La futura ley de seguridad 5G abre la vía a prohibir a fabricantes de alto riesgo

La CNMC publicó ayer su informe sobre el Anteproyecto de ley de ciberseguridad 5G. El regulador valoró positivamente esta norma, si bien planteó un conjunto de exigencias para operadoras y suministradores de equipos, así como en los criterios para el régimen sancionador. La futura ley tiene gran relevancia por las limitaciones que en varios países se han impuesto a fabricantes como la china Huawei.

El Anteproyecto incluye una serie de medidas regulatorias que pueden llegar a prohibir o limitar la actividad en el mercado de suministradores considerados de alto riesgo.

En su informe, la CNMC destaca el artículo 11 del Anteproyecto, que determina los criterios que el Gobierno debe tener en cuenta para examinar el perfil de riesgo de los suministradores. Los criterios se basan en las garantías técnicas de funcionamiento y protección frente a ataques y la exposición a injerencias externas. “Para evaluar este último criterio no técnico se incluye un listado de factores entre los que se encuentra la vinculación de los proveedores y su cadena de suministro con los gobiernos de terceros países, o las características del régimen político y de la política de defensa cibernética de dichos Estados”, señala.

La CNMC afirma que los criterios para poder calificar a un suministrador como de riesgo alto, medio o bajo son muy relevantes, y deben quedar claramente delimitados en el Anteproyecto. Además, señala que la fijación de criterios debería realizarse lo antes posible para evitar el impacto en el mercado.

El Anteproyecto apunta que las redes móviles se caracterizan por un alto grado de innovación, que requiere de fuertes inversiones, por lo que con cada generación se ha tendido a una mayor concentración de la oferta de suministradores de equipos. “Como indica la memoria de análisis de impacto normativo que acompaña al Anteproyecto, los principales suministradores de las redes 5G son las empresas europeas Ericsson y Nokia y las chinas Huawei y ZTE”, indica.

El regulador destaca también que en el Anteproyecto se regula el deber de los operadores de gestionar sus riesgos de seguridad y los de sus suministradores, a los que deberán exigir el cumplimiento de estándares de seguridad y control de su cadena de suministro. “Los operadores deben aplicar medidas técnicas y organizativas para mitigar los riesgos y adoptar una estrategia de diversificación de suministradores para limitar la dependencia de un solo suministrador o de varios que tengan una calificación de riesgo alto en elementos esenciales de la red”, explica.

Emplazamientos

La CNMC también indica en su informe que el Anteproyecto contempla la posibilidad de imponer la separación de emplazamientos y la limitación de la compartición de recursos en función de la importancia de la función de la red o del servicio a que van destinados.

“Esta Comisión cree necesario que en el Anteproyecto o en la normativa que lo desarrolle se ha de tener en cuenta el posible impacto que, dicha limitación a la compartición de recursos de red”, advierte.