España │ Informe de la CNMC sobre el Anteproyecto de Ley de Ciberseguridad para las tecnologías 5G

Impulso de la CNMC a la regulación proyectada para garantizar la seguridad de las redes y servicios 5G

España │ Informe de la CNMC sobre el Anteproyecto de Ley de Ciberseguridad para las tecnologías 5G
28 de diciembre de 2021

La Comisión Nacional de los Mercados y la Competencia (CNMC) valora positivamente en su Informe la iniciativa legislativa iniciada con el Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, cuyo objetivo principal es reforzar la seguridad de las redes 5G y cuyo contenido analizamos en una anterior entrada, disponible aquí.

Tal y como describe la Comisión en su informe, las tecnologías 5G dependen cada vez más de software abierto que, si bien permite más funcionalidades, también las hace más vulnerables.

En este sentido, la CNMC considera que dada la urgente necesidad de continuar con el despliegue de las redes 5G y de que dicho despliegue se haga con las garantías de seguridad suficientes, la aprobación del Anteproyecto debe realizarse con la máxima celeridad posible.

Resumimos a continuación los principales comentarios realizados por la CNMC en relación con el articulado del Anteproyecto.

Requisitos de seguridad

En relación con los requisitos de seguridad que deberán cumplir los actores de la cadena de valor de la prestación de servicios 5G (operadores, fabricantes de dispositivos conectados y usuarios corporativos), la CNMC considera que debería:

• incluirse un deber de colaboración de suministradores con los operadores para que estos puedan dar cumplimiento a todas las obligaciones de seguridad que les impone el Anteproyecto; y

• modificarse el ámbito de aplicación del Anteproyecto para los fabricantes, comercializadores de equipos terminales y dispositivos conectados dado que el Anteproyecto no especifica las obligaciones sino que se hace una remisión al Esquema de seguridad para el desarrollo.

Definiciones de conceptos clave

Respecto a las definiciones de los conceptos clave para la determinación del ámbito de aplicación del Anteproyecto, la CNMC recomienda cuanto sigue:

Operador: se recomienda clarificar dicho concepto para asegurar que no da lugar a ambigüedades y garantizar la aplicación de las correspondientes medidas de seguridad. Asimismo, la CNMC propone que se tengan en cuenta las diferentes funcionalidades de las tecnologías 5G, y se establezcan medidas de seguridad proporcionadas de acuerdo con dichas funcionalidades, teniendo en cuenta que será mucho mayor el impacto una incidencia de seguridad en relación con servicios esenciales o críticos, que en relación con el acceso a internet de usuarios residenciales.

Suministradores y fabricantes de dispositivos: se recomienda limitar dichos conceptos a aquellos suministradores y fabricantes de dispositivos que estén estrictamente ligados a los componentes y funciones esenciales de las redes 5G, en lugar de la definición general actual que incluye todos aquellos equipos de telecomunicación.

Usuarios corporativos: la CNMC recomienda especificar si existirán medidas de seguridad adicionales sobre estos actores, que serán desarrolladas en el Esquema de seguridad, intentando reducirlas a las mínimas imprescindibles en función de su calificación como operadores críticos u operadores de servicios esenciales.

Análisis de riesgo y medidas de seguridad

Respecto a los artículos 6 y 8 del Anteproyecto relativos al análisis de riesgo y las medidas de seguridad a implementar, la CNMC recomienda incluir los criterios de valoración de los riesgos en el propio texto del Anteproyecto –esto es, sin dejar que dichos factores sean determinados posteriormente por el Esquema de seguridad– así como que se introduzcan los plazos específicos en los que cada una de las medidas de seguridad deberán ser aplicadas.

Obligaciones de información

En relación con las obligaciones de información periódica al Ministerio competente, la CNMC recomienda establecer el plazo de periodicidad para la remisión de dicha información, así como la determinación del plazo para la primera remisión de dicha información.

Nivel de riesgo de los suministradores

En relación con la calificación del nivel de riesgo de los suministradores, la CNMC recomienda que se incluyan con claridad y a la mayor brevedad posible todas las condiciones relevantes para dicha determinación, así como de las medidas de seguridad que les corresponde implementar. Asimismo, recomienda establecer un procedimiento de revisión del nivel de riesgo de los suministradores.

Afectación a la competencia

En relación con la potencial afectación a la competencia de la aprobación del Anteproyecto, la CNMC propone incorporar la obligación de analizar y valorar el potencial impacto desde el punto de vista competitivo, que debería tenerse en cuenta por la autoridad competente al establecer las obligaciones de seguridad que se determinen por el Esquema de seguridad.

Diversificación de suministradores

Por lo que se refiere a la obligación de diversificación de suministradores, cuyo objetivo es reforzar la seguridad de las redes 5G, si bien la Comisión apoya la introducción de esta obligación, recomienda que se apoye la investigación en ciberseguridad 5G para que la oferta en el mercado permita la diversificación exigida por la normativa.

Sanciones

Finalmente, por lo que se refiere al régimen sancionador del Anteproyecto, la CNMC recomienda que dicho régimen sea más detallado, sistemático y coherente con el previsto o que se prevé regular en la Ley General de Telecomunicaciones, dado que el régimen sancionador de esta Ley será el régimen aplicable con carácter general.

Conclusión

En conclusión, la valoración realizada por la Comisión es positiva ya que se refuerza la seguridad de las redes 5G más allá de lo exigido a nivel europeo, sin perjuicio de considerar que la implementación de las recomendaciones realizadas en el Informe son necesarias para garantizar la coherencia y aplicabilidad del Anteproyecto.


28 de diciembre de 2021