El texto, que se esperaba como una Ley (el Gobierno lo lleva al Congreso y se aprueba por mayoría de la Cámara), finalmente se ha adelantado y se ha aprobado como Real Decreto (aprobación directamente por parte del Ejecutivo, sin pasar por el Congreso) aunque “puede que acabe desarrollándose como proyecto de ley”, explica un portavoz de DigitalES a Zonamovilidad.es, quien detalla además que se trata de “un texto de carácter eminentemente técnico y ya descontado por el sector”.
En este sentido, el Ejecutivo ha decidido acelerar la aprobación de esta norma porque, según explica en el texto del Real Decreto, “el conflicto (invasión rusa de Ucrania) está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos” y ya se han registrado importantes ataques a servicios gubernamentales en Ucrania y se han emitido alertas internacionales que “destacan la necesidad de reforzar la protección de los países europeos frente a posibles ciberamenazas”.
Diversificación de proveedores
En este sentido, desde el Gobierno señalan la importancia de elaborar una legislación propia de Ciberseguridad 5G dados los riesgos específicos derivados de esta tecnología poro su “arquitectura de red más compleja, abierta y desagregada, y de su capacidad para transportar ingentes volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas”. Además, advierte de la importancia de reforzar la seguridad de estas redes por su impacto potencial en la economía.
Los operadores tendrán que implantar una estrategia de diversificación de proveedores para minimizar los riesgos con, al menos, dos proveedores por red
Asimismo, señalan que la 5G tiene un componente muy importante basado en sistemas informáticos y de servicios proporcionados por proveedores externos a los operadores, lo que genera una dependencia que “podría aumentar el nivel de riesgo al que se está expuesto” por ello se someterá a los operadores de telecomunicaciones y sus proveedores a “estrictos controles de seguridad” para “garantizar su fiabilidad técnica y su independencia de injerencias externas” por lo que se dará preeminencia a la aplicación de estándares internacionales y europeos y a los esquemas de certificación europeos.
En la norma, el Gobierno pide directamente a los operadores (cosa que ya están haciendo), que se ponga en marcha una estrategia de diversificación de proveedores para minimizar los riesgos con, al menos, dos proveedores por red.
Listado de proveedores seguros
El Gobierno se da un plazo de hasta tres meses para publicar el listado de proveedores de alto riesgo
En este sentido, el Gobierno elaborará próximamente un listado de proveedores que se consideren seguros para saber el perfil de riesgo de cada uno de los más importantes tanto desde el punto de vista de su protección frente a ataques como de su exposición a injerencias externas. Para ello, el Gobierno se da un plazo de hasta tres meses para publicar el listado de proveedores de alto riesgo, por lo que tendrá que hacerse público en el segundo trimestre del año.
De este modo, se podrán identificar casos concretos restringidos en los que los suministradores que sean calificados como de alto riesgo o de riesgo medio no puedan actuar.
Esquema Nacional de Seguridad de redes y servicios 5G
Para gestionar el listado de proveedores, la seguridad de cada uno y de las propias redes de los operadores, el Gobierno establecerá el Esquema Nacional de Seguridad de redes y servicios 5G, que será la entidad directamente responsable de gestionar las autorizaciones y certificados en base a la regulación aprobada y a los aspectos técnicos.
La normativa fija además la obligación de que los proveedores de equipos de telecomunicaciones que deseen superar las pruebas, y por tanto trabajar en el mercado español, deberán “proporcionar la información que sea necesaria” para facilitar el trabajo del organismo
Además, a través de esta entidad se gestionarán las líneas de ayuda pública a la I+D+i en materia de seguridad en la redes y servicios 5G y para la formación de personal especializado.
La mitad de los operadores empresariales 5G no sabe encontrar y solucionar vulnerabilidades de seguridad
Leer más
Qué aspectos de la red se analizarán cada dos años
Si nos fijamos en el detalle de la ley, el Gobierno ha señalado ya una serie de aspectos que serán objeto de debate y de análisis para evaluar sus riesgos. En concreto, se refiere a los elementos e infraestructuras del core de la red; las funciones de transporte y transmisión de datos; la red de acceso; los sistemas de control y gestión y los servicios de apoyo; las funciones de edge computing, virtualización de red y gestión de sus componentes; y todos los elementos relativos a intercambios de tráfico con redes externas e Internet.
Los operadores no podrán incluir a proveedores de alto riesgo o riesgo medio en los elementos críticos de la red
Sin embargo, desde el Ejecutivo se matiza que los aspectos más críticos son el core de la red, los sistemas de control y gestión y los servicios de apoyo y la red de acceso en aquellas zonas geográficas y ubicaciones que se determine.
Para llevar a cabo este análisis, los operadores tendrán que estudiar no sólo sus redes, sino también las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que emplean. Este análisis se tendrá que realizar cada dos años.
Por otro lado, la norma también fija que los proveedores y los usuarios corporativos (redes privadas 5G) tendrán que llevar a cabo análisis propios de riesgos.