Llega la ley de Ciberseguridad 5G
El Gobierno presenta a audiencia pública el anteproyecto de ley de Ciberseguridad 5G, donde se establece los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G (abierto el periodo de audiencia pública del Anteproyecto de Ley de Ciberseguridad 5G, la norma legal que establecerá los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G.)
El objetivo de esta Ley es generar una confianza necesaria en su funcionamiento y, sobre todo, la protección frente a manipulaciones de datos o comunicaciones por agentes externos, ya que la complejidad técnica de los sistemas 5G hace que las legislaciones ya existentes no abarquen los riesgos que trae consigo. En este anteproyecto se establecen las obligaciones de los operados móviles, el Gobierno, los operadores y suministradores.
El anteproyecto realiza la traslación al marco legal español de las medidas estratégicas, técnicas y de apoyo para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (tool box) consensuada entre los Estados Miembros de la Unión Europea. La caja de herramientas identifica las principales amenazas y sus fuentes, los activos más sensibles, las principales vulnerabilidades y una serie de riesgos estratégicos en el despliegue de redes 5G.
Respecto a los operadores móviles, se pueden destacar que tendrán la obligación de efectuar análisis de riesgos 5G cada dos años.; examinar las prácticas de seguridad de sus suministradores teniendo en cuenta los factores de riesgos 5G; adoptar medidas técnicas y de organización para la gestión de riesgos existentes; elaborar una estrategia de diversificación de suministradores para limitar la dependencia de la red en un solo administrador; así como comunicar el resultado de análisis de riesgo al Ministerio de Asuntos Económicos y Transformación Digital.
Por su parte, el Gobierno tendrá como principal obligación la elaboración del llamado esquema de seguridad 5G y un análisis nacional de riesgos de dicha tecnología. Tendrá que elaborar una lista de proveedores de alto, medio y bajo riesgo para que puedan trabajar en determinadas infraestructuras críticas de la red. Dicha lista será la base para decidir que compañías son vetadas, por ello, será un documento vivo que se irá actualizando.
En cuanto a las obligaciones de los operadores y suministradores destacan: el mantenimiento de las credenciales de usuario para el acceso a la red en posesión del operador; las restricciones o prohibiciones para utilizar equipos, programas o servicios de suministradores con cierto riesgo, pudiendo establecer cuotas de utilización, y la obligación de utilizar únicamente productos, servicios o sistemas certificados para operar con 5G. Esta certificación de productos, tendrán que someterse a una auditoría de control y de seguridad; así como una auditoría u obtención de una certificación europea de seguridad (la cual ya está siendo estudiada por ENISA) que permita la actuación en España de suministradores extranjeros.
El 5G es uno de los pilares fundamentales para Unión Europea y para la recuperación económica de España y sus empresas. Prueba de ello, es la presencia de la Estrategia de Impulso del 5G en los Presupuestos Generales del Estado y agenda España Digital 2025.
Por ello, la Comisión Europea ha encomendado a la Agencia de la Unión Europea para la Ciberseguridad, ENISA, que prepare un esquema de certificación de la ciberseguridad de la UE para las redes 5G. Este protocolo ayudará a abordar los riesgos relacionados con las vulnerabilidades técnicas de las redes y mejorar aún más su ciberseguridad. Será además una guía para que los Estados miembros elaboren sus protocolos.
Este marco europeo de certificación de ciberseguridad ofrecerá sistemas de certificación reconocidos en todos los Estados miembros, lo que facilitará a las empresas el comercio transfronterizo y a los usuarios la comprensión de las características de seguridad del producto o servicio.
Imagen: lamoncloa.gob.es
Redacción ASECOPS: María Cruz Míguez López