La Comisión Europea ha anunciado que unificará criterios para todos los Estados miembros en materia de ciberseguridad para sus redes 5G. Lo hará a través del esquema común de certificación, que ha encargado recientemente a la Agencia de la Unión Europea para la Ciberseguridad, Enisa.

Algunos de los Estados miembros ya han avanzado en la unificación de criterios, como el caso de Alemania, que ya ha incluido las medidas del toolbox de la Comisión 5G en su legislación nacional.

En España, el anteproyecto de Ley de Ciberseguridad 5G se presentó el pasado 14 de diciembre y, solo dos días después, el 16 de diciembre, el Gobierno alemán ya aprobaba el borrador de su Ley de Telecomunicaciones. En la legislación germana priman los criterios técnicos, tal y como ha reconocido el ministro Federal del Interior de Alemania, Horst Seehofer.

En una entrevista con el diario alemán Handlesblatt aseguraba: “El camino que hemos elegido ahora define mayores requisitos de seguridad para todos los fabricantes, independientemente del país del que procedan. Esto mejorará significativamente la seguridad informática en general”. Así, el ministro reconocía que “no es principalmente el país de origen lo que importa, sino la tecnología que se utiliza”.

Faltan meses para su aprobación

En el caso nacional, a punto de cumplirse dos meses de la presentación del Gobierno del anteproyecto de Ley de Ciberseguridad 5G, los expertos prevén que todavía haya que esperar varios meses hasta su aprobación. Incluso avanzan que es probable que hasta finales de año no se conozca de forma clara la clasificación del nivel de riesgo de los proveedores.

Según un informe publicado por la consultora del Reino Unido, Oxford Economics, esta clasificación podría vulnerar la libre circulación de bienes y servicios, la libertad de empresa y el principio de no discriminación. Además, podría causar graves perjuicios económicos y costes a los operadores móviles además de retrasar el despliegue de las redes 5G.

El borrador de Ley del 5G traslada al marco legal nacional las medidas para reducir los riesgos de seguridad incluidos en el toolbox de la Comisión Europea. Esta regulación comunitaria se ha desarrollado con el objetivo de “establecer un marco confiable y seguro que incentive el despliegue y la inversión por parte de los operadores”.

Sin embargo, expertos y especialistas aseguran que el documento presenta faltas de concreción y claridad en algunos aspectos del texto, lo que aumenta las dudas y genera una mayor sensación de inseguridad jurídica.

Diferencia de criterios

El esquema de Seguridad de 5G en España no estará publicado hasta después de la aprobación del anteproyecto ley, lo que aumentaría la incertidumbre tanto en operadores como proveedores. Las legislaciones cuentan con diferencias, entre las que se encuentra el establecimiento de los criterios que determinan los posibles riesgos en las redes 5G.

Para Alemania, los criterios son muy estrictos y exclusivamente técnicos, basándose en la identificación y notificación de los componentes críticos y certificación, declaración de fiabilidad y garantía del vendedor. Sin embargo, en España los operadores deberán realizar un análisis del nivel de riesgo, que será la base para la creación de una lista con distintos niveles de riesgo.

El análisis se basará en dos tipos de criterios: técnicos y no técnicos. Por un lado, el criterio técnico estará centrado en estándares, certificaciones, test y auditorías de seguridad y por otro, el criterio no técnico, que estudia la posible exposición de los suministradores a injerencias externas.