Desgranando la nueva Ley de Ciberseguridad 5G

Se esperaba como una Ley, pero se aprobó como Real Decreto porque, según explica el texto, “el conflicto (la invasión rusa de Ucrania) está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos”.

El caso es que la Ley de Ciberseguridad 5G es ya es un hecho. Una normativa que el Gobierno considera esencial, dado que la nueva arquitectura de red es “más compleja, abierta y desagregada” que la anterior y permite una mayor “capacidad para transportar volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas”.

El Ejecutivo también recalcó que 5G tiene un componente muy importante basado en sistemas informáticos y de servicios proporcionados por proveedores externos a los operadores, lo que genera una dependencia que “podría aumentar el nivel de riesgo al que se está expuesto”, por lo que se someterá a los operadores de telecomunicaciones y a sus proveedores a “estrictos controles de seguridad” para “garantizar su fiabilidad técnica y su independencia de injerencias externas”.

En la norma, el Gobierno pide directamente a los operadores que se ponga en marcha una estrategia de diversificación de proveedores para minimizar los riesgos con, al menos, dos suministradores por red. De hecho, ya está planeada la elaboración próxima de un listado de proveedores que se consideren seguros y, en un plazo de hasta tres meses, otro listado de proveedores de alto riesgo.

Esquema nacional
El Gobierno establecerá el Esquema Nacional de Seguridad de redes y servicios 5G para gestionar correctamente el listado de proveedores, la seguridad de cada uno y de las propias redes de los operadores, de modo que cada entidad será directamente responsable las autorizaciones y los certificados que otorga, en base a la regulación aprobada y a los aspectos técnicos.

El texto fija, además, que los suministradores de equipos de telecomunicaciones que deseen superar las pruebas, y por tanto trabajar en el mercado español, deberán “proporcionar la información que sea necesaria” para facilitar el trabajo del organismo.

Además, a través de la entidad, se gestionarán las líneas de ayuda pública a la I+D+i en materia de seguridad en la redes y servicios 5G, así como la formación de personal especializado.

Análisis bianual
El Gobierno ha marcado los aspectos que, a su juicio, serán objeto de debate y de análisis para evaluar sus riesgos. En concreto, los elementos e infraestructuras del core de la red; las funciones de transporte y transmisión de datos; la red de acceso; los sistemas de control y gestión y los servicios de apoyo; las funciones de edge computing, virtualización de red y gestión de sus componentes; y todos los elementos relativos a intercambios de tráfico con redes externas e Internet.

De todos los citados, los más críticos son el core de la red, los sistemas de control y gestión y los servicios de apoyo, y la red de acceso en aquellas zonas geográficas y ubicaciones que se determine. Estos deberán ser analizados cada dos años por los operadores, que tendrán que estudiar no sólo sus redes, sino también las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que emplean.