En el mismo Consejo de Ministros que autorizó a la SEPI para entrar en el accionariado de Telefónica con hasta un 10% del capital, el Gobierno modificó también los controles y exigencias a las operadoras que prestan servicios de comunicaciones 5G.
Con los cambios, estas operadoras podrán contratar la provisión de equipos con un solo operador. Al menos en lo referido al núcleo de la red y en los sistemas de control y gestión, además de los servicios de apoyo.
También permitirá ubicar fuera del país ciertos elementos críticos de la red –núcleo de la red, sistemas de control y gestión, y servicios de apoyo–, siempre que el Ministerio de Transformación Digital pueda desarrollar sus labores de inspección y sanción.
La reforma, ya en vigor, fue incluida en el decreto-ley aprobado el martes, con reformas comprometidas con Bruselas en el Plan de Recuperación, como la de Función Pública, eficiencia procesal y digitalización del servicio público de Justicia o los incentivos al mecenazgo. La norma contiene en una de sus disposiciones finales la modificación de la Ley de Ciberseguridad 5G.
Restricciones suavizadas
Esta regulación, aprobada en marzo del año pasado a través del Decreto-ley 7/2022, contempla una batería de exigencias para prohibir o limitar la presencia de proveedores calificados como de ‘alto riesgo’, en base a criterios de seguridad y la injerencia de terceros países en las telecomunicaciones.
De fondo, el posible veto a Huawei y ZTE, tecnológicas chinas que suministran equipamiento a las operadoras de telecomunicación en el despliegue de sus redes.
Entre otras cuestiones, la ley obligaba a los operadores 5G que fueran titulares o explotaran elementos críticos de una red pública 5G a contar con, al menos, dos suministradores diferentes de equipos de telecomunicación, sistemas o demás recursos para el transporte de la señal.
Ahora el Gobierno suaviza estas exigencias. Seguirán estando obligadas a diseñar una estrategia de diversificación de su cadena de suministro, pero sólo estarán obligados a contratar con más de un proveedor los equipos, sistemas y recursos necesarios para la red de acceso.
Para los recursos necesarios en el núcleo de la red y los sistemas de control y gestión y los servicios de apoyo, las telecos sí podrán contratar con un único proveedor.
El Ministerio podrá cambiar la estrategia de la teleco
Por otro lado, la reforma también permite al Gobierno modificar la estrategia de diversificación de una operadora, si considera que la continuidad del servicio o la propia lógica de la red 5G no está garantizada.
También si existe “una amplia exposición al equipamiento instalado por un suministrador que en determinadas circunstancias puede poner en peligro la funcionalidad y operatividad de la red 5G o para garantizar la seguridad en la provisión de servicios utilizados por los servicios de Seguridad Nacional, Defensa Nacional o las distintas administraciones públicas”.
Según prevé esta disposición, la decisión se tendrá en cuenta si las empresas que proveen estos equipos o recursos tienen la calificación de ‘alto riesgo’, las alternativas que existen o la exposición de los equipos y productos en elementos críticos de la red o los ciclos de actualización de los equipos.
Para abordar esta modificación, el Ministerio de Transformación Digital deberá iniciar un trámite de audiencia con el operador y suministrador o suministradores afectados por un plazo de 15 días hábiles.
La resolución para modificar la estrategia de diversificación supondrá el fin de la vía administrativa. Las telecos podrán recurrir ante la jurisdicción contencioso-administrativa, sin perjuicio de la posibilidad de interponer antes recurso de reposición.
Elementos críticos de la red fuera de España
Otra de las modificaciones introducidas también suaviza las restricciones de ubicación de los elementos críticos de la red pública 5G, que la Ley de Ciberseguridad obligaba a localizar dentro de territorio nacional.
La nueva regulación contempla que determinados elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de control y gestión y los servicios de apoyo puedan ubicarse fuera de España.
Todo ello condicionado, eso sí, a que el Ministerio de Transformación Digital pueda verificar el funcionamiento, operatividad y condiciones de uso de estos elementos críticos de la red, para ejercer sus facultades de inspección y sanción reconocidas por ley.
Adicionalmente, el Gobierno se ha dotado de unas ciertas garantías legales para controlar las operaciones que afecten a estaciones radioeléctricas que faciliten cobertura a determinadas instalaciones, como centrales nucleares, o áreas y centros señalados como esenciales por el Consejo de Seguridad Nacional.
Para la instalación, modificación o adaptación de estas instalaciones, las telecos deberán contar con la autorización del Ministerio, estableciéndose un plazo de tres meses.
El Gobierno alega la falta de esquemas de protección internacional
En la exposición de motivos del decreto-ley, el Gobierno justifica esta revisión en que el marco jurídico y la normativa técnica de ciberseguridad 5G no está aún totalmente completo, a la espera de esquemas de certificación, normas, estándares técnicos y directrices aprobadas a nivel internacional y europeo.
También esgrime el Ejecutivo la necesidad de reforzar los controles sobre las condiciones de instalación de los equipos, elementos, funciones y sistemas propios de la tecnología 5G, en el despliegue de estas redes y los servicios de comunicaciones electrónicas.
En este sentido, explica que estas medidas de control y verificación no pueden ser fijadas en el Esquema Nacional de Seguridad de las redes y servicios 5G, por lo que se requiere una modificación de la normativa legal.
Asimismo, defiende la necesidad de acometer estos cambios “de inmediato”, pues “las facultades adicionales de control y verificación son esenciales para que el Gobierno y el Ministerio de Transformación Digital puedan llevar a cabo una política de gestión integral de la seguridad e integridad de las redes y servicios de comunicaciones electrónicas 5G