La Comisión Europea ha dado este martes un paso más para forzar a los gobiernos europeos a excluir de sus redes de telecomunicaciones y otras infraestructuras críticas a proveedores extranjeros de alto riesgo como la tecnológica china Huawei y ZTE; al plantear que sean obligatorias las recomendaciones de seguridad para las redes 5G que Bruselas trata de inculcar desde hace años de manera voluntaria, con éxito desigual entre los países del bloque.
"Las amenazas de ciberseguridad no son simples retos técnicos, se trata de riesgos estratégicos para nuestra democracia, economía y estilo de vida", ha avisado la vicepresidenta del Ejecutivo comunitario, Henna Virkkunen, al referirse a la propuesta de reforma de la Ley de Ciberseguridad de la UE, cuya forma definitiva debe ser aún negociada con los Veintisiete y el Parlamento Europeo.
Virkkunen ha defendido que el paquete de medidas que presenta es un "paso importante para asegurar la soberanía tecnológica europea y garantizar una seguridad mayor para todos", para lo que ofrecerá los medios necesarios para "proteger mejor las cadenas de suministro de las infraestructuras tecnológicas críticas y también combatir de manera decisiva los ciberataques".
En este contexto, la Ley de Ciberseguridad prevé la eliminación obligatoria de riesgos de las redes europeas de telecomunicaciones móviles provenientes de proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G.
Por el momento, Bruselas aporta una serie de criterios para identificar las compañías de riesgo, pero una vez adoptada la nueva regulación y establecida la 'lista negra', los países tendrán un plazo de tres años para cancelar los contratos que sus infraestructuras críticas hayan firmado con los proveedores vetados.
En una rueda de prensa en Estrasburgo (Francia), Virkkunen ha explicado que la norma "no define país o compañía alguna" por el momento, porque esto se hará una vez se realicen evaluaciones de riesgo concretas. Una vez realizadas las evaluaciones de riesgo y evaluadas las infraestructuras esenciales, ha dicho la vicepresidenta comunitaria, Bruselas planteará medidas de mitigación.
En el caso de las redes 5G, Virkkunen ha confirmado que la Comisión publicará un "catálogo de proveedores de servicios problemáticos" y vigilará que los Estados miembro toman medidas para que "en el plazo de tres años" estas firmas no participan ya en contratos con ellos.
BRUSELAS YA VIO RIESGO EN HUAWEI Y ZTE
En todo caso, Bruselas ya señaló en sus directrices de 2023 a las tecnológicas Huawei y ZTE como proveedores que "presentan riesgos sustanciales más altos" que otros competidores en el sector del 5G y se comprometió entonces a evitar la exposición de sus comunicaciones corporativas al as redes móviles de estas dos compañías chinas.
También respaldó las decisiones de distintos países de la Unión Europea --alrededor de una decena entonces-- que decidieron restringir o excluir a Huawei y ZTE por considerarlos de riesgo, consideró el temor "justificado" y animó al resto de Estados miembro a tomar medidas similares para mitigar los riesgos de exposición de las redes 5G.
Más recientemente, Virkkunen advirtió en una respuesta parlamentaria publicada en septiembre del "riesgo de injerencia extranjera" que planteaba el contrato que el Ministerio del Interior español tuvo con Huawei para el almacenamiento de escuchas telefónicas judiciales del sistema SITEL, porque creaba "potencialmente una dependencia" con un proveedor considerado por la UE como "de alto riesgo" en un sector crítico.
Además de reforzar la protección frente a amenazas extranjeras, la reforma busca simplificar las normas regulatorias, racionalizar la recopilación de datos sobre ataques ransomware y facilitar la supervisión de las entidades transfronterizas con la función de coordinación reforzada de ENISA, agencia que ganará medios para ayudar a las empresas y gobiernos a entender las amenazas y prepararse ante ellas.
Otra de las propuestas de Bruselas apunta reforzar el control de la seguridad de los productos y servicios que llegan a los europeos, para lo que plantea renovar el Marco Europeo de Certificación de la Ciberseguridad (ECCF) para simplificar y aclarar los procedimientos. El objetivo es reducir los procesos de certificación a doce meses por defecto e incluir medidas de transparencia.
