La Comisión Europeo ha recomendado ayer martes 26 de marzo un conjunto de medidas y acciones operativas para garantizar un alto nivel de ciberseguridad de las redes 5G en la UE.

Las redes de quinta generación (5G) serán la columna vertebral de nuestras sociedades y economías y conectarán miles de millones de objetos y sistemas, entre los que se encuentran sectores fundamentales como la energía, el transporte, la banca y la sanidad, así como sistemas de control industrial que contienen información delicada y sirven de respaldo a los sistemas de seguridad. Los procesos democráticos, como las elecciones, se fundamentan cada vez más en infraestructuras digitales y redes 5G, y ponen de relieve la necesidad de abordar cualquier vulnerabilidad y conseguir que las recomendaciones de la Comisión sean todavía más pertinentes antes de las elecciones del Parlamento Europeo en mayo.

Tras el apoyo que los Jefes de Estado y de Gobierno expresaron en el Consejo Europeo de 22 de marzo de cara a un enfoque coordinado de la seguridad de las redes 5G, la Comisión Europea recomienda hoy un conjunto de medidas concretas para evaluar los riesgos de ciberseguridad de las redes 5G y reforzar las medidas preventivas. Las recomendaciones combinan instrumentos legislativos y políticos destinados a proteger nuestras economías, nuestras sociedades y nuestros sistemas democráticos. Con una previsión de ingresos mundiales de la 5G de 225 000millones EUR en 2025, la quinta generación es una baza clave para que Europa compita en el mercado mundial, y su ciberseguridad es fundamental para garantizar la autonomía estratégica de la Unión.

Toda vulnerabilidad de las redes 5G o cualquier ciberataque a las futuras redes de un Estado miembro afectarían a la Unión en su conjunto. Por ello, las medidas coordinadas que se adopten tanto a nivel nacional como europeo deben garantizar un alto nivel de ciberseguridad.

La Recomendación de ayer ofrece un conjunto de medidas operativas:

1. En el ámbito nacional:

Todo Estado miembro debe completar una evaluación nacional de riesgos de las infraestructuras de las redes 5G para finales de junio de 2019. Por ello, los Estados miembros deben actualizar los requisitos de seguridad existentes para los proveedores de servicios de red e incluir condiciones que permitan garantizar la seguridad de las redes públicas, especialmente a la hora de otorgar los derechos de uso de radiofrecuencias de las bandas 5G. Dichas medidas deben incluir obligaciones reforzadas en torno a proveedores y operadores, a fin de garantizar la seguridad de las redes. Las medidas y evaluaciones de riesgos nacionales deben tener en cuenta distintos factores, tales como los riesgos técnicos y los riesgos vinculados al comportamiento de proveedores u operadores, incluyendo los de terceros países. Las evaluaciones nacionales de riesgos serán clave para elaborar una evaluación de riesgos coordinada a escala de la UE.

Los Estados miembros tienen el derecho de excluir empresas de sus mercados por razones de seguridad nacional, cuando no cumplan con las normas y el marco jurídico del país en cuestión.

2. En el ámbito de la UE:

Los Estados miembros deben intercambiar información entre sí y, con el apoyo de la Comisión y de la Agencia de la Unión Europea para la Ciberseguridad (ENISA), completarán una evaluación de riesgos coordinada a más tardar el 1 de octubre de 2019. Sobre esta base, los Estados miembros acordarán un conjunto de medidas de mitigación que podrá emplearse a nivel nacional. Ello puede incluir requisitos, pruebas o controles de certificación, así como la identificación de productos o proveedores que se consideren potencialmente inseguros. Esta labor la realizará el grupo de cooperación de autoridades competentes, según lo previsto en la Directiva sobre la seguridad de las redes y sistemas de información, con el apoyo de la Comisión y de la ENISA. Las labores coordinadas deben respaldar las acciones de los Estados miembros en el ámbito nacional y ofrecer orientaciones a la Comisión para posibles medidas adicionales en la UE. Además, los Estados miembros deben elaborar requisitos específicos de seguridad que puedan resultar de aplicación en el contexto de las contrataciones públicas con relación a las redes 5G, como el requisito obligatorio de aplicar regímenes de certificación de ciberseguridad.

Esta recomendación hará uso de una gran variedad de instrumentos ya vigentes o aprobados para reforzar la cooperación contra los ciberataques y permitir a la UE que actúe de manera colectiva para proteger su economía y su sociedad, como, por ejemplo, el primer instrumento legislativo en materia de ciberseguridad (la Directiva sobre la seguridad de las redes y sistemas de información), el Reglamento de ciberseguridad recientemente aprobado por el Parlamento Europeo y la nueva normativa sobre telecomunicaciones. La Recomendación ayudará a los Estados miembros a ejecutar estos nuevos instrumentos de manera coherente en lo que se refiere a la seguridad de la 5G.

En el ámbito de la ciberseguridad, el futuro marco europeo de certificación de la ciberseguridad de productos, procesos y servicios digitales previsto en el Reglamento de ciberseguridad debe prever una herramienta de apoyo fundamental para incentivar un nivel de seguridad constante. De cara a su ejecución, los Estados miembros también deben colaborar de manera inmediata y activa con todas las demás partes interesadas que participen en la elaboración de regímenes de certificación específicos a escala de la UE con relación a la 5G. Una vez que estén disponibles, los Estados miembros deben dar carácter obligatorio a la certificación correspondiente, mediante normativas técnicas en el ámbito nacional.

En el terreno de las telecomunicaciones, los Estados miembros deben velar por que se preserven la integridad y la seguridad de las redes públicas de comunicaciones, con la obligación de garantizar que los operadores adopten medidas técnicas y organizativas para gestionar adecuadamente los riesgos para la seguridad de las redes y los servicios.

Próximas etapas

• Los Estados miembros deben concluir sus evaluaciones nacionales de riesgos a más tardar el 30 de junio de 2019, y actualizar las medidas de seguridad necesarias. La evaluación nacional de riesgos debe enviarse a la Comisión y la Agencia de la Unión Europea para la Ciberseguridad a más tardar el 15 de julio de 2019.
• Paralelamente, los Estados miembros y la Comisión iniciarán labores de coordinación en el marco del Grupo de cooperación para la seguridad de las redes y sistemas de información. La ENISA completará el panorama de amenazas de la 5G que servirá de apoyo a los Estados miembros para la presentación de la evaluación de riesgos de la UE a más tardar el 1 de octubre de 2019.
• El Grupo de cooperación para la seguridad de las redes y sistemas de información debe aprobar medidas de mitigación para hacer frente a los riesgos de ciberseguridad detectados en el ámbito nacional y de la UE a más tardar el 31 de diciembre de 2019.
• Una vez que el Reglamento de ciberseguridad, recientemente aprobado por el Parlamento Europeo, entre en vigor en las próximas semanas, la Comisión y la ENISA establecerán el marco de certificación para toda la UE. Se anima a los Estados miembros a cooperar con la Comisión y la ENISA para priorizar un régimen de certificación que englobe las redes y los equipos 5G.
• A más tardar el 1 de octubre de 2020, los Estados miembros, en colaboración con la Comisión, deben evaluar los efectos de la Recomendación para determinar si es necesario adoptar medidas adicionales. Esta evaluación debe tener en cuenta los resultados de la evaluación de riesgos coordinada a escala de la UE y la eficacia de los instrumentos.