 30 de marzo de 2022, el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, que se da a conocer como «Ley de Ciberseguridad 5G».

La norma reconoce que el 5G presenta riesgos específicos derivados de su arquitectura de red más compleja, abierta y desagregada. Su interconexión con otras redes y el carácter transnacional de las amenazas inciden en su seguridad. Asimismo, el previsible empleo generalizado de las redes 5G para funciones esenciales para la economía y la sociedad incrementará el impacto causado por los incidentes que se produzcan; de ahí, la preocupación de las autoridades y la necesidad de regular su uso.

Un aspecto destacado de esta norma es la supervisión periódica por el Ministerio de Asuntos Económicos y Transformación Digital de los proveedores, supervisores y agentes corporativos, principalmente de los primeros y los segundos cuando sean calificados como suministradores de «alto riesgo» y «riesgo medio».

Los operadores encargados de desplegar y explotar las redes 5G, esto es, las grandes compañías de telefonía que operan en España –en principio, Movistar, Vodafone, Orange y MásMóvil– están obligadas a realizar un análisis de riesgos de sus redes y servicios 5G con la finalidad de detectar vulnerabilidades y amenazas asociadas a elementos de red, infraestructuras y recursos destinados al despliegue y explotación de dichas redes y servicios. Los análisis se repetirán cada dos años y se remitirán al Ministerio de Asuntos Económicos y Transformación Digital para su supervisión.

A fin de reforzar la seguridad, los operadores deberán recabar de sus suministradores las prácticas y medidas de seguridad que han adoptado en los productos y servicios que les han suministrado, teniendo en cuenta los factores de riesgo identificados en el «Esquema Nacional de Seguridad de redes y servicios 5G» y el perfil de riesgo del suministrador.

A su vez, los suministradores, esto es, los fabricantes, importadores y distribuidores de equipos de telecomunicación, hardware y software y los proveedores de servicios auxiliares que intervengan en el funcionamiento de las redes 5G o en la prestación de servicios 5G deberán analizar los riesgos asociados a dichos equipos y servicios auxiliares. Cuando sean requeridos para ello, comunicarán dichos análisis al Ministerio de Asuntos Económicos y Transformación Digital, salvo que sean calificados como suministradores de «alto riesgo» o «riesgo medio», en cuyo caso, deberán remitirlos en el plazo de seis meses desde su calificación. Estos análisis de riesgos se harán cada dos años.

Por último, los usuarios corporativos, esto es, aquellos que tengan otorgados derechos de uso del dominio público radioeléctrico para la instalación, despliegue y explotación de una red privada 5G o para prestar servicios 5G con fines profesionales o en autoprestación deberán analizar los riesgos de sus redes y servicios, aportando estos al Ministerio de Asuntos Económicos y Transformación Digital, cuando sean requeridos para ello.

En definitiva, parece que los proveedores y los suministradores de «alto riesgo» y «riesgo medio» serán los que se sitúen bajo la lupa del supervisor, otorgando cierto grado de confianza al resto. En cualquier caso, por razones de seguridad nacional, las Administraciones públicas no podrán utilizar equipos, productos o servicios proporcionados por suministradores de «alto riesgo» y «riesgo medio».

La existencia de riesgos conlleva la contrapartida de tener que adoptar medidas técnicas y organizativas para mitigarlos. Los proveedores, suministradores y usuarios corporativos deberán implementar las medidas correctoras necesarias y, en particular, las previstas en el «Esquema Nacional de Seguridad de redes y servicios 5G» que será aprobado por el Gobierno, mediante Real Decreto, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, previo informe del Consejo de Seguridad Nacional.

El «Esquema Nacional de Seguridad de redes y servicios 5G» contemplará un tratamiento integral y global de la seguridad de las redes 5G y servicios 5G para garantizar un funcionamiento continuado y seguro, mediante el establecimiento de criterios, requisitos, condiciones y plazos para que los proveedores, suministradores y usuarios corporativos puedan dar cumplimiento a sus obligaciones legales. Dicho Esquema será revisado cada cuatro años o cuando las circunstancias lo aconsejen.

Desde la perspectiva de la ciberseguridad, el Esquema podrá establecer requisitos de aplicación a la fabricación, importación, distribución, puesta en el mercado y comercialización de equipos y terminales para conectarse a las redes 5G. El objetivo es garantizar la protección de los datos personales, de la privacidad y evitar los fraudes.

El Esquema incluirá, también, las líneas generales y prioridades de las ayudas públicas que pudieran ser convocadas para fomentar la investigación y desarrollo en materia de seguridad en las redes 5G y servicios 5G y para la formación de personal especializado.

La norma impone a los proveedores que sean titulares o exploten una red pública 5G, la obligación de controlar su propia cadena de suministro, y a fin de evitar la dependencia de un solo suministrador o de varios que tengan la calificación de alto riesgo, los proveedores elaborarán una estrategia de diversificación de suministradores, que remitirán al Ministerio de Asuntos Económicos y Transformación Digital en el plazo de seis meses a contar desde la entrada en vigor de la norma.

Las potestades de la función inspectora previstas en el Título Octavo de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones serán ejercidas por el Ministerio de Asuntos Económicos y Transformación Digital y la potestad sancionadora por la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

La norma entró en vigor el día siguiente de su publicación en el Boletín Oficial del Estado, esto es, el día 31 de marzo de 2022, sin perjuicio del régimen transitorio previsto para el cumplimiento de las obligaciones previstas en los artículos 12, 13, 15, 16 y 17 que entrarán en vigor un mes más tarde.

La Agenda «España Digital 2025» apunta que el impacto económico del 5G supondrá inversiones por valor de más de 5.000 millones de euros y la creación de más de 300.000 puestos de trabajo en nuestro país. Habrá que ver si las circunstancias económicas, actuales y venideras, permiten que se cumplan dichas previsiones. De lo que no se duda es que -a medio y largo plazo- la tecnología 5G causará un fuerte impacto en la economía y modernización de nuestro país.

Javier Casal Tavasci
Abogado con más de veinte años de ejercicio profesional. Máster por la Universidad Pontificia Comillas (ICADE) en Asesoría Jurídica de Empresas y Asesoría Fiscal, Máster en Gestión y Dirección Laboral por la Universidad de Vigo y Curso Experto en Compliance Officer por la Universidad Antonio de Nebrija. Responsable de la consultora PROTECCIÓN DATA, especializada en seguridad de la información y programas de cumplimiento normativo. Autor de más de 350 artículos sobre protección de datos (https://protecciondata.es/blog/)

1 COMENTARIO

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.