Todos los estados miembros de la Unión Europea deben presentar una evaluación nacional de riesgos de ciberseguridad de las infraestructuras de las redes 5G para finales de junio e incluir obligaciones reforzadas a los proveedores y operadores para garantizar la seguridad de las redes. Además, deberán intercambiar información entre sí para hacer una evaluación de riesgos coordinada que esté lista, como muy tarde, el 1 de octubre de 2019. Son recomendaciones hechas este martes por la Comisión Europea para conocer de manera exhaustiva esos riesgos y reforzar las medidas preventivas.
Las recomendaciones combinan instrumentos legislativos y políticos y vienen justificadas, según explica la Comisión por la importancia que tienen las redes 5G, llamadas a transformar la economía y sectores como la energía, el transporte, la banca y la sanidad. Además, las recomendaciones quieren garantizar la autonomía estratégica de la Unión Europea.
Derecho a excluir empresas de 5G por razones de seguridad nacional
Para que cada estado pueda presentar una evaluación de riesgos, la Comisión insta a los países a actualizar los requisitos de seguridad existentes para los proveedores de servicios de red e incluir condiciones que permitan garantizar la seguridad de las redes públicas, especialmente a la hora de otorgar los derechos de uso de radiofrecuencias de las bandas 5G.
Las medidas y evaluaciones deben tener en cuenta de manera especial «los riesgos vinculados al comportamiento de proveedores u operadores, incluyendo los de terceros países», un punto en el que la Comisión Europea indica que los estados miembros tienen el derecho de excluir empresas de sus mercados por razones de seguridad nacional, cuando no cumplan con las normas y el marco jurídico del país en cuestión.
Una vez que los estados tengan sus evaluaciones de riesgo compartirán la información con el resto para completar un informe de riesgos coordinado sobre el que acordar un conjunto de medidas de mitigación, con el apoyo de la propia Comisión y de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), que puede incluir requisitos, pruebas o controles de certificación, así como la identificación de productos o proveedores que se consideren potencialmente inseguros.
Certificación de seguridad
Los estados podrán utilizar este conjunto de medidas coordinado a nivel nacional. Además, los países deben elaborar requisitos específicos de seguridad que puedan resultar de aplicación en el contexto de las contrataciones públicas con relación a las redes 5G, como el requisito obligatorio de aplicar regímenes de certificación de ciberseguridad.
El Reglamento de ciberseguridad de la UE prevé la creación de un marco europeo de certificación de la ciberseguridad de productos, procesos y servicios digitales. Una vez que el Reglamento de ciberseguridad entre en vigor en las próximas semanas, la Comisión y la ENISA establecerán el marco de certificación para toda la UE, que los estados miembros deben dar carácter obligatorio a la certificación correspondiente, mediante normativas técnicas en el ámbito nacional.
Seguridad de las redes públicas de comunicaciones
En el terreno de las telecomunicaciones, cada país debe velar por que se preserven la integridad y la seguridad de las redes públicas de comunicaciones, con la obligación de garantizar que los operadores adopten medidas técnicas y organizativas para gestionar adecuadamente los riesgos para la seguridad de las redes y los servicios.
«La resiliencia de nuestra infraestructura digital es fundamental para los Gobiernos, las empresas, la seguridad de nuestros datos personales y el funcionamiento de nuestras instituciones democráticas» explicó Julian King, comisario responsable de la Unión de la Seguridad, «necesitamos desarrollar un enfoque europeo para proteger la integridad de la 5G, que será la conducción digital de nuestras vidas interconectadas».