IMPRIMIR

La Comisión anuncia las próximas medidas en materia de ciberseguridad de las redes 5G como complemento del último informe de situación de los Estados miembros*

19.06.2023 Equipo de prensa e información de la Delegación de la UE en Chile

Los Estados miembros de la UE, con el apoyo de la Comisión Europea y de ENISA (la Agencia de la UE para la Ciberseguridad) han publicado hoy un segundo informe de situación sobre la aplicación del conjunto de instrumentos de la UE para la seguridad de las redes 5G. Este informe también se refiere a algunas de las recomendaciones del Informe Especial del Tribunal de Cuentas Europeo de enero de 2022. Como complemento del informe de situación, la Comisión ha adoptado hoy una Comunicación sobre la aplicación del conjunto de instrumentos por parte de los Estados miembros y en las propias actividades de comunicación corporativa y financiación de la UE.

Por lo que se refiere a las medidas estratégicas y, en concreto, a la imposición de restricciones a los proveedores de alto riesgo, el informe de situación indica que veinticuatro Estados miembros han adoptado o están preparando medidas legislativas que otorgan a las autoridades nacionales competencias para llevar a cabo una evaluación de los proveedores e imponer restricciones. De ellos, diez Estados miembros han impuesto tales restricciones y tres Estados miembros están trabajando en la aplicación de la legislación nacional pertinente. Dada la importancia de la infraestructura de conectividad para la economía digital y la dependencia de muchos servicios críticos de las redes 5G, los Estados miembros deben terminar de aplicar sin demora el conjunto de instrumentos.

La Comisión señala en su Comunicación su profunda preocupación por los riesgos que presentan para la seguridad de la Unión determinados proveedores de equipos de comunicación de redes móviles. La Comisión considera justificadas y conformes con el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G las decisiones adoptadas por los Estados miembros de excluir a Huawei y ZTE de las redes 5G o de imponerles restricciones a ese respecto. En consonancia con estas decisiones, y sobre la base de una variada información disponible, la Comisión considera que Huawei y ZTE presentan de hecho riesgos sustancialmente más elevados que otros proveedores de redes 5G.

Comunicación de la Comisión sobre la aplicación del conjunto de instrumentos

La seguridad de las redes 5G es una prioridad fundamental para la Comisión y un componente esencial de su Estrategia para una Unión de la Seguridad, ya que son una infraestructura central que sostiene una amplia gama de servicios esenciales para el funcionamiento del mercado interior y el mantenimiento y explotación de actividades sociales y económicas vitales. Esta cuestión es fundamental para la soberanía, la autonomía estratégica y la resiliencia de la Unión. En su Comunicación adoptada hoy, la Comisión toma nota y se congratula de la adopción por parte del Grupo de Cooperación SRI del segundo informe de situación sobre la aplicación del conjunto de instrumentos de la UE.

Sin perjuicio de las competencias de los Estados miembros en materia de seguridad nacional, la Comisión también ha aplicado los criterios del conjunto de instrumentos para evaluar las necesidades y vulnerabilidades de sus propios sistemas de comunicación institucional y de las demás instituciones, órganos y organismos europeos, además de la ejecución de los programas de financiación de la Unión a la luz de los objetivos políticos generales de la Unión. Basándose en su propia evaluación, que coincide con la de determinados Estados miembros, la Comisión insta a los Estados miembros que aún no han aplicado el conjunto de instrumentos a que adopten urgentemente las medidas pertinentes recomendadas en él, a fin de hacer frente de manera eficaz y rápida a los riesgos que plantean los proveedores identificados.

Como parte de su política institucional en materia de ciberseguridad, y en aplicación del conjunto de instrumentos de la UE para la seguridad de las redes 5G, la Comisión adoptará medidas para evitar sus comunicaciones corporativas queden expuestas a redes móviles que tengan a Huawei y ZTE como proveedores. También adoptará las medidas de seguridad pertinentes para no adquirir nuevos servicios de conectividad que se basen en los equipos de esos proveedores, y colaborará con los Estados miembros y los operadores de telecomunicaciones para velar por que esos proveedores vayan siendo retirados progresivamente de los servicios de conectividad existentes en los centros de la Comisión.

La Comisión también tiene previsto recoger esta decisión en todos los programas e instrumentos de financiación pertinentes de la UE.

Segundo informe de situación sobre el conjunto de instrumentos de la UE para la seguridad de las redes 5G

El informe, adoptado por los Estados miembros, indica que se han registrado nuevos avances en la aplicación de las medidas fundamentales del conjunto de instrumentos de la UE desde el primer informe de situación de julio de 2020. La inmensa mayoría de los Estados miembros ha reforzado los requisitos de seguridad de las redes 5G sobre la base del conjunto de instrumentos de la UE, o los están reforzando. No obstante, a pesar de los progresos registrados, el informe considera que esta situación crea un riesgo claro de que siga dependiendo de proveedores de alto riesgo en el mercado interior, lo que podría tener graves repercusiones negativas en la seguridad de los usuarios y las empresas de toda la UE y en las infraestructuras críticas de la Unión.

El informe formula recomendaciones para que los Estados miembros hagan lo siguiente:

  • Velar por recibir de los operadores móviles información completa y detallada acerca de los equipos de redes 5G actualmente desplegados y de sus planes para desplegar o adquirir nuevos equipos.
  • Al analizar el perfil de riesgo de los proveedores, los Estados miembros deben tener en cuenta los criterios objetivos recomendados en el conjunto de instrumentos de la UE. A este respecto, es evidente que los proveedores de redes 5G presentan claras diferencias en sus características, en particular en lo que se refiere a la probabilidad de verse influidos por determinados terceros países que tienen leyes de seguridad y gobernanza empresarial que pueden representar un peligro para la seguridad de la Unión. Además, deben tenerse en cuenta las designaciones realizadas por otros Estados miembros en materia de proveedores de alto riesgo, con vistas a promover la coherencia y un alto grado de seguridad en toda la Unión.
  • Partiendo del análisis efectuado de los proveedores, los Estados miembros deben imponer restricciones a los que presenten alto riesgo sin demora, teniendo en cuenta que una pérdida de tiempo puede aumentar la vulnerabilidad de las redes en la Unión y la dependencia de la Unión de proveedores de alto riesgo, especialmente en el caso de los Estados miembros con una alta presencia de proveedores que pueden presentar un gran peligro.
  • Para reducir efectivamente los riesgos, los Estados miembros deben velar por que las restricciones contemplen los activos críticos y muy sensibles identificados en la evaluación coordinada de riesgos de la UE, incluidas las redes de acceso radioeléctrico.
  • En el caso de los tipos de equipos sujetos a las restricciones, los operadores no deben estar autorizados a instalar equipos nuevos. Si se permiten períodos transitorios para la retirada de los equipos existentes, tales períodos tendrán una duración determinada para garantizar la retirada de los equipos existentes en el plazo más breve posible, teniendo en cuenta el peligro para la seguridad que entraña mantener los equipos de proveedores de alto riesgo, y no deben servir para facilitar que se sigan desplegando nuevos equipos de esos proveedores.
  • Aplicar restricciones a los proveedores de servicios gestionados y, en caso de que las funciones se externalicen a esos proveedores, imponer disposiciones de seguridad reforzadas en torno al acceso que se les dé.
  • Seguir debatiendo la aplicabilidad de las medidas relacionadas con la diversificación de los proveedores y la mejor manera de velar por que cualquier posible diversificación no dé lugar a riesgos nuevos o mayores para la seguridad, sino que contribuya a la seguridad y la resiliencia.
  • Aplicar medidas técnicas y garantizar un alto grado de supervisión. Debe prestarse especial atención a determinadas medidas, sobre todo la garantía de la aplicación de los requisitos básicos de seguridad, normas más estrictas de seguridad en los procesos de los proveedores a través de unas condiciones de contratación rigurosas y garantía de una gestión, explotación y vigilancia seguras de las redes 5G.

Contexto

El conjunto de instrumentos de la UE para la seguridad de las redes 5G (conjunto de instrumentos de la UE), que publicaron en enero de 2020 las autoridades de los Estados miembros (Grupo de Cooperación SRI) con el apoyo de la Comisión y de ENISA, tiene por objeto abordar los riesgos relacionados con la ciberseguridad de las redes 5G. Define y describe un conjunto de medidas estratégicas y técnicas, y las correspondientes medidas de apoyo para reforzar su eficacia, que podrían aplicarse para reducir los riesgos definidos en el informe sobre una evaluación coordinada de riesgos a escala de la UE de la ciberseguridad de las redes 5G, que se basó en evaluaciones nacionales de riesgos.

La Comisión y los Estados miembros han refrendado el conjunto de instrumentos y sus recomendaciones fundamentales al más alto nivel. En octubre de 2020, el Consejo Europeo pidió a la Unión y a los Estados miembros que aprovecharan al máximo el conjunto de instrumentos para la seguridad de las redes 5G que se adoptó el 29 de enero de 2020 y, en particular, que aplicaran las restricciones pertinentes a los proveedores que se consideren de alto riesgo para recursos clave definidos como críticos y sensibles en la evaluación coordinada de riesgos de la Unión. En su Recomendación de diciembre de 2022, el Consejo de la UE reiteró que «es importante que los Estados miembros logren la aplicación de las medidas recomendadas en el conjunto de instrumentos de la UE sobre ciberseguridad de las redes 5G y, en particular, que los Estados miembros apliquen restricciones a los proveedores de alto riesgo, teniendo en cuenta que la pérdida de tiempo puede aumentar la vulnerabilidad de las redes en la Unión».

En julio de 2020 se publicó un primer informe sobre los progresos de los Estados miembros en la aplicación del conjunto de instrumentos de la UE. Su conclusión fue que se habían tomado medidas concretas para aplicar el conjunto de instrumentos de la UE. Numerosos Estados miembros ya habían adoptado o estaban muy avanzados en la preparación de medidas de seguridad más avanzadas en materia de ciberseguridad de las redes 5G. En su Informe Especial de enero de 2022, el Tribunal de Cuentas concluyó que, desde la adopción del conjunto de instrumentos de la UE, se había progresado en el refuerzo de la seguridad de las redes 5G. Sin embargo, el Tribunal también señaló que los Estados miembros aplicaban métodos distintos en relación con el uso de equipos de proveedores de alto riesgo o el alcance de las restricciones.

Más información

Comunicación de la Comisión sobre la aplicación del conjunto de instrumentos de la UE para la seguridad de las redes 5G

Segundo informe de situación sobre el conjunto de instrumentos de la UE para la seguridad de las redes 5G

Políticas de la UE en materia de ciberseguridad

Conjunto de instrumentos de la UE para la seguridad de las redes 5G

*Actualizado el 13.6.2023.

Cita(s)

Necesitamos nuevas medidas urgentes acordes con el conjunto de instrumentos de la UE. En concreto, hay que adoptar las restricciones necesarias aplicables a los proveedores de alto riesgo, a fin de garantizar la seguridad de las infraestructuras críticas de la Unión. Si bien algunos Estados miembros han registrado progresos, el informe de hoy indica que aún no estamos donde tenemos que estar. La Comisión está haciendo lo necesario para garantizar la seguridad en sus propias redes e instrumentos de financiación.

Margrethe Vestager, vicepresidenta ejecutiva responsable de Una Europa Adaptada a la Era Digital - 14/06/2023

 

Este informe deja claro que es una prioridad urgente que las autoridades nacionales ultimen sus esfuerzos por aplicar plenamente las medidas del conjunto de instrumentos de la UE para la seguridad de las redes 5G a el fin de preservar la seguridad colectiva de la UE. Hacerlo y, en particular, identificar a los proveedores de 5G de alto riesgo y restringir su acceso son esenciales para sellar la infraestructura de la Unión de la Seguridad.

Margaritis Schinas, vicepresidente responsable de Promoción de nuestro Modo de Vida Europeo - 14/06/2023

 

Hemos sido capaces de reducir o eliminar nuestras dependencias en otros sectores, como la energía, en un tiempo récord, cuando muchos pensaban que era imposible. La situación en relación con las redes 5G no debe ser diferente. No podemos permitirnos mantener dependencias críticas que podrían convertirse en un «arma» contra nuestros intereses. Esto representaría una vulnerabilidad demasiado crucial y un riesgo grave para nuestra seguridad común. Por eso pido a todos los Estados miembros y a los operadores de telecomunicaciones que adopten sin más demora las medidas necesarias.

Thierry Breton, comisario responsable de Mercado Interior - 14/06/2023