Bruselas propone obligar a los países a eliminar a Huawei y ZTE de las redes

La Comisión Europea ha presentado este martes una propuesta que lleva a otro nivel su recomendación de excluir de ciertos ámbitos de las redes móviles y fijas a los proveedores de alto riesgo, las ya señaladas chinas Huawei y ZTE. Hasta ahora se trataba de una recomendación que el Ejecutivo comunitario sufría intentando hacer aplicable, como comprobó el equipo de la anterior vicepresidenta Margrethe Vestager con el Gobierno español y el despliegue de las redes 5G. Ahora, con la nueva propuesta, Bruselas confía en poder forzar a las capitales a tomar medidas y eliminar a los proveedores en los tres años siguientes a la publicación de una lista de actores de alto riesgo.

Se trata, eso sí, de una propuesta, y eso significa que todavía puede sufrir modificaciones en el proceso legislativo ordinario, tanto por parte del Parlamento Europeo como del Consejo de la Unión Europea, donde están representados los Estados miembros. España ha seguido cerrando contratos como el de 12,3 millones de euros del ministerio del Interior con Huawei para el almacenamiento de escuchas judiciales. Henna Virkkunen, vicepresidenta ejecutiva a cargo de Soberanía Tecnológica y Seguridad, ya advirtió entonces de que ese contrato aumentaba el riesgo de “injerencia” en asuntos internos españoles.

“La Ley de Ciberseguridad permitirá la reducción obligatoria del riesgo de las redes de telecomunicaciones móviles europeas frente a proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado en el marco del conjunto de herramientas de seguridad 5G”, ha señalado la Comisión Europea. “No estoy satisfecha con cómo los Estados miembros han implementado las herramientas de seguridad 5G (el llamado 5G Toolbox)”, ha admitido Virkkunen en una entrevista que ha ofrecido al portal de noticias europeo Politico.

TE PUEDE INTERESAR

La Seguridad Social defiende su contrato a Huawei para almacenar datos

Borja Negrete

Para el Ejecutivo comunitario se trata de una evolución natural de lo que ya se venía haciendo. “Quizás sea la primera vez que creamos un enfoque obligatorio que se pueda aplicar tanto a países como a entidades extranjeras, pero no es un proceso desconocido, y todo comienza con algo que ya está en la ley, con las evaluaciones de riesgos”, ha explicado una fuente implicada.

“En lo que respecta a las empresas, la retirada gradual de determinados equipos de alto riesgo a lo largo de cinco años podría suponer un coste anual de entre 3.400 y 4.300 millones de euros para los operadores de redes móviles”, señala el documento legal que ha presentado este martes la Comisión. ¿Qué ocurre si las compañías no eliminan a estos proveedores de riesgo? Entonces, Bruselas pide que haya multas que puedan llegar hasta el 7% de su volumen de negocios.

Por otro lado, el Ejecutivo comunitario propone que estas empresas de riesgo no puedan participar en licitaciones públicas de los Estados miembros relacionados con Tecnologías de la Información y la Comunicación (TIC) ni recibir fondos comunitarios. La exclusión afectará a una serie de sectores que han sido identificados como críticos por el Ejecutivo comunitario, como la energía, transporte, banca, infraestructuras de mercados financieros, sanidad, agua potable y residual, infraestructura digital, gestión de servicios TIC, administración pública y espacio.

Ni Huawei ni ZTE son todavía formalmente señalados en el marco de esta propuesta, pero todo el mundo en Bruselas entiende de qué se está hablando. El documento establece una serie de requisitos que harán que ambas compañías entren en la “lista negra” de proveedores de alto riesgo, que serán así calificados si queda demostrado que provienen de un país tercero cuya normativa obliga a estas empresas a informar de vulnerabilidades de seguridad del Estado en el que están operando, y que no están sujetas a mecanismos independientes de control democrático o judicial. También se tendrá en cuenta si el país de origen suele estar detrás de actividades cibernéticas hostiles o si ejerce una influencia decisiva sobre la empresa.

También se amplía sustancialmente la Agencia de Ciberseguridad de la Unión Europea (ENISA). “Proponemos el crecimiento de ENISA, un crecimiento sustancial de más de 100 personas y un crecimiento significativo de su presupuesto en un 75%, más del doble de su presupuesto actual”, ha defendido una fuente comunitaria que ha trabajado en la elaboración de la propuesta. La ENISA ampliará sus poderes haciéndola responsable también de la asistencia a entidades esenciales para que puedan prepararse, responder y recuperarse de incidentes significativos, especialmente ataques de ransomware, será punto de entrada único para notificar incidentes y también elaborará alertas públicas de amenazas.