Los suministradores de alto riesgo no podrán usarse cerca en emplazamientos estratégicos y sistemas críticos de la red
MADRID, 30 (EUROPA PRESS)
El Gobierno se ha concedido un plazo de cuatro meses hasta comenzar el veto de uso de operadores de 5G en partes clave de la red por considerarse de alto riesgo para la ciberseguridad debido a su vínculo con terceros países, entre otras cuestiones.
El Consejo de Ministros será el encargado de calificar qué suministradores son de alto riesgo, tras recibir informe del Consejo de Seguridad Nacional y mantener una audiencia con los operadores 5G y los suministradores afectados, según el texto completo del Real Decreto de Ciberseguridad 5G publicado este miércoles en el Boletín Oficial del Estado (BOE).
Esta norma es el instrumento que permitirá al Gobierno desplazar del núcleo de las redes y enclaves estratégicos a los suministradores de origen chino, tal como se ha hecho en otras partes del mundo como Reino Unido y Estados Unidos por temor a posibles injerencias de Pekín en su operativa.
El Ejecutivo podrá hacer uso de esta facultad tres meses después de la entrada en vigor de este artículo del real decreto, lo que se producirá dentro de un mes, al igual que ocurrirá con las obligaciones centrales del texto, mientras que el resto del contenido entrará en vigor este jueves.
Así, el Gobierno podrá declarar que un suministrador es de alto riesgo mediante un análisis de sus garantías operativas y técnicas, así como de “las medidas estratégicas y exposición a injerencias externas”.
En este apartado, el texto clarifica que se tendrán en cuenta “vínculos de los suministradores y su cadena de suministro con los gobiernos de terceros países”, “la composición de su capital social y la estructura de sus órganos de gobierno” o “el poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa”.
Asimismo, el Gobierno también tendrá en cuenta la legislación y el respeto al derecho internacional y las resoluciones de la ONU de ese tercer Estado, los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de los que sea parte dicho Estado.
Por último, también se valorará que la normativa de protección de datos personales de este tercer estado se “adecue” a la de España y al GDPR.
En caso de que el Gobierno decrete un suministrador de alto riesgo, los operadores tendrán que retirar todos sus equipos de los elementos clave de sus redes en un plazo de dos años en zonas estratégicas y cinco en el núcleo y los sistemas de control y gestión y los servicios de apoyo, aunque habrá un estudio de cada caso.
Por parte del suministrador, estará obligado a enviar en un plazo de seis meses un informe al Ejecutivo sobre cómo planea mitigar los riesgos de seguridad detectados en sus productos
ZONAS ESTRATÉGICAS
El uso de estos equipos de alto riesgo estará prohibido en lo relativo a las funciones del núcleo de la red y los sistemas de control y gestión y los servicios de apoyo, así como la red de acceso en aquellas zonas decretadas como estratégicas.
El Real Decreto hace alusión a las estaciones radioeléctricas que den cobertura a centrales nucleares, Defensa Nacional o a las ubicaciones y centros con vínculos a la seguridad, servicios esenciales o sectores estratégicos.
La lista final de ubicaciones será considera material clasificado y no se divulgará, según el decreto, que también prohíbe el uso de estos suministradores en redes privadas de la Administración Pública.
La prohibición de uso afecta los siguientes elementos: sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores
En virtud del Real Decreto, los operadores tendrán que hacer análisis de seguridad y riesgos de sus redes cada dos años, así como someterse a auditorías ordenadas por el Ministerio de Asuntos Económicos y Transformación Digital.
En esta tendrán que realizar un análisis completo de su red teniendo en cuenta los parámetros que desarrolle el Gobierno en el Esquema Nacional de Seguridad de redes y servicios 5G, para cuyo desarrollo normativo el Gobierno tiene un plazo de seis meses.
Además, los operadores deberán mantener los centros críticos de sus redes en territorio español.
Los principales operadores de telecomunicaciones del país ya han actuado en previsión de esta normativa, contemplada en el Plan de Recuperación, Transformación y Resiliencia, y, hasta el momento, ninguno ha seleccionado a Huawei, principal perjudicada, para el ‘core’ de su red 5G o para el radio.
REDES PRIVADAS
Otro de los aspectos subrayados en el Real Decreto es que se reconoce en el texto la posibilidad de que otras empresas que no sean operadores cuenten con espectro radioeléctrico.
El Gobierno realizará en la segunda mitad del año la subasta de los 26 GHz, la última banda prioritaria para el 5G cuyas frecuencias no se han adjudicado. A este respecto, ha conducido una consulta pública en la que se preguntaba al sector sobre la posibilidad de que las empresas puedan adquirir licencias de uso para frecuencias para la puesta en marchas de redes privadas.
Ahora, una de las figuras a las que se aplica el real decreto serán “los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación”.
En el caso de estos, se aplican las mismas restricciones que en las redes públicas 5G de los operadores tradicionales, salvo que los operadores de alto riesgo que solo vendan equipos para redes privadas serán considerados de riesgo medio, si bien estarán sometidos a las mismas obligaciones de mitigación de riesgos que los primeros.