Así se establece en el borrador del Real Decreto por el que se aprueba el Esquema Nacional de Seguridad de Redes y Servicios 5G que el Ministerio de Transformación Digital acaba de sacar a audiencia pública antes de su remisión al Consejo de Ministros. Una consulta que estará abierta hasta el próximo 20 de enero.

De esta manera, el Gobierno comienza a dar los primeros pasos para el desarrollo reglamentario de la Ley de Ciberseguridad 5G en un momento en el que la Comisión Europea (CE) está aumentado su presión para que los Estados miembros valoren excluir de sus despliegues de quinta generación a compañías chinas como Huawei o ZTE.

[El Gobierno obligará a las 'telecos' a dejar de usar los equipos de 4G de proveedores de alto riesgo para ofrecer 5G]

La Ley de Ciberseguridad 5G fue aprobada por el Gobierno a finales de marzo de 2022 dentro del Real Decreto por el que se adoptaban medidas urgentes en el marco del Plan Nacional de respuesta a las consecuencias económicas y sociales de la guerra en Ucrania.

Sin embargo, desde entonces apenas se habían producido avances en su desarrollo. En junio de 2022, el Ejecutivo lanzó una primera consulta de cara a elaborar el Esquema Nacional de Seguridad de Redes y Servicios 5G, pero ha pasado un año y medio hasta que por fin se ha publicado el Real Decreto con las primeras medidas concretas. 

Octubre de 2024 

En concreto, el Ministerio dirigido por José Luis Escrivá pone a fecha a los primeros análisis e informes que deberán presentar los operadores de telecomunicaciones que gestionen redes públicas de 5G en España para cumplir con lo exigido en la Ley de Ciberseguridad 5G. Y esa fecha es el 1 de octubre de 2024. 

En primer lugar, las telecos tendrán que presentar al Ministerio de Transformación Digital un informe sobre los riesgos de sus redes y servicios 5G, en los que expongan las "vulnerabilidades y amenazas" que consideran que les puedan afectar. Un análisis que deberán enviar al Gobierno cada dos años.

La hasta ahora vicepresidenta primera y ministra de Asuntos Económicos y Transformación Digital, Nadia Calviño, traspasa su cartera de Transformación Digital al hasta ahora el ministro de Inclusión, Seguridad Social y Migración, José Luis Escrivá

Asimismo, antes del 1 de octubre de 2023 también deberán haber trasladado al Ministerio una nueva descripción de las medidas técnicas y organizativas que han diseñado y aplicado para gestionar y mitigar los riesgos de ciberseguridad 5G. Un trabajo que también deberán repetir cada dos años.

El tercero de los informes que tendrán que poner en manos del Ejecutivo para esa fecha será una nueva estrategia de diversificación de su cadena de suministro de equipamiento 5G. En este caso, deberán volver a remitirla al Ministerio antes del 1 de octubre de cada año o cada vez que sea objeto de modificación.

La Ley de Ciberseguridad 5G establece que los operadores deberán diseñar una estrategia de diversificación de su cadena de suministro. En concreto, deberán contar con equipos de transmisión radio que sean proporcionados, como mínimo, por dos suministradores diferentes. El objetivo es favorecer la continuidad de los servicios 5G, facilitar la sustitución de los equipos en caso de que sea necesario y evitar la dependencia exclusiva de un único proveedor.

En este sentido, el Ministerio podrá modificar la estrategia de diversificación de un operador 5G si considera que no queda garantizada la integridad física o lógica de la red, que existe una amplia exposición al equipamiento de un suministrador o para garantizar la seguridad en la provisión de servicios utilizados por los servicios de Seguridad Nacional, Defensa Nacional o distintas administraciones públicas,

Alto riesgo

En lo relativo a los proveedores considerados de algo riesgo, el Real Decreto sometido a audiencia pública no incluye apenas novedades en comparación con lo recogido en la Ley de Ciberseguridad 5G y no ofrece ningún detalle sobre la esperada lista de compañías que puedan ser vetadas en el despliegue del 5G.

El pasado verano, Bruselas instó a los países miembros a implementar "sin demora" la caja de herramientas de ciberseguridad y a establecer dicho listado. Aunque las recomendaciones de la CE no prohíben expresamente a ningún operador, la Comisión sí que ha apoyado públicamente a los países que han vetado a los proveedores chinos Huawei y ZTE y ha decidido eliminarlos de sus propios servicios de conectividad.

[Bruselas ve justificado que los países europeos excluyan a Huawei o ZTE de sus redes 5G]

Sin embargo, el Real Decreto sí ofrece algunos detalles nuevos sobre el proceso de sustitución de los equipos de los proveedores que sean considerados de alto riesgo. Será el Consejo de Ministros el encargado de determinar el plazo de sustitución, que no será inferior a un año. 

En concreto, el texto señala que se podrá establecer un plazo diferente para los distintos elementos críticos de la red pública 5G en función de la criticidad de dicho elemento o de parte de él, de su impacto en el funcionamiento y la operatividad de la red y de la disponibilidad de equipos en ese momento en el mercado.

Asimismo, también podrá ser diferente para los distintos operadores afectados en función de la repercusión que dicha sustitución tenga su red, de la afectación de la sustitución a los distintos elementos o partes de dicha red, de los contratos de suministro de equipamiento suscritos y de la capacidad de suministro existente en el mercado.