La Comisión Europea ha presentado el borrador de la nueva Cybersecurity Act (CSA), una norma que plantea vetar la presencia de fabricantes chinos como Huawei y ZTE en las infraestructuras de telecomunicaciones de la Unión Europea.
El texto supone un cambio respecto al marco actual. Hasta ahora, la Unión Europea mantenía recomendaciones para limitar el uso de estos proveedores en redes 5G. Con la nueva ley, esas indicaciones pasarán a ser obligaciones legales y se ampliarán a todo tipo de redes.
Plazo de tres años para las redes móviles
La propuesta establece que, una vez aprobada la norma, las operadoras dispondrán de un plazo de 36 meses para retirar de sus redes móviles el equipamiento procedente de proveedores considerados de alto riesgo. Esto implica que, si se cumplen los plazos previstos, antes de 2030 las redes móviles europeas deberán operar sin tecnología de origen chino.
La medida no se limitará al 5G, sino que tendrá un alcance más amplio y afectará también a las redes fijas, a los sistemas de gestión, a los núcleos de red o core, a las redes de acceso por radio (RAN) y a las infraestructuras de transporte y transmisión.
En el caso de las redes fijas y de transmisión, el reglamento no fija todavía un calendario concreto. La Comisión Europea definirá los plazos tras evaluar los riesgos de seguridad, la vida útil de los componentes y el impacto económico de la sustitución.
Un impacto de hasta 21.500 millones de euros
La propia Comisión reconoce que el cambio tendrá un coste elevado para las operadoras. Según las estimaciones incluidas en la propuesta, el proceso de sustitución supondrá entre 3.400 y 4.300 millones de euros al año durante cinco años. En total, el impacto para el sector europeo se situará en una horquilla de entre 17.000 y 21.500 millones de euros.
En España, fuentes del sector calculan que Telefónica, Orange y Vodafone podrían afrontar un gasto conjunto cercano a 4.000 millones de euros, si se incluyen también las inversiones necesarias para sustituir equipamiento en redes fijas.
Criterios para declarar a un proveedor de alto riesgo
Para que un fabricante quede afectado por la normativa, la Comisión Europea deberá declarar previamente a su país de origen como una “preocupación de ciberseguridad”. En esa evaluación se tendrán en cuenta factores como la existencia de leyes que obliguen a las empresas a colaborar con los servicios de inteligencia nacionales, la ausencia de controles democráticos independientes y el riesgo de injerencia gubernamental en compañías privadas.
Este marco coincide con la legislación vigente en China, que establece la obligación de las empresas de cooperar con las autoridades en materia de seguridad.
Reacción del sector
La propuesta ha generado preocupación entre las operadoras europeas. Connect Europe, la patronal que agrupa a compañías como Telefónica, Orange, Vodafone, Deutsche Telekom o Telecom Italia, ha advertido de que el actual borrador de la CSA impondrá costes regulatorios adicionales multimillonarios que, a su juicio, podrían estar siendo subestimados.
La organización señala que las nuevas obligaciones pueden afectar al despliegue de redes y a la planificación de inversiones si no van acompañadas de mecanismos de compensación económica. El sector reclama que la normativa incluya medidas de reembolso o apoyo público para afrontar los costes de sustitución.
La nueva Cybersecurity Act inicia ahora su tramitación legislativa en el Parlamento Europeo y en el Consejo. Su aprobación definitiva está prevista para 2027.
Si (
No(
