Bruselas ha elevado su batalla contra el gigante asiático chino al ámbito digital en los últimos meses, un proceso que ha culminado esta misma semana con la presentación de la reforma de la Ley Europea de Ciberseguridad. La nueva normativa no se limita a ajustes técnicos, sino que aborda debates estratégicos de calado sobre autonomía, soberanía tecnológica y seguridad nacional.
Un nuevo escenario de amenazas digitales
El continente se enfrenta a un momento en el que nuevos actores están redefiniendo las amenazas. En el sector tecnológico, la seguridad ya no se evalúa únicamente en función de si un producto o servicio presenta fallos técnicos. La Comisión Europea sostiene ahora que la seguridad de la cadena de suministro debe incorporar riesgos vinculados al proveedor, en especial la dependencia e interferencia extranjera procedente de “terceros países”.
Desde el departamento de la vicepresidenta ejecutiva Henna Virkkunen defienden que la ciberseguridad constituye un riesgo estratégico para la democracia y el estilo de vida europeo.
“Europa es cada vez más digital. Estamos en una guerra híbrida en la que cada día nuestras infraestructuras críticas se ven amenazadas por ciberataques”, ha alertado la responsable del área digital de la Comisión Europea.
En este contexto, la ciberseguridad ha ganado peso en la agenda comunitaria y, por ello, Europa “necesita equiparse con instrumentos robustos”.
Redes de telecomunicaciones bajo el foco
Uno de los puntos más sensibles de la reforma es la gestión de las redes de telecomunicaciones. La Comisión ha impulsado una reducción obligatoria de riesgos en las redes móviles, especialmente respecto a aquellas compañías consideradas “de alto riesgo”.
Esta medida afecta directamente a empresas como Huawei, con la que el Gobierno de España mantiene contratos en vigor. Durante el último trimestre del pasado curso, el Ejecutivo comunitario emitió un aviso a España por las dependencias que podrían derivarse de una concesión vinculada al almacenamiento de interceptaciones telefónicas del sistema SITEL.
La Comisión Europea ya ha identificado en varias ocasiones a los operadores chinos Huawei y ZTE como proveedores con “riesgos significativamente mayores” en comparación con otros actores del mercado 5G. En consecuencia, se ha comprometido a limitar su acceso a financiación europea y a proteger las redes de comunicaciones corporativas del continente.
Países y proveedores de riesgo
Por el momento, la nueva Ley de Ciberseguridad no identifica explícitamente qué países serán considerados de riesgo. “Se hará a través de una evaluación de riesgos, por lo que no podemos nombrar países: debemos respetar el procedimiento conforme a los criterios establecidos”, ha explicado Virkkunen.
La Comisión prevé publicar un catálogo de proveedores problemáticos “sector por sector”. A partir de ese momento, los Estados miembros dispondrán de tres años para garantizar que estos proveedores no formen parte de la red 5G. “Cuando identifiquemos proveedores de riesgo, deberemos imponer restricciones y excluirlos de los fondos europeos”, ha añadido la vicepresidenta.
¿Cómo funcionará el mecanismo de evaluación?
La Comisión podrá designar a un país tercero como una preocupación de ciberseguridad si plantea riesgos estructurales graves, más allá de aspectos puramente técnicos. Para ello, se tendrán en cuenta cuatro elementos clave:
-
Leyes y prácticas obligatorias: existencia de normativas que obliguen a las empresas a comunicar vulnerabilidades de software o hardware a las autoridades antes de que sean públicas.
-
Falta de garantías legales: ausencia de recursos judiciales efectivos y de mecanismos democráticos independientes de control.
-
Historial de ciberataques: información contrastada sobre incidentes previos llevados a cabo por actores vinculados al país en cuestión.
-
Falta de cooperación: incapacidad o falta de voluntad para colaborar con la UE o sus Estados miembros en la mitigación de riesgos.
Un proveedor de alto riesgo será cualquier entidad establecida en un país designado como tal, o controlada directa o indirectamente por ese Estado, por una empresa allí establecida o por uno de sus nacionales. El concepto de control incluye la capacidad de ejercer una influencia decisiva, incluso a través de intermediarios.
Prohibiciones, excepciones y soberanía tecnológica
Los proveedores vinculados a países de riesgo deberán hacer frente a prohibiciones estrictas para proteger la soberanía tecnológica de la Unión Europea. Se vetará el uso, instalación o integración de sus componentes en redes 5G, redes fijas o sistemas satelitales, y se les excluirá tanto de la contratación pública como del acceso a fondos europeos.
No obstante, una entidad controlada por un país de riesgo podrá solicitar una exención motivada ante la Comisión. Para ello, deberá aportar pruebas claras de que aplica medidas de mitigación eficaces que eviten interferencias indebidas. La Comisión evaluará si la exención no compromete los intereses de seguridad de la Unión antes de autorizarla.
En Bruselas consideran que esta reforma puede garantizar la soberanía tecnológica europea, evitando que infraestructuras críticas dependan de entidades susceptibles de ser utilizadas por grupos estatales sofisticados en ataques híbridos.
Impacto empresarial y ajustes a la Directiva NIS2
Dentro del sector existe un debate constante sobre cómo reforzar la seguridad sin asfixiar económicamente a las empresas. Por ello, se han introducido enmiendas a la Directiva NIS2 con el objetivo de aportar claridad legal y facilitar el cumplimiento normativo, en una reforma que afectará a 28.700 empresas, de las cuales 6.000 serían pequeñas empresas.
Además, se crea la categoría de “pequeñas empresas de mediana capitalización”, con exigencias de gestión de riesgos ajustadas a la capacidad real de las organizaciones.
Refuerzo de ENISA
La lentitud de los procesos de certificación ha sido uno de los principales puntos de fricción durante la negociación de la reforma. El nuevo Marco Europeo de Certificación de Ciberseguridad fija como objetivo que los esquemas se desarrollen en un plazo máximo de doce meses.
Desde la Comisión defienden que una certificación más sencilla y transparente no es solo un trámite administrativo, sino un “activo competitivo” que permitirá a las empresas europeas demostrar que sus productos son seguros por diseño, de forma más eficiente y económica.
La nueva ley también pretende reforzar el papel de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), que gestionará un punto de entrada único para el reporte de incidentes, en línea con el Omnibus Digital. A ello se sumará una mayor cooperación entre ENISA, Europol y los equipos de respuesta a incidentes.
La respuesta de Estrasburgo
Otro de los grandes retos detectados es la escasez de personal cualificado en ciberseguridad. Para afrontarlo, la Comisión propone la creación de una Academia Europea de Competencias en Ciberseguridad, así como esquemas de certificación de habilidades a escala comunitaria, con el objetivo de “construir una fuerza laboral capaz de hacer frente a las amenazas diarias”.
Desde el Parlamento Europeo, el eurodiputado Diego Solier ha señalado que su grupo político, los Conservadores, establecerá tres condiciones para respaldar la medida: que ENISA coordine sin sustituir el control de los Estados, evitar duplicidades que puedan “ahogar” a las empresas, y reforzar la independencia estratégica reduciendo dependencias de terceros en sectores críticos como la cadena de suministro ICT.
La posición del sector digital español
El sector digital español considera que esta revisión es clave para configurar la gobernanza y la certificación de ciberseguridad en la UE. Desde Adigital reclaman que el reglamento funcione como un instrumento técnico, basado en procesos de certificación transparentes, coherentes y sustentados en evidencias.
En concreto, la asociación subraya que “es necesario dotar a ENISA de los recursos adecuados para acelerar la implementación del Marco Europeo de Certificación de Ciberseguridad (ECCF) y garantizar reglas claras, mayor transparencia y plazos definidos”.