El anteproyecto de Ley de Ciberseguridad 5G, la norma legal que establecerá los requisitos de seguridad específicos para el despliegue y la explotación de redes 5G, ha comenzado la andadura que habrá de culminar en su aprobación a mediados del próximo año.
El anteproyecto de Ley, que ahora ha iniciado el periodo de audiencia pública, tiene como objetivo establecer un marco confiable y seguro que incentive tanto el despliegue y la inversión en redes 5G por parte de los operadores, como la demanda de servicios 5G por parte de los usuarios.
Siguiendo el procedimiento habitual, y según fuentes de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, este periodo de consulta pública se prolongará hasta el 14 de enero y después entrará en el proceso de tramitación. Tras la aprobación del Consejo de Ministros y, posteriormente del Congreso de los Diputados, la nueva ley podría ver la luz en el verano de 2021.
El marco general de seguridad incrementada que se persigue beneficiará a todos los agentes que participen de la 5G, especialmente en un contexto de pandemia que ha disparado los ciberataques en todo el mundo. Según la Secretaría de Estado de Telecomunicaciones e Infraestructuras DIgitales, la nueva norma española ofrecerá mayor confianza a todos los usuarios, incluidas las empresas, en el despliegue de su actividad cotidiana.
Reparto de responsabilidades
El anteproyecto de Ley de Ciberseguridad 5G comprende medidas destinadas a los operadores de redes y servicios 5G, pero también a suministradores, fabricantes, y a determinados usuarios corporativos. El texto identifica a los distintos agentes implicados, así como los procedimientos que se deben seguir en el ámbito público para garantizar la seguridad de las nuevas redes.
En este reparto de responsabilidades el anteproyecto hace especial hincapié en el papel de los operadores de redes. Su principal obligación será realizar un adecuado análisis y gestión del riesgo cada dos años.
Asimismo, el anteproyecto proporciona una guía del alcance y los factores que los operadores deben considerar en relación con las redes 5G, ampliando con ello las actividades que estos realizan de modo habitual.
También deberán analizar su dependencia de la cadena de suministros y estarán obligados a elaborar e informar de la ejecución de una estrategia de diversificación de suministradores. Dicha estrategia deberá incluir medidas para limitar la dependencia de un solo suministrador y restricciones para aquellos suministradores que sean calificados de alto riesgo.
Papel del gobierno
El Gobierno adoptará, por Real Decreto, el Esquema de Seguridad de Redes y Servicios 5G, con el cual se realizará un tratamiento integral de la seguridad en las redes y servicios 5G nacionales. El plazo de vigencia de este esquema será, en principio, para 6 años, aunque no se descartan revisiones y actualizaciones en ese período.
Dentro del esquema, se priorizarán los riesgos y las medidas para mitigarlos que deberán tener en cuenta los operadores. Para la elaboración de este esquema de seguridad se tendrán en cuenta los análisis realizados por los operadores, incluyendo las vulnerabilidades de la cadena de suministros.
El anteproyecto que se somete a audiencia pública ya establece de modo transparente los factores que se deben considerar en el análisis de dicha cadena de suministros: desde la garantía técnica de funcionamiento y protección frente a ataques, hasta la limitación de su exposición a injerencias de terceros.
En función del análisis de riesgos de la cadena de suministros, y previo informe del Consejo de Seguridad Nacional, el Ministerio de Asuntos Económicos y Transformación Digital podrá promover un Acuerdo de Consejo de Ministros para calificar el nivel de riesgo (bajo, medio o alto) de los suministradores a partir de un estudio estrictamente técnico, sin elementos apriorísticos.
Se ha estimado que estos análisis de riesgos se harán periódicamente y en función de las circunstancias que se den en cada momento, pero no se ha preestablecido una periodicidad concreta.
En la Unión Europea, el papel preeminente de los gobiernos de los estados miembros en este ámbito ha sido confirmado desde distintos análisis jurídicos sobre el tema, como es el caso del libro blanco Member State Implementation of the EU 5G Toolbox: Legal Issues Raised.
I+D e interoperabilidad
El anteproyecto de Ley de Ciberseguridad 5G incluye otros instrumentos destinados a abordar la ciberseguridad en las redes y servicios, tales como medidas de apoyo en materia de I+D para redes y servicios 5G y de impulso a la interoperabilidad y estandarización.
Asimismo, comprende requisitos para la puesta en el mercado de terminales y dispositivos de acceso a la red 5G, y facultades para imponer obligaciones y requisitos en la compra pública de redes y servicios que hagan uso de 5G.
Por sus características técnicas, el 5G permite conexiones permanentes, ubicuas, de gran capacidad y a gran velocidad. Pero para que todo este potencial de materialice de la mejor manera posible las cuestiones relativas a la interoperabilidad son cruciales, tal como se puso de manifiesto en la Declaración Ministerial de Tallin sobre 5G realizada en 2017 y suscrita por España.
Una hoja de ruta prioritaria
El impulso al despliegue rápido de 5G es una de las prioridades identificadas como palanca de recuperación tanto en el Mecanismo de Recuperación europeo (Next Generation EU) como en el Plan de Recuperación, Trasformación y Resiliencia de la economía española presentado el pasado 7 de octubre, que destinará un 33% de sus fondos a la digitalización.
El despliegue de la tecnología 5G constituye, asimismo, uno de los diez ejes principales de la agenda España Digital 2025, presentada el pasado 23 de julio.
La hoja de ruta del gobierno se recoge en la Estrategia de Impulso del 5G, adoptada por el Consejo de Ministros de 1 de diciembre, que prevé una inversión pública de 300 millones de euros en 2021 e incluye la Ley de Ciberseguridad, como una de las medidas que favorecerá el impulso de infraestructuras 5G en España.
Implementación del toolbox europeo
La futura Ley de Ciberseguridad 5G supondrá la traslación al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad establecidas en el Informe sobre el toolbox (caja de herramientas) europeo sobre seguridad en redes 5G y que comprende un conjunto de directrices e instrumentos acordado en enero de 2020 por los estados miembros de la UE.
Este documento parte de la identificación de las principales amenazas y sus fuentes, los activos más sensibles, así como las vulnerabilidades y los riesgos estratégicos relacionados con el despliegue de redes 5G. Además, propone una serie de medidas y planes de mitigación de estos riesgos y amenazas para ser implementados a escala europea y nacional.
La seguridad relacionada con esta tecnología ha suscitado preocupación entre distintos observadores. En un artículo publicado el pasado mes de octubre por el think tank español de política internacional, Real Instituto Elcano, se indica que los estándares técnicos de las nuevas redes 5G no han tenido suficientemente en cuenta las cuestiones de ciberseguridad.
Por su parte, la Agencia de la Unión Europea para la Ciberseguridad publicó en 2019 un informe específico sobre las amenazas de seguridad que se ciernen sobre las redes 5G. También el año pasado, la propia Comisión presentó un informe con recomendaciones sobre ciberseguridad y 5G.
(Foto: ICS/Depositphoto)