El Gobierno extenderá el plazo para definir qué proveedores 5G no podrán operar en España
En el sector se da por hecho que no se tendrán novedades hasta septiembre, según la información recabada con el Ministerio de Asuntos Económicos
El Gobierno trabaja a marchas forzadas para publicar lo antes posible la lista de proveedores de alto riesgo que no podrán operar en las redes españolas de 5G. Sin embargo, con toda seguridad no se cumplirá el plazo marcado por la propia Ley de ciberseguridad 5G que estableció como fecha probable el próximo 30 de junio. Según las fuentes consultadas por THE OBJECTIVE el proceso de consultas continúa, pero todavía faltan -entre otras cosas- trámites tan importantes como el informe del Consejo de Seguridad Nacional, clave para elaborar este listado.
En el sector se da por hecho que no se tendrán novedades hasta el mes de septiembre, según la información recabada por el Ministerio de Asuntos Económicos, aunque la voluntad del Gobierno es publicar el listado antes de agosto. A finales de marzo, el Ejecutivo promulgó por sorpresa la Ley de ciberseguridad por decreto-ley en la que se establecía un marco de obligaciones que allanaba el camino para vetar proveedores que significaran un riesgo para las infraestructuras estratégicas. Una normativa que se traduciría en el veto de suministradores chinos como Huawei.
La normativa incluye la creación de un listado de proveedores de «alto riesgo» tres meses después de la publicación del decreto, en las que con toda probabilidad estarán incluidas estas operadoras chinas y todas las compañías que estén relacionadas con Rusia. En el trasfondo de la ley está la necesidad de generar una infraestructura de redes totalmente europea y con suministradores de países aliados, además de tener una diversificación entre las compañías que construyen la red.
Suministradores 5G
Sin embargo, la propia Ley dejaba la puerta abierta a que este plazo de tres meses fuese solo una referencia, no una obligación. De esta manera, la disposición adicional tercera indica que «en el plazo de tres meses a contar desde la entrada en vigor de este real decreto-ley, el Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores 5G y suministradores 5G afectados por un plazo de 15 días hábiles, podrá calificar que determinados suministradores 5G son de alto riesgo». La clave está en que la ley no obliga a cumplir este plazo solo lo sugiere.
En este sentido, en el Gobierno siguen cumpliendo con todos los procedimientos. De hecho, las operadoras de telecomunicaciones ya enviaron los informes solicitados y los suministradores también aportaron información a las propias compañías para remitirla a la Secretaría de Telecomunicaciones e Infraestructuras Digitales. No obstante, todavía quedan bastantes trámites como el mencionado dictamen del Consejo de Seguridad Nacional y afinar los informes del propio ministerio.
Del mismo modo, también se retrasará la publicación de las ubicaciones y centros en los que no se podrán utilizar equipos de suministradores de alto riesgo por su vinculación a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos.
Telefónica, Orange y Vodafone
Conocer esta lista de proveedores de alto riesgo es clave para las operadoras de telecomunicaciones como Telefónica, Orange o Vodafone ya que de ella depende la firma de sus futuros acuerdos con proveedores de red o de la modificación de sus actuales infraestructuras. Cuando se publicó la Ley -a finales de marzo- la idea del Gobierno era vetar a Huawei y a todas las compañías que estuviesen involucradas con Gobiernos extranjeros, un proveedor que en mayor o menor medida, está presente en todas las redes de estas compañías con sede en España.
Sin embargo, el punto clave es la profundidad de este veto. En principio se prohíbe que las operadoras de telecomunicaciones como Telefónica, Orange, Vodafone y MásMóvil utilicen a estos suministradores en sus redes, ya sea en infraestructura core -la más sensible- como en radio, transmisión de datos.
La normativa prohíbe utilizar estos proveedores de alto riesgo a los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G. «No podrán utilizar en la red de acceso de una red pública 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores de alto riesgo». Incluye también redes de hospitales, centrales nucleares o centros de defensa.
Desmontar infraestructuras 4G
Un veto que además implica sustituir equipos que lleven componentes de proveedores de alto riesgo aunque lleven años en funcionamiento. Si bien las operadoras españolas están construyendo sus nuevas redes 5G sin operadores chinos, tienen buena parte de su infraestructura 4G y el 5G non stand alone (el que usa la red 4G) con Huawei, por lo que la inclusión de esta compañía en la lista de proveedores de «alto riesgo» les obligará a tener que desmontar sus actuales redes. Muchas de estas infraestructuras eran reutilizables en el nuevo ecosistema, lo que permitiría rebajar la factura del 5G que podría rondar fácilmente los 1.500 millones por operador en los próximos tres años.
Para las operadoras es muy importante reutilizar las tecnologías precedentes para realizar sus nuevos despliegues. Por otro lado, en conversación con este diario, consideran que los plazos que se dan para desmantelar las redes con proveedores de algo riesgo son totalmente insuficientes. Se dan dos años para infraestructuras críticas, una situación que las telecos ven casi imposible considerando la complejidad de estas redes y el elevado coste de desmontarlas completamente.
El riesgo de Huawei
Respecto de la inclusión de Huawei en la lista de operadores de alto riesgo, parece difícil -de acuerdo a la redacción de la ley- justificar su exclusión de este veto. Para definir estos proveedores de alto riesgo se adoptarán medidas técnicas como la superación de pruebas o auditorías de seguridad realizadas por entidades independientes. Pero pesarán más los motivos estratégicos y la «exposición a injerencias externas» como los vínculos de los suministradores y de su cadena de suministro, con los gobiernos de terceros países, la composición de su capital social y la estructura de sus órganos de gobierno y el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.
Del mismo modo, será fundamental la valoración de las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas (ONU) de ese tercer Estado y los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado.