Los operadores de telecomunicaciones en España tendrán que dejar de utilizar los equipos de su red 4G que estén suministrados por proveedores que sean calificados de "alto riesgo" por el Gobierno para ofrecer servicios de 5G. Una exigencia que podría tener repercusiones en los planes de desarrollo de la quinta generación de la telefonía móvil en España.

El Real Decreto-ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, aprobado esta semana por el Gobierno, contempla que todo aquel equipamiento que se emplee en las redes de 5G, aunque se use también para generaciones anteriores de telefonía móvil, está supeditado a las exigencias de seguridad incluidas en este texto. 

Un aspecto que ha sido acogido con preocupación dentro el sector, según han informado fuentes conocedoras a EL ESPAÑOL-Invertia. De hecho, aunque todavía están analizando el impacto definitivo que puede tener la nueva legislación en el desarrollo del 5G en España, creen que puede afectar "tanto económicamente como en tiempo", provocando incluso retrasos en los despliegues.

El motivo es que la oferta de 5G que comercializan actualmente todas las operadoras en España se hace bajo la modalidad denominada non-standalone (NSA), en la que se emplea el espectro destinado a la quinta generación pero que requiere de la infraestructura desplegada para el 4G para funcionar correctamente.

Además, también es frecuente el uso de la tecnología DSS. Mediante una actualización del software de los equipos de radio, esta tecnología permite a las operadoras utilizar las bandas de frecuencias asignadas para ofrecer conexiones de 4G o de 3G para prestar de forma simultánea servicios 5G a través de ella. 

Actualmente, las tres principales compañías de telecomunicaciones españolas (Telefónica, Orange y Vodafone) utilizan en sus redes de 4G equipamiento de Huawei o ZTE, los fabricantes que actualmente tienen más probabilidades de ser calificados de alto riesgo para la seguridad de las redes según los criterios establecidos en la ley. 

Por ello, si el Gobierno decide finalmente incluir a las compañías chinas en dicha categoría, una decisión que se hará pública antes de que finalice el próximo mes de junio, las operadoras deberán dejar de emplear esos equipos para dar servicios 5G dentro de los plazos establecidos por la ley. 

Esto afectará a la oferta actual de 5G de las compañías, pero no a las futuras redes standalone (SA), el denominado 5G real al no depender de la generación anterior. En este caso, las tres operadoras ya han comunicado su intención de dejar fuera de sus planes de despliegue de la parte central de la red a los proveedores chinos. 

Proveedores de alto riesgo

La nueva ley establece que los operadores no podrán utilizar en los elementos críticos de su red 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo.

Según lo recogido en el Real Decreto-ley, para determinar el nivel de riesgo de cada suministrador el Gobierno analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios, así como su exposición a injerencias externas. El resultado del primer análisis se conocerá a los tres meses de la publicación de la ley, es decir, antes de finales de junio. 

En concreto, el Ejecutivo tendrá en cuentas aspectos como los vínculos de los suministradores y de su cadena de suministro con los gobiernos de terceros países. También se estudiará la composición de su capital social y la estructura de sus órganos de gobierno, así como el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

Asimismo, se analizarán la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de Naciones Unidas de ese tercer Estado. Además, se tendrán como los acuerdos de cooperación en materia de seguridad y ciberseguridad o de protección de datos firmados por dicho país, así como el grado de adecuación de su normativa al Reglamento General de Protección de Datos (GDPR) y cualquier otra legislación aplicable en materia de seguridad de las redes.

Por otro lado, la ley detalla que se considera que forman parte de las redes 5G "la totalidad de los elementos de red, infraestructuras, recursos y funciones de las redes empleadas para ofrecer servicios con las capacidades señaladas, aun cuando también sean usados en las redes y servicios de comunicaciones electrónicas de generaciones móviles precedentes". 

En caso de algún suministrador sea declarado de alto riesgo, los operadores de telecomunicaciones tendrán cinco años para sustituir los equipos, productos o servicios proporcionados por él en los elementos críticos de red. Un plazo que se acorta a dos años en las instalaciones que den cobertura a centrales nucleares, centros vinculados a la Defensa Nacional o servicios esenciales o estratégicos.

Malestar en el sector

Aunque todavía están analizando en detalle lo que implica la entrada en vigor de este Real Decreto-ley, en el sector hay cierto malestar con el Gobierno por distintas cuestiones, tanto de forma como de fondo, según han informado fuentes conocedoras a EL ESPAÑOL-Invertia.

En primero lugar, se han sorprendido por el hecho de que haya sido aprobado mediante la forma de Real Decreto-ley y no como Proyecto de Ley, que era lo previsto inicialmente cuando se presentó el borrador. Un movimiento que consideran que se debe a la necesidad de cumplir con la fecha límite de diciembre de 2022 que marcaba Bruselas para la trasposición de sus medidas sobre ciberseguridad 5G.

Asimismo, les ha sorprendido que no sólo aplique esta legislación a los equipos que se empleen en el despliegue 5G standalone (SA), sino también "a todos los elementos de la red" de quinta generación y a cualquier equipo de soporte que esto requiera.

Por otro lado, también creen que falta más definición de las "injerencias externas" que servirán de base para definir el nivel de riesgo del suministrador y apunta que, tal y como está definido, parece aplicarse a los proveedores de origen chino.

Además, critican que sean los propios operadores los que tengan que costearse una auditoría de seguridad obligatoria de sus redes 5G, que tendrá que ser realizada por una entidad pública o una entidad privada acreditada.