El futuro de la Ciberseguridad con la llegada del 5G

2021-05-05T15:27:00

La evolución hacia la conocida como quinta generación de las comunicaciones móviles o 5G plantea numerosos retos tanto a nivel tecnológico como legal. Muestra de ello es el proceso iniciado con el Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (en adelante, el “Anteproyecto de Ley”) que ya ha sido sometido a consulta pública y se encuentra actualmente en trámites de elaboración para su ulterior tramitación ante las Cortes.

El futuro de la Ciberseguridad con la llegada del 5G
5 de mayo de 2021

La evolución hacia la conocida como quinta generación de las comunicaciones móviles o 5G plantea numerosos retos tanto a nivel tecnológico como legal. Muestra de ello es el proceso iniciado con el Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación (en adelante, el “Anteproyecto de Ley”) que ya ha sido sometido a consulta pública y se encuentra actualmente en trámites de elaboración para su ulterior tramitación ante las Cortes.

Dicho texto ha sido desarrollado para dar respuesta a las necesidades de garantizar la confianza y seguridad en las redes de 5G que, aunque cuentan con ciertas ventajas comparativas respecto a anteriores tecnologías, también tienen determinados riesgos derivados de sus especificaciones técnicas que generan nuevos retos para la seguridad de esta tipología de redes. El Anteproyecto de Ley se plantea como una norma de carácter complementario o adicional a las ya existentes leyes y regulaciones tanto en materia de telecomunicaciones como de ciberseguridad.

En concreto, el texto propuesto define su objeto como el establecimiento de los “requisitos de seguridad para el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas basados en la tecnología 5G”. En este contexto, está previsto que el Anteproyecto de Ley, una vez aprobado, sea aplicable a los siguientes agentes intervinientes en el mercado:

  • operadores”: entendidos como aquellas personas físicas o jurídicas que explotan redes y los prestadores de servicios de comunicaciones electrónicas basados total o parcialmente en redes 5G;
  • suministradores”: entendidos como los suministradores de software y hardware y los proveedores de servicios para el funcionamiento de las redes y servicios 5G;
  • fabricantes” entendidos como las personas que pongan en el mercado terminales y dispositivos conectados; y
  • usuarios corporativos” entendidos como aquellas personas físicas o jurídicas que utilicen o soliciten servicios 5G que no estén disponibles para el público, para fines profesionales;

En este sentido, vemos que el Anteproyecto de Ley tiene un carácter ambicioso y pretende establecer obligaciones no solo a los operadores de servicios de telecomunicaciones, sino también a aquellos subministradores de software o hardware, fabricantes de equipos y/o terminales que tengan por objetivo la prestación de servicios mediante el funcionamiento del 5G.

Asimismo, se prevé la aprobación por parte del Gobierno, mediante real decreto, del denominado “Esquema de seguridad de las redes y servicios 5G”, que deberá abordar los aspectos más relevantes en términos de vulnerabilidades y riesgos de esta tipología de redes y servicios.

Dicho Esquema de seguridad servirá para, entre otros aspectos, evaluar las medidas de seguridad aplicadas para mitigar los riesgos puestos de manifiesto en los análisis correspondientes. El referido Esquema será objeto de revisión cada 6 años.

En este sentido, de entre las obligaciones más destacables que se proponen en el Anteproyecto se incluye la obligación de los operadores de supervisar las prácticas de seguridad de sus subministradores -supervisión que deberá realizarse, como mínimo, cada 2 años-, así como la de establecer una estrategia de diversificación de dichos subministradores. Todo ello, deberá ser reportado de forma periódica al Ministerio de Asuntos Económicos y Transformación Digital.

Asimismo, se prevén diversas obligaciones aplicables no solo a los operadores de las redes 5G, sino también a los suministradores o fabricantes;

  • Obligaciones de carácter técnico consistentes en, entre otras, restricciones en relación con la ubicación de determinados centros de gestión de red y de seguridad, el cumplimiento de especificaciones técnicas o de esquemas europeos de certificación de productos, servicios o sistemas), etc.;
  • Obligaciones de auditoría y control externo que serán aplicables tanto para los operadores como para los suministradores; y
  • Obligaciones de implementación de planes y medidas de contingencia ante incidencias que puedan producirse.

Finalmente, en cuanto al régimen sancionador previsto por el Anteproyecto, cabe mencionar que se establecen distintos rangos de infracciones y sanciones que podrán oscilar entre la amonestación o multa de hasta 50.000€ (por la comisión de infracciones leves) hasta la multa de hasta 20.000.000€ (por la comisión de infracciones graves).

Autora: Mònica Ferrer

5 de mayo de 2021