Un decreto publicado en las últimas horas convirtió en ley el Plan Nacional de Ciberseguridad en España. Aunque el diálogo para su creación comenzó mucho antes, de hecho el regulador local emitió su informe sobre el documento en diciembre pasado, el gobierno defendió su publicación como parte del plan de respuesta a las consecuencias de la guerra en Ucrania. Contará con un presupuesto de más de mil millones de euros y su foco es 5G.
El plan presenta como objetivos impulsar “una seguridad integral del ecosistema generado por la tecnología 5G”, reforzar la seguridad en la instalación, operación y prestación de los servicios sobre redes de este tipo, promover un mercado de suministradores en las redes y servicios “suficientemente diversificado” para evitar la presencia de entidades de alto riesgo y reforzar la seguridad nacional al tiempo de, dice el texto, fortalecer la industria y las actividades de ciberseguridad relacionadas con 5G.
Entre las motivaciones para avanzar sobre un plan de este tipo, el decreto señala que “para que las redes 5G desarrollen el potencial que encierran, es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a fugas o manipulaciones de datos o comunicaciones”. Sin esa confianza, “5G no producirá los beneficios que se esperan de ella”. La tecnología tiene ventajas de seguridad frente a otras generaciones pero también “riesgos específicos”, se advierte más tarde.
Pero, ¿cuáles son los riesgos que presenta 5G? Entre las definiciones, el decreto expone que aquí riesgo es igual a “toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y servicios 5G”. Luego es más específico: 5G es riesgoso por su “arquitectura de red más compleja, abierta y desagregada, su capacidad para transportar ingentes volumenes de información y por permitir la interacción simultánea de múltiples personas y cosas”.
La ley aplicará a operadores 5G, suministradores 5G y usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público para instalar una red privada de este tipo o prestar servicios para fines profesionales o propios. Ellos deberán “llevar a cabo un tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidad y servicios” a través de un análisis de vulnerabilidad, amenazas y riesgos, indica el plan que da cumplimiento al mandato emitido por el Consejo de Seguridad Nacional.
La información que surja de las investigaciones de los involucrados deberá ser transmitida bajo requerimiento al Ministerio de Asuntos Económicos y Transformación Digital. Será confidencial y no podrá ser usada para fines distintos a los previstos por esta ley. En paralelo, “El Esquema Nacional de Seguridad de Redes y Servicios 5G llevará a cabo un tratamiento integral de la seguridad de redes y servicios”, siguiendo estándares de la Unión Internacional de Telecomunicaciones y otras organizaciones. El documento también da cuenta de que se aplicará en cooperación con las decisiones de la Unión Europea.
Será teniendo en cuenta todos los informes que, en el plazo de tres meses, el gobierno podrá “calificar a determinadas suministradores 5G como de alto riesgo”. Para ello deberá contar con un informe previo del Consejo de Seguridad Nacional y tener una audiencia con los actores involucrados por un plazo no mayor a 15 días hábiles. Por otra parte, “los operadores 5G titulares de una red pública 5G deberán remitir su estrategia de diversificación en la cadena de suministros en un plazo máximo de seis meses”.
El gobierno también valoró otras consecuencias de la publicación de este decreto, entre ellas la creación de la plataforma nacional de notificación y seguimiento de ciber-incidentes, el desarrollo de un sistema integrado de indicadores de ciberseguridad a nivel nacional, más infraestructuras de ciberseguridad en comunidades y ciudades autónomas, mayor adopción de estrategias de defensa por parte de pymes y “un mayor nivel de cultura de ciberseguridad”.
