El pasado 22 de junio de 2022, se celebró en Fide la Sesión Claves regulatorias, geoestratégicas y económicas del RD-Ley 7/2022 sobre Ciberseguridad del 5G. Participaron en el debate: Lorenzo Avello López (Subdirector General de Ordenación de las Telecomunicaciones), Elena de la Calle Vian (Consejera Técnica del Departamento de Seguridad Nacional-Gabinete de Presidencia del Gobierno), José Ángel Capote Molina (Director de Marketing y Estrategia de Red de la Unidad de Negocio de Operadores en Huawei España) y Alberto Moreno Rebollo (Director de Regulación en Telefónica España) con la moderación de Javier Fernández-Samaniego (Socio Director de Samaniego Law y Miembro del Consejo Académico de Fide).
El núcleo del debate fue, tanto por criterios de actualidad como por transcendencia no sólo para los operadores y suministradores de 5G, sino para los usuarios corporativos de 5G y también para quienes pongan en el mercado y comercialicen equipos terminales y dispositivos para conectarse a una red 5G ; la aprobación, con fecha de 30 de marzo de 2022, del RD-Ley 7/2022 sobre seguridad de las redes y servicios 5G, convalidado por el Congreso en abril de 2022, y la discusión sobre su futuro desarrollo reglamentario mediante el Esquema Nacional de Seguridad de redes y servicios 5G o “Esquema”.
Precisamente, la primera parte de la sesión giró acerca de la forma (Real Decreto-ley) y momento de aprobación del RD-Ley 7/2022 y la concurrencia de las circunstancias de extraordinaria y urgente necesidad que el artículo 86 de la Constitución exige para esta habilitación gubernamental. A tal respecto, Elena de la Calle explicó que la motivación fundamental para este hecho, que se recoge en el propio RD-ley, ha sido el incremento considerable del riesgo de ciberataques por motivos geoestratégicos, que se ha producido tras el estallido de la Guerra de Ucrania que, como recordó, muchos expertos consideran que es una guerra que se está librando también en el quinto dominio de operaciones donde puede librarse una guerra: el ciberespacio. Por la especial trascendencia de las redes 5G (que, por primera vez, servirán de plataforma común para servicios digitales muy diversos en los que la gran parte de la sociedad se apoyará), el riesgo de lanzamiento de ciberataques con objetivo en estas redes requería emprender acciones a la mayor brevedad. Elena de la Calle puso de manifiesto que el incremento del riesgo ha sido puesto de relieve por la Agencia Europea para la Ciberseguridad (ENISA) y por distintas Agencias de Ciberseguridad tanto europeas como de terceros países, especialmente por CISA, la Agencia estadounidense. En España también se ha constatado este incremento del riesgo y se ha venido trabajando en la implementación de una serie de medidas de seguridad y recomendaciones que las autoridades competentes han remitido a sus comunidades de referencia con motivo del conflicto. Añadía, Lorenzo Avello, que a pesar de lo súbito de su aprobación el texto definitivo, que pasó a convertirse de anteproyecto de ley a RD-Ley, bebe de las opiniones vertidas, durante el periodo de consulta pública, por los distintos protagonistas del sector. Todo el panel estuvo de acuerdo en que el texto definitivo es técnicamente superior que el anteproyecto de ley precedente.
A continuación, el moderador recordó que esa misma semana (20 de junio de 2022) había concluido el plazo de la consulta pública del Esquema que Lorenzo Avello confirmó que sería un reglamento de desarrollo de la ley omnicomprensivo y con un carácter muy operativo y técnico. Preguntado por la cierta asincronía que podía derivarse de los distintos plazos previstos en las disposiciones (recuérdese que la D.A.3ª establece la posibilidad de que en 3 meses se puedan calificar determinados suministradores como de alto riesgo y, sin embargo, el plazo previsto por la D.F. 3ª para aprobar el desarrollo reglamentario es de 6 meses -hasta el próximo 30 de septiembre de 2022-), confirmó que es probable que ese plazo de 3 meses se retrase.
Entrando en aspectos operativos del RD-Ley, Lorenzo Avello comentó una importante novedad introducida por el RD-Ley, el reparto más lógico de las obligaciones entre operadores, suministradores y usuarios corporativos (los equipos terminales y dispositivos conectados no son objeto de regulación específica en el texto, ya que existe una normativa que los regula). Asimismo, manifestó, que el texto original del Anteproyecto de ley depositaba, quizás, demasiada carga de responsabilidad en los operadores de redes; a quienes imponía el grueso de las obligaciones de seguridad. Coincidían los panelistas en que el nuevo marco normativo respondía mejor a la situación actual del mercado.
En lo que se refiere al impacto del RD-Ley 7/2022, Alberto Moreno Rebollo señaló que desde el punto de vista de los operadores su aprobación responde a las necesidades del mercado. En su opinión recoge una visión más holística de la seguridad que se ajusta mejor al tratamiento de esta por los operadores. Añadía que, a pesar de su novedad, el RD-Ley no añade obligaciones sustancialmente distintas a las que ya acometen los operadores de redes en el día a día de sus operaciones. Poniendo como ejemplo los análisis de riesgos de seguridad, indicaba que, desde hace años, todos los operadores los ejecutan con carácter regular; siendo, quizás, lo novedoso la obligación de presentarlos ante la Administración. En cuanto a la polémica incertidumbre acerca de la eventual calificación de algún suministrador como suministrador de alto riesgo, indicaba que el impacto de dicha calificación dependerá fundamentalmente de la dependencia que el operador tenga de aquel. Siendo un riesgo normalmente previsto por las estrategias y contingencias de los operadores.
Intervenía, Lorenzo Avello, para matizar que el RD-Ley sigue criterios de proporcionalidad, respondiendo a los principios de equilibrio y moderación que han inspirado su desarrollo normativo. Concluía que no se trata de expulsar a nadie del mercado pues, incluso en el supuesto de que un suministrador sea calificado de alto riesgo, este podrá seguir participando en el mercado; siempre y cuando no afecte a elementos del core de la red. Dado que no se trata de amenazas inminentes (sino de riesgo de amenaza), la norma otorga al operador en la Disposición Transitoria única el razonable plazo de 5 años, desde la calificación como suministrador de alto riesgo, para sustituirlo en los elementos críticos de red relativos a las funciones del núcleo o core de la red.
Por su parte, José Ángel Capote Molina en relación con la existencia en la norma de dicha posibilidad de calificación a un suministrador de alto riesgo alababa el valor de los requisitos técnicos objetivos en la evaluación del riesgo para la seguridad de las redes si bien, puso de manifiesto que las decisiones basadas en criterios subjetivos, como pueden ser los aspectos geopolíticos o la calificación sobre circunstancias subjetivas que particularmente presenta un suministrador, pueden generar incertidumbre. Explicaba que la ausencia de transparencia y objetividad, inherente a los criterios subjetivos, puede dificultar a los suministradores la toma de decisiones en cuanto a las estrategias de adaptación de su actividad a los requerimientos normativos. Esto podría perjudicar el sofisticado equilibrio competencial que caracteriza al sector.
En referencia al “Tool Box” de la Comisión Europea, fuente de la que emanan estos desarrollos normativos, los participantes recordaron que, como también ha evidenciado el Informe especial sobre el despliegue del 5G elaborado por el Tribunal de Cuentas Europeo, su naturaleza es de soft law; por lo que no estamos ante un instrumento normativo estrictamente dicho. Elena de la Calle señalaba que, teniendo como objetivo la armonización normativa en la materia dentro Unión Europea, el Tool Box pretende servir de inspiración a los estados miembros para el desarrollo de sus normas nacionales. Recordaba que, según consta en citado informe, la materia se afronta desde el prisma de la seguridad nacional (lo que a juicio de la Comisión Europea parece razonable), sobre la que la Unión Europea carece de atribuciones competenciales. En consecuencia, se adopta la forma de Tool Box ya que la Unión está impedida para emitir normas que afecten a competencias exclusivamente reservadas a los Estados Miembros. No obstante, se sigue trabajando en la armonización e intercambio de buenas prácticas en el grupo de cooperación creado por la Directiva NIS, del que forman parte los Estados Miembros, la Comisión Europea y ENISA.
Por último, el debate se dirigió hacia dos aspectos trascendentales del RD-Ley: la determinación de las ubicaciones estratégicas y la aprobación del Esquema Nacional de Seguridad de redes y servicios 5G. Sobre las primeras, cuya determinación por el Consejo de Seguridad Nacional está sometida a un plazo que termina el 30 de junio; Lorenzo Avello indicó que, en la determinación de las ubicaciones estratégicas, en principio no se seguiría un criterio expansivo y no se incluirían todas las infraestructuras críticas. Y, como ya adelantamos más arriba, respecto al Esquema Nacional de Seguridad, insistió en el carácter operativo y técnico del mismo, recordándose que el grueso del contenido normativo reside en el RD-Ley 7/2022. Durante la sesión se confirmó que habrá sucesivos esquemas, teniendo el primero simplemente un carácter básico de fijación de criterios, y que se pretende que el Esquema Nacional de Seguridad sea un verdadero y omnicomprensivo desarrollo reglamentario RD-Ley.
Al concluir la Sesión se comentó que durante una reciente reunión de ENISA en Atenas se adelantó que el borrador del futuro Esquema de Certificación Europeo en materia de ciberseguridad 5G, en el que se está trabajando en la actualidad, podría estar preparado en principio, y si no surge ningún inconveniente, hacia abril de 2023.
