La Comisión Nacional de los Mercados y la Competencia (CNMC) de España emitió su informe con valoración positiva sobre el anteproyecto de ley de ciberseguridad 5G. Sólo pidió aclarar algunos detalles y que sean más específico y sistemático el régimen de sanciones. La normativa toma como referencia reglas que ya corren para el sector y se establece sobre la base de que el desarrollo 5G es “una prioridad” para España y la Unión Europea.
“Esta Comisión valora positivamente el proyecto, ya que refuerza la seguridad de las redes basadas en 5G y, por tanto, de los nuevos servicios que serán prestados por dichas redes, lo que afianzará la transformación digital en múltiples sectores económicos y servicios esenciales para la sociedad”, dice el documento de 31 páginas, que hace énfasis en que “las amenazas cibernéticas pueden comprometer la disponibilidad, integridad y confidencialidad de las redes”.
Generar una ley específica de ciberseguridad para la nueva generación resulta necesario por, agrega, “los sectores económicos a los que dará servicios” y su “complejidad tecnológica” con funciones como la virtualización, computación de borde o segmentación de red. También hace énfasis en que las redes serán “más vulnerables” al requerirse un mayor número de proveedores terceros, personal especializado en nuevas áreas y políticas adecuadas de permisos y control de acceso a recursos de red y mantenimiento de software.
Así, el anteproyecto tiene como propósito establecer requisitos de seguridad específicos para el despliegue y explotación de redes y servicios basados en 5G y, para el regulador, eso se cumple. Las obligaciones están destinadas a operadores, pero también a suministradores de equipos y servicios necesarios para la explotación de redes, fabricantes de equipos y dispositivos conectados a esta red o usuarios corporativos que tengan derecho de uso del dominio público radioeléctrico.
También refiere a la posibilidad de requerir la certificación en elementos de las redes 5G y de “supeditar la comercialización o uso de equipos terminales y dispositivos conectados a la red al cumplimiento de los requisitos esenciales de ciberseguridad que sean conformes a la normativa comunitaria”. Luz verde también para este concepto da el regulador en su informe, que señala en su documento otras hojas de ruta que deberán tenerse en cuenta en la evolución de la tecnología, como el Plan de Acción 5G de la Comisión Europea y la Estrategia España Digital 2025.
Puntos perfectibles
En términos generales, la Comisión propone que se aclaren las definiciones y ámbito de aplicación de los requisitos de seguridad, en concreto, que incluya la delimitación explícita de operadores a los que sería de aplicación la norma; la inclusión de criterios de valoración de todos los riesgos para determinar las medidas más adecuadas según la importancia de cada uno, y la revisión de algunos detalles del régimen sancionador para que sea más detallado y sistemático.
Respecto de los riesgos, la CNMC detalla su pedido: la norma contempla medidas que pueden llegar a prohibir o limitar la actividad en el mercado de suministradores que hayan sido considerados de alto riesgo por el gobierno, dice para luego sugerir que “se incluyan criterios de valoración de las obligaciones de seguridad respecto de su afectación a la competencia, en especial para las medidas que puedan limitar o condicionar el uso de suministradores con un determinado perfil de riesgo”.
Por último, se recomienda “agilizar la aprobación del Esquema de Seguridad para las redes y los servicios 5G, que debe concretar los criterios y condiciones de aplicación de las obligaciones o, en su defecto, aclarar el alcance y concreción de las medidas que puedan ser cumplimentadas sin esperar la aprobación de dicho esquema”, para evitar situaciones de incertidumbre regulatoria.
El informe de la CNMC responde al pedido de pronunciación que recibió el regulador en junio por parte de la Dirección General de Telecomunicaciones y Ordenación de los Servicios de Comunicación Audiovisual.
