Claves de la Ley de Ciberseguridad 5G

  • TECNOLOGÍAS

El Gobierno de España aprobó el Real Decreto de Ciberseguridad 5G, una nueva normativa que legislará y regulará las acciones de los operadores de telecomunicaciones en esta tecnología de nueva generación.

Se esperaba como una Ley, pero se aprobó como Real Decreto porque, según explica el texto, “el conflicto (la invasión rusa de Ucrania) está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos”.

El caso es que la Ley de Ciberseguridad 5G es ya es un hecho. Una normativa que el Gobierno considera esencial, dado que la nueva arquitectura de red es “más compleja, abierta y desagregada” que la anterior y permite una mayor “capacidad para transportar volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas”.

El Ejecutivo también recalcó que 5G tiene un componente muy importante basado en sistemas informáticos y de servicios proporcionados por proveedores externos a los operadores, lo que genera una dependencia que “podría aumentar el nivel de riesgo al que se está expuesto”, por lo que se someterá a los operadores de telecomunicaciones y a sus proveedores a “estrictos controles de seguridad” para “garantizar su fiabilidad técnica y su independencia de injerencias externas”.

En la norma, el Gobierno pide directamente a los operadores que se ponga en marcha una estrategia de diversificación de proveedores para minimizar los riesgos con, al menos, dos suministradores por red. De hecho, ya está planeada la elaboración próxima de un listado de proveedores que se consideren seguros y, en un plazo de hasta tres meses, otro listado de proveedores de alto riesgo.

Esquema nacional de seguridad de redes y servicios 5G
Para gestionar el listado de proveedores, la seguridad de cada uno y de las propias redes de los operadores, el Gobierno establecerá el Esquema Nacional de Seguridad de redes y servicios 5G, que será la entidad directamente responsable de gestionar las autorizaciones y los certificados en base a la regulación aprobada y a los aspectos técnicos.

La normativa fija, además, la obligación de que los suministradores de equipos de telecomunicaciones que deseen superar las pruebas, y por tanto trabajar en el mercado español, deberán “proporcionar la información que sea necesaria” para facilitar el trabajo del organismo.

Además, a través de esta entidad se gestionarán las líneas de ayuda pública a la I+D+i en materia de seguridad en la redes y servicios 5G, y para la formación de personal especializado.

Aspectos de la red a analizar cada dos años
El Gobierno ha señalado ya una serie de aspectos que serán objeto de debate y de análisis para evaluar sus riesgos. En concreto, se refiere a los elementos e infraestructuras del core de la red; las funciones de transporte y transmisión de datos; la red de acceso; los sistemas de control y gestión y los servicios de apoyo; las funciones de edge computing, virtualización de red y gestión de sus componentes; y todos los elementos relativos a intercambios de tráfico con redes externas e Internet.

Sin embargo, desde el Ejecutivo se matiza que los aspectos más críticos son el core de la red, los sistemas de control y gestión y los servicios de apoyo, y la red de acceso en aquellas zonas geográficas y ubicaciones que se determine.

Para llevar a cabo este análisis, los operadores tendrán que estudiar no sólo sus redes, sino también las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que emplean. Este análisis se tendrá que realizar cada dos años.

Por otro lado, la norma fija asimismo que los proveedores y los usuarios corporativos (redes privadas 5G) tendrán que llevar a cabo análisis propios de riesgos.