La UE aprueba vetar empresas como Huawei y da 36 meses a España para eliminarlas
La nueva normativa no solo establece proveedores de alto riesgo, sino que también países de alto riesgo
La vicepresidenta de la Comisión Europea encargada de Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen. | Jennifer Jacquemart/European Com / DPA
La Comisión Europea ha publicado este martes el borrador de la revisión de su Ley de Ciberseguridad que establece la retirada obligatoria de los proveedores de alto riesgo de la tecnología 5G. El documento -al que ha tenido acceso THE OBJECTIVE– está dirigido a las injerencias de terceros países ajenos a la OTAN y plantea un veto formal (aunque sin nombrarlos) a los suministradores chinos de las redes de telecomunicaciones comunitarias. Los países y sus operadores tendrán 36 meses para retirar todos los componentes de sus activos calificados como «clave» a partir de que se apruebe una lista en la que se incluirán las compañías vetadas.
El documento debe ser ahora analizado, discutido y refrendado por el Consejo y el Parlamento de la Unión Europea por lo que no se espera que entre en vigor antes de que termine este 2026. En todo caso, la normativa es un jarro de agua fría para España que en los últimos meses ha defendido que cumple con la norma europea, pese a mantener contratos con Huawei en áreas críticas y tener una exposición del 30% en su tecnología 5G a este suministrador. La norma es clara y da un paso más ya que no solo se establecerán proveedores de alto riesgo, sino que países de alto riesgo, con lo que se pone directamente a China en el foco.
La medida —que ya adelantó este periódico— además generará un importante coste económica para las operadoras de telecomunicaciones todavía con tecnología de Huawei y ZTE, en el caso español Vodafone, MasOrange y Telefónica, que en mayor o menor medida están expuestos tanto en core, RAN y servicios ligados. Los coste estimados están entre los 400 y 1.000 millones de euros dependiendo de la implicación de cada compañía y de la rigidez en la sustitución de equipos.
Futuras redes 5G
Esta revisión se produce después del aumento de los ataques cibernéticos y de ransomware, así como la creciente preocupación por la interferencia extranjera, el espionaje y la dependencia de Europa de proveedores de tecnología de terceros países. Pese a que no se han nombrado a Huawei ni a China en ninguna parte del documento, se abona el terreno para su veto ya que Europa ha endurecido su postura pública sobre el uso de equipos chinos. Alemania, por ejemplo, nombró recientemente una comisión de expertos para replantear su política comercial hacia Pekín y prohibir el uso de componentes chinos en futuras redes 6G.
De esta manera, la Ley de Ciberseguridad permitirá la «eliminación obligatoria» de riesgos de las redes europeas de telecomunicaciones móviles provenientes de proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G (toolbox de 5G). «Con el nuevo paquete de Ciberseguridad, contaremos con los medios necesarios para proteger mejor nuestras cadenas de suministro críticas (tecnologías de la información y la comunicación), pero también para combatir con decisión los ciberataques», dijo la responsable de tecnología de la UE, Henna Virkkunen.
El lunes, en una entrevista con Político, Virkkunen se quejó de los lentos avances de los Estados miembros para vetar y expulsar a los proveedores chinos Huawei y ZTE. «No estoy satisfecha con la forma en que los Estados miembros han implementado nuestro conjunto de herramientas 5G», declaró, refiriéndose a la solicitud de la Comisión en 2020 a los gobiernos nacionales para que tomaran medidas contra los proveedores chinos por temor al espionaje. «Sabemos que todavía tenemos proveedores de alto riesgo en nuestras redes 5G, en las partes críticas… así que ahora tendremos normas más estrictas al respecto».
Suministradores de riesgo
Las nuevas medidas se aplicarán —además del 5G— en 18 sectores clave identificados por la Comisión, entre ellos equipos de detección, vehículos conectados y automatizados, sistemas de suministro y almacenamiento de electricidad, sistemas de suministro de agua, drones y sistemas antidrones. Los servicios de computación en la nube, los dispositivos médicos, los equipos de vigilancia, los servicios espaciales y los semiconductores también se consideran sectores críticos. El plazo de retirada gradual de las redes fijas, incluyendo la fibra óptica y los cables submarinos, así como las redes de satélite, se anunciará más adelante.
La norma indica claramente que «el plazo para la eliminación progresiva de los componentes de TIC o de los componentes que incluyan componentes de TIC suministrados por proveedores de alto riesgo en lo que respecta a las redes de comunicaciones electrónicas móviles no excederá de 36 meses a partir de la publicación de la lista de proveedores de alto riesgo a que se refiere el artículo 104 pertinente para las redes de comunicaciones electrónicas móviles».
Y este artículo 104 indica que la Comisión Europea realizará una evaluación inicial para identificar cuáles de los proveedores incluidos en el mapa están potencialmente establecidos en un tercer país designado de conformidad por una entidad establecida en dicho tercer país o por un nacional de dicho tercer país. Del mismo modo, las restricciones a los proveedores de países que plantean problemas de ciberseguridad solo entrarán en vigor tras una evaluación de riesgos iniciada por la Comisión o al menos tres países de la UE, según el borrador de la propuesta. Cualquier medida adoptada se basará en un análisis de mercado y una evaluación de impacto.
Ley de ciberseguridad
La Ley de Ciberseguridad revisada garantizará que los productos y servicios que llegan a los consumidores de la UE se sometan a pruebas de seguridad de forma más eficiente. Esto se logrará mediante un Marco Europeo de Certificación de la Ciberseguridad (ECCF) renovado. El ECCF aportará mayor claridad y simplificará los procedimientos, permitiendo que los sistemas de certificación se desarrollen en un plazo predeterminado de 12 meses.
Los sistemas de certificación, gestionados por Agencia de la Unión Europea para la Ciberseguridad (ENISA) se convertirán en una herramienta práctica y voluntaria para las empresas. Les permitirán demostrar su cumplimiento de la legislación de la UE, reduciendo la carga y los costes. Más allá de los productos, servicios, procesos y servicios de seguridad gestionados de TIC, las empresas y organizaciones podrán certificar su ciberseguridad para satisfacer las necesidades del mercado.
Directiva NIS2
El paquete introduce medidas para simplificar el cumplimiento de las normas de ciberseguridad de la UE y los requisitos de gestión de riesgos para las empresas que operan en la UE, complementando el sistema de ventanilla única para la notificación de incidentes propuesto en la Directiva Ómnibus Digital.
Por su parte, las modificaciones específicas de la Directiva NIS2 que también se han publicado buscan aumentar la claridad jurídica. Facilitarán el cumplimiento para 28.700 empresas, incluidas 6.200 microempresas y pequeñas empresas. También introducirán una nueva categoría de pequeñas empresas de mediana capitalización para reducir los costes de cumplimiento para 22.500 empresas. Las modificaciones simplificarán las normas jurisdiccionales, agilizarán la recopilación de datos sobre ataques de ransomware y facilitarán la supervisión de las entidades transfronterizas gracias al papel de coordinación reforzado de ENISA.