La Comisión Europea ha dado este martes un nuevo impulso a su estrategia para que los gobiernos del bloque saquen de sus redes de telecomunicaciones y demás infraestructuras críticas a proveedores extranjeros catalogados de alto riesgo, como las compañías chinas Huawei y ZTE. Para ello, plantea que las orientaciones de seguridad para las redes 5G, que hasta ahora eran meras recomendaciones voluntarias con aplicación desigual entre los Estados miembro, pasen a ser de obligado cumplimiento.
“Las amenazas de ciberseguridad no son simples retos técnicos, se trata de riesgos estratégicos para nuestra democracia, economía y estilo de vida”, ha avisado la vicepresidenta del Ejecutivo comunitario, Henna Virkkunen, al referirse a la propuesta de reforma de la Ley de Ciberseguridad de la UE, cuya forma definitiva debe ser aún negociada con los Veintisiete y el Parlamento Europeo.
Virkkunen ha defendido que el paquete de medidas que presenta es un “paso importante para asegurar la soberanía tecnológica europea y garantizar una seguridad mayor para todos”, para lo que ofrecerá los medios necesarios para “proteger mejor las cadenas de suministro de las infraestructuras tecnológicas críticas y también combatir de manera decisiva los ciberataques”.
En este marco, la revisión de la Ley de Ciberseguridad introduce la obligación de retirar de las redes europeas de telecomunicaciones móviles los riesgos asociados a proveedores de terceros países considerados de alto riesgo, apoyándose en el trabajo ya realizado con el conjunto de herramientas de seguridad 5G aprobado por la UE.
De entrada, Bruselas fija una serie de parámetros para ayudar a los Estados a identificar a las empresas problemáticas. Una vez que la nueva regulación entre en vigor y se cierre una “lista negra” de proveedores, los países dispondrán de un plazo de tres años para rescindir los contratos que sus infraestructuras críticas mantengan con las compañías vetadas.
En cualquier caso, la Comisión ya apuntó en sus directrices de 2023 a Huawei y ZTE como proveedores que “presentan riesgos sustanciales más altos” que otros actores del 5G y se comprometió entonces a evitar que sus propias comunicaciones corporativas quedaran expuestas a las redes móviles operadas por estas dos firmas chinas.
Bruselas también respaldó entonces las decisiones de varios Estados miembro —una decena aproximadamente— que optaron por restringir o expulsar a Huawei y ZTE de sus redes por considerarlos un riesgo, calificó ese recelo de “justificado” e instó al resto de países de la Unión a adoptar medidas similares para reducir la exposición de sus infraestructuras 5G.
Más recientemente, Virkkunen advirtió en una respuesta parlamentaria publicada en septiembre del “riesgo de injerencia extranjera” que planteaba el contrato que el Ministerio del Interior español tuvo con Huawei para el almacenamiento de escuchas telefónicas judiciales del sistema SITEL, porque creaba “potencialmente una dependencia” con un proveedor considerado por la UE como “de alto riesgo” en un sector crítico.
Junto al refuerzo frente a amenazas externas, la reforma pretende aligerar y armonizar el marco regulatorio, simplificar la recogida de información sobre ataques de ransomware y facilitar la supervisión de entidades que operan en varios países, apoyándose en una función de coordinación ampliada de ENISA. Esta agencia europea de ciberseguridad verá reforzados sus recursos para asistir a empresas y administraciones en la identificación de riesgos y en su preparación ante posibles incidentes.
Otra de las iniciativas planteadas por Bruselas persigue elevar el control sobre la seguridad de los productos y servicios digitales que se comercializan en la UE. Para ello, propone actualizar el Marco Europeo de Certificación de la Ciberseguridad (ECCF) con el fin de simplificar y clarificar los procedimientos, fijar como norma general que los procesos de certificación no superen los doce meses e incorporar obligaciones adicionales de transparencia.