España | Convalidación del Real Decreto-ley sobre ciberseguridad para las redes 5G

El Real Decreto-ley 7/2022 establece requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas 5G

España | Convalidación del Real Decreto-ley sobre ciberseguridad para las redes 5G
9 de mayo de 2022

En el BOE del jueves 5 de mayo se publicó el acuerdo de convalidación del Real Decreto-ley 7/2022 sobre los requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas 5G. La extraordinaria y urgente necesidad preceptiva para la aprobación de dicha regulación mediante la figura del Real Decreto-ley se justificó, entre otras razones, por la agresión militar de Rusia a Ucrania, que ha producido un incremento sustancial del riesgo de ciberataques por motivos geoestratégicos.

Hemos seguido de cerca este desarrollo normativo en nuestros anteriores artículos sobre el Anteproyecto de Ley de Ciberseguridad para las tecnologías 5G y el Informe de la CNMC sobre este Anteproyecto. En esta entrada veremos las principales novedades que se han introducido en el texto finalmente publicado y ya convalidado.

En primer lugar, tomando en consideración las recomendaciones del Informe de la CNMC, se clarifican y concretan las definiciones contenidas en su Artículo 3, sobre todo respecto a los agentes a los cuales les es de aplicación esta regulación:

> Operador 5G: se perfecciona la definición clarificando que un operador 5G será no solo aquella persona física o jurídica que explota redes sino también aquellos que instalan y despliegan redes públicas 5G. Asimismo, se incluye a los prestadores de servicios 5G que estén disponibles al público, total o parcialmente, y hayan notificado al Registro de operadores el inicio de su actividad o estén inscritos en el Registro de operadores. 

> Suministrador 5G: en la definición inicial contenida en el proyecto de Ley se diferenciaba entre suministradores (como aquellos que suministraban hardware y software y los proveedores de servicios 5G) y fabricantes (cuya definición concreta no estaba presente, y se les identificaba como aquellos “que pongan en el mercado equipos terminales y dispositivos conectados”). El Informe de la CNMC estableció que era esencial limitar los conceptos en vez de usar una definición general. En este sentido, el texto definitivo ha unificado estas dos categorías determinando un concepto amplio de suministrador 5G que incluya al fabricante, representante autorizado, importador, distribuidor, prestador de servicios lógicos o a cualquier otra persona física o jurídica que esté sujeta a obligaciones en relación con la fabricación de productos, su comercialización o puesta en servicio, a los suministradores de hardware y software y a los proveedores de servicios auxiliares 5G. 

> Usuario corporativo 5G: si bien el proyecto definía al usuario corporativo como aquella persona física o jurídica que utiliza o solicita servicios 5G, el texto definitivo amplía dicho concepto, definiéndolo como, cualquier persona física o jurídica que instala, despliega o explota redes privadas 5G o presta servicios 5G a través, total o parcialmente, de las redes 5G, para fines profesionales o en régimen de autoprestación.

Además, también se añaden los conceptos definidos de riesgo y de seguridad que permitirán a los actores obligados por la normativa tener una mayor claridad para implementar las acciones preventivas necesarias.

En segundo lugar, el texto definitivo diferencia el análisis de riesgos que cada uno de los actores debe realizar. En este sentido, se añaden factores para tener en cuenta en la realización de los análisis de riesgo por los operadores 5G, tales como las políticas de integridad y actualización de los programas informáticos, las estrategias de permisos de acceso a activos físicos y lógicos, los agentes externos, equipos terminales y dispositivos conectados a la red, la interrelación con otros servicios esenciales para la sociedad, entre otros.

Además, si bien inicialmente las obligaciones se presentaban en conjunto para todos los actores sujetos a la normativa, en el redactado final se dividen las obligaciones específicas que cada agente tiene en cuanto a la gestión de la seguridad. Sin perjuicio de ello, se establece una obligación general de adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de sus servicios.

En tercer lugar, se prevé que el Gobierno pueda calificar que determinados suministradores 5G son de alto riesgo. Para ello, el Gobierno tendrá en cuenta: (i) las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios; así como (ii) su exposición a injerencias externas. Por otro lado, aquellos suministradores de alto riesgo cuyos equipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única y exclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación serán calificados como suministradores de riesgo medio.

Respecto al régimen sancionador, el Anteproyecto presentaba un régimen propio, pero atendiendo a la recomendación del Informe de la CNMC, el texto definitivo ha unificado dicho régimen con el establecido en la Ley General de Telecomunicaciones. 

9 de mayo de 2022