El Gobierno publicará antes de finales del mes junio la lista de suministradores de equipamiento 5G que serán considerados de alto riesgo, tanto por motivos técnicos como por su vinculación a terceros países. Un listado que será la base a partir de la cual se decidirá qué compañías podrán ser vetadas y en qué parte de la infraestructura en los despliegues de la quinta generación de la telefonía móvil. 

Así lo recoge el Real Decreto-ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación publicado en el Boletín Oficial del Estado (BOE) y que supone la transposición al reglamento de español de la 'caja de herramientas' de la Comisión Europea sobre la ciberseguridad de las redes 5G.

La Unión Europea adoptó en enero de 2020 este toolbox 5G con el fin de sentar unas bases comunes de ciberseguridad en el Viejo Continente en un momento en el que Estados Unidos estaba presionando a sus socios europeos para que los operadores de telecomunicaciones en la región vetaran a Huawei en sus despliegues. 

El Real Decreto-ley establece que será el Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y audiencia con los operadores y suministradores 5G afectados, el encargado de calificar el nivel de riesgo (bajo, medio o alto) de cada compañía. El BOE establece que este listado tendrá que estar publicado a los tres meses de la publicación del Real Decreto-ley, que se ha producido este lunes.

El borrador del texto fue publicado por el Gobierno en diciembre de 2020, pero su aprobación en Consejo de Ministros se ha ido retrasando en el tiempo. De hecho, el Ejecutivo se ha decantado finalmente por aprobarlo mediante la fórmula de Real Decreto-ley, en vez de mediante Proyecto de Ley como estaba previsto.

Criterios de análisis

Para determinar el nivel de riesgo de cada suministrador, el Ejecutivo analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios como su exposición a injerencias externas.

En concreto, el Real Decreto detalla que se tendrán en cuentas aspectos como los vínculos de los suministradores y de su cadena de suministro con los gobiernos de terceros países. También se estudiará la composición de su capital social y la estructura de sus órganos de gobierno, así como el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

Animismo, se analizarán la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de Naciones Unidas de ese tercer Estado, así como los acuerdos de cooperación en materia de seguridad y ciberseguridad o protección de datos firmados por dicho país. 

Por último, se tendrá también en cuenta el grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos (GDPR) de la Unión Europea y cualquier otra normativa aplicable en materia de seguridad de las redes y sistemas de información y de telecomunicaciones.

Plazos para retirar los equipos

Por otro lado, el Real Decreto también establece que, en caso de algún suministrador sea declarado de alto riesgo, los operadores de telecomunicaciones tendrán cinco años para sustituir los equipos, productos o servicios proporcionados por él en los elementos críticos de red relativos a las funciones del núcleo y a los sistemas de control y gestión y los servicios de apoyo.

En el caso de los elementos críticos de las redes de acceso a instalaciones como estaciones radioeléctricas que den cobertura a centrales nucleares o centros vinculados a la Defensa Nacional o al mantenimiento de determinados servicios esenciales o estratégicos el plazo se reduce a dos años. 

En cuanto a la infraestructura en la que no se podrán emplear suministradores que hayan sido calificados de alto riesgo, el Real Decreto-ley menciona los elementos críticos de red equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares.