Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Ley de Ciberseguridad 5G

A finales de los años 80 del siglo pasado aparecieron los primeros teléfonos móviles. Si los recuerdan, eran terminales difíciles de transportar, cuyo uso se limitaba a realizar o recibir llamadas, con bastante mala señal, todo hay que decirlo. Años después, llegó la telefonía 2G, que permitió la conversión de la señal analógica en digital, con una evidente mejora en la calidad del servicio.

Con la telefonía 3G llegó la posibilidad de transferir voz y datos (SMS, correo electrónico y descarga de programas).

Con la telefonía 4G se multiplicaron los smartphone o teléfonos inteligentes y el intercambio de datos con velocidades de acceso superiores a 100 Mbit/s en movimiento y 1 Gbit/s en reposo.

Las redes evolucionan y llega la quinta generación o 5G, que permitirá avances significativos en el Internet de las cosas y en servicios de enorme valor añadido para la sociedad en ámbitos como la medicina, el transporte y la energía. La previsión del gobierno es que las redes 5G se consoliden en un plazo máximo de diez años.

Para que las redes 5G desarrollen todo su potencial es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a las fugas o manipulaciones de datos. Sin esa confianza, las personas y entidades que pueden aprovechar las oportunidades que ofrecen las redes 5G no harán uso de ellas y la tecnología 5G no producirá los beneficios que se esperan de ella.

A fin de garantizar el funcionamiento y la seguridad de las redes y servicios 5G, se acaba de publicar en el BOE de 30 de marzo de 2022, el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, que se da a conocer como «Ley de Ciberseguridad 5G».

La nueva norma reconoce que el 5g presenta riesgos específicos derivados de su arquitectura de red más compleja, abierta y desagregada. Su interconexión con otras redes y el carácter transnacional de las amenazas inciden en su seguridad. Además, el previsible empleo generalizado de las redes 5G para funciones esenciales para la economía y la sociedad incrementará el impacto causado por las brechas de seguridad, de ahí, la preocupación de las autoridades y la necesidad de regular su uso.

A continuación, les resumo las previsiones contenidas en la nueva normativa:

a) Análisis de riesgos por proveedores, suministradores y usuarios corporativos

Los operadores encargados de desplegar y explotar las redes 5G, esto es, las grandes compañías de telefonía que operan en el país –en principio, Movistar, Vodafone, Orange y MásMóvil– están obligadas a realizar un análisis de riesgos de las redes 5G y servicios 5G, con el fin de detectar vulnerabilidades y amenazas asociadas a los elementos de red, infraestructuras y recursos destinados al despliegue y la explotación de dichas redes y servicios.

Los elementos críticos, factores y parámetros a tener en cuenta en la evaluación de riesgos se detallan en el artículo 6 de la norma.

Los operadores deberán recabar de sus suministradores las prácticas y medidas de seguridad que han adoptado en los productos y servicios que les han suministrado, teniendo en cuenta los factores de riesgo identificados en el Esquema Nacional de Seguridad de redes y servicios 5G y el perfil de riesgo del suministrador. El tratamiento de esta información será confidencial. 

Los análisis de riesgos se realizarán cada dos años y se remitirán al Ministerio de Asuntos Económicos y Transformación Digital. La información contenida en los mismos, también, es confidencial.

Los suministradores, esto es, los fabricantes, los importadores y los distribuidores de los equipos de telecomunicación, hardware y software y los proveedores de servicios auxiliares que intervengan en el funcionamiento de las redes 5G o en la prestación de servicios, deberán analizar los riesgos asociados a dichos equipos y servicios auxiliares. La norma no especifica cada cuánto y en qué circunstancias se realizarán los análisis de riesgos. 

Los suministradores deberán comunicar los análisis de riesgos de sus equipos, productos o servicios vinculados a redes y servicios 5G al Ministerio de Asuntos Económicos y Transformación Digital, en el caso de que sean requeridos para ello, salvo que sean calificados de alto riesgo o riesgo medio, en cuyo caso, deberán remitirlos en el plazo máximo de seis meses desde su calificación. Los análisis de riesgos por estos suministradores se harán cada dos años, debiendo remitirlos al referido Ministerio.

Por último, los usuarios corporativos, esto es, aquellos que tengan otorgados derechos de uso del dominio público radioeléctrico para la instalación, despliegue y explotación de una red privada 5G o para prestar servicios 5G con fines profesionales o en autoprestación, deberán analizar los riesgos de sus redes y servicios, aportando los mismos al Ministerio de Asuntos Económicos y Transformación Digital, cuando sean requeridos para ello.

En definitiva, parece que los proveedores y los suministradores de alto riesgo y riesgo medio serán los que se sitúen bajo la lupa del supervisor, otorgando cierto grado de confianza al resto.

b) Gestión de los riesgos por proveedores, suministradores y usuarios corporativos 

Los proveedores, suministradores y usuarios corporativos deberán adoptar las medidas técnicas y organizativas necesarias para mitigar los riesgos identificados en cumplimiento de la normativa y el Esquema Nacional de Seguridad de redes y servicios 5G. 

En el artículo 12 se describen las obligaciones de seguridad dirigidas a mitigar riesgos por parte de los operadores. En los artículos 13 y 14 las obligaciones impuestas a suministradores y suministradores de alto riesgo y riesgo medio, respectivamente. En el artículo 15 se recogen las obligaciones impuestas a usuarios corporativos.

La norma establece, en su artículo 17.2, que las Administraciones públicas no podrán, por razones de seguridad nacional, utilizar equipos, productos o servicios proporcionados por suministradores de alto riesgo y riesgo medio. A tal efecto, el Gobierno elaborará, el plazo de cuatro meses desde la entrada en vigor de la norma, una lista de dichos suministradores,. Se prevé que los gigantes tecnológicos de origen chino Huawei y ZTE estén vetados. También es previsible el veto a suministradores de origen ruso. La gran beneficiada es la compañía sueca Ericsson, que se convierte en el principal proveedor de Teléfonica, Vodafone y Orange.

c) Esquema Nacional de Seguridad de redes y servicios 5G

El Gobierno aprobará, mediante Real Decreto, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, previo informe del Consejo de Seguridad Nacional, el Esquema Nacional de Seguridad de redes y servicios 5G (en adelante, el Esquema).

El Esquema contemplará un tratamiento integral y global de la seguridad de las redes 5G y servicios 5G para garantizar un funcionamiento continuado y seguro, mediante el establecimiento de criterios, requisitos, condiciones y plazos para que los proveedores, suministradores y usuarios corporativos puedan dar cumplimiento a sus obligaciones legales. Dicho Esquema será revisado cada cuatro años o cuando las circunstancias lo aconsejen. 

Desde la perspectiva de la ciberseguridad, el Esquema podrá establecer requisitos de aplicación a la fabricación, importación, distribución, puesta en el mercado y comercialización de equipo y terminales para conectarse a las redes 5G. El objetivo es garantizar la protección de los datos personales, de la privacidad y evitar los fraudes. 

Por último, el Esquema incluirá las líneas generales y prioridades de las ayudas públicas que pudieran ser convocadas para fomentar la investigación y el desarrollo en materia de seguridad en las redes y servicios 5G y para la formación de personal especializado.

d) Estrategia de diversificación de los suministradores

La norma impone a los proveedores que sean titulares o exploten una red pública 5G, la obligación de controlar su propia cadena de suministro.

A fin de evitar la dependencia de un solo suministrador o de varios que tengan la calificación de alto riesgo, los proveedores elaborarán una estrategia de diversificación de suministradores, que remitirán al Ministerio en el plazo de seis meses a contar desde la entrada en vigor de la norma. 

e) Facultades de inspección

El Ministerio de Asuntos Económicos y Transformación Digital ejercerá las potestades de la función inspectora previstas en el Título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones.

f) Régimen sancionador

Será de aplicación el régimen sancionador establecido en el Título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, sin perjuicio de lo previsto en el artículo 30 de la norma.

El ejercicio de la potestad sancionadora se atribuye a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales.

g) Entrada en vigor

La norma entrará en vigor el día siguiente al de su publicación en el BOE, esto es, el 31 de marzo de 2022, sin perjuicio del régimen transitorio previsto para el cumplimiento de las obligaciones previstas en los artículos 12, 13, 15, 16 y 17 que entrarán en vigor en el plazo de un mes a contar desde el día de su publicación en el BOE.

La Agenda «España Digital 2025» apunta que el impacto económico del 5G supondrá inversiones por valor de más de 5.000 millones de euros y la creación de más de 300.000 puestos de trabajo en nuestro país. Habrá que ver si las circunstancias económicas, actuales y venideras, permiten que se cumplan dichas previsiones. En cualquier caso, a medio plazo, el 5G causará un impacto en la economía y modernización del país, si bien habrá que esperar, al menos, una década para evaluar los resultados.

Actualización

1ª.- La Ley de Ciberseguridad 5G ha sido convalidada en fecha 28 de abril de 2022 por el Pleno del Congreso de los Diputados, con un amplio respaldo, representado por 312 votos a favor.

2ª.- Orden ETD/806/2022, de 26 de julio, por la que se establecen las bases reguladoras para la concesión de ayudas para proyectos tractores 5G de digitalización sectorial, y se convoca la concesión de ayudas para la financiación de proyectos del Programa Único Sectorial 2022, en el marco del Plan de Recuperación, Transformación y Resiliencia. 

 

EnglishPortuguêsEspañol
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).