Publicado el
La Comisión Europea presentó el martes una revisión de la Ley de Ciberseguridad destinada a reducir los riesgos vinculados a los llamados proveedores de “alto riesgo” en las cadenas de suministro de tecnologías de la información y las comunicaciones de la UE.
El alcance es amplio y abarca empresas que proporcionan equipos y servicios para redes de telecomunicaciones, centros de datos, servicios en la nube, dispositivos conectados y plataformas de redes sociales. Aunque la propuesta no nombra empresas específicas, los funcionarios de la UE reconocen que se basa en preocupaciones de larga data sobre los grupos tecnológicos chinos, en particular Huawei y ZTE, particularmente en redes móviles.
La medida se produce tras años de frustración en Bruselas por la aplicación desigual de la Caja de herramientas de seguridad 5G voluntaria de la UE, introducida en 2020 para alentar a los estados miembros a limitar la dependencia de proveedores de alto riesgo.
Los ciberataques son cada vez más frecuentes en toda la UE, y van desde ransomware y espionaje hasta intentos de desestabilizar infraestructuras críticas. La Comisión dice que el número de incidentes reportados está aumentando, con alrededor de 150 ataques reportados en todo el bloque sólo en la última semana.
La comisaria de Tecnología, Henna Virkkunen, ha advertido repetidamente que las medidas voluntarias no han ido lo suficientemente lejos. En su discurso ante el Parlamento Europeo el mes pasado, argumentó que se necesitaba una acción más estricta y coordinada, y enfatizó que los proveedores de alto riesgo siguen presentes en partes críticas de la infraestructura 5G de Europa.
Controlar el riesgo
Según el marco revisado, la Comisión podría organizar evaluaciones de riesgos a nivel de la UE y, cuando esté justificado, apoyar restricciones o prohibiciones sobre ciertos equipos utilizados en infraestructuras sensibles.
Los estados miembros evaluarían conjuntamente los riesgos basándose en el país de origen del proveedor y sus implicaciones para la seguridad nacional. Si bien las telecomunicaciones son el sector más avanzado en términos de evaluación de riesgos, el enfoque podría extenderse más adelante a otras áreas, desde sistemas de energía y transporte hasta vehículos conectados y equipos de seguridad.
La Comisión también ha señalado que el marco seguiría siendo, en principio, neutral respecto de los países, lo que significa que los proveedores de otros socios –incluido Estados Unidos– podrían teóricamente ser examinados en el futuro a medida que crezcan las tensiones regulatorias, particularmente en torno a las redes sociales y la gobernanza de datos.
La Comisión insiste en que el proceso será gradual. En el sector de las telecomunicaciones, los operadores tendrían un período de transición de varios años para eliminar gradualmente a los proveedores de alto riesgo, y Bruselas reconocería el importante coste económico que implica.
Más allá de la seguridad de la cadena de suministro, la propuesta refuerza significativamente el papel de la Agencia de Ciberseguridad de la UE. ENISA. La agencia obtendría un mandato más operativo, incluida la emisión de alertas tempranas sobre amenazas cibernéticas emergentes y la coordinación de respuestas a incidentes importantes, como ataques de ransomware, en cooperación con Europol y las autoridades nacionales.
ENISA también supervisaría un punto de entrada único en la UE para la notificación de incidentes, diseñado para acelerar las respuestas y mejorar el conocimiento de la situación transfronteriza.
Por último, la Comisión prosigue su agenda de simplificación más ampliaprometiendo cargas administrativas más ligeras para las empresas. Los procedimientos de certificación se simplificarían y los cambios específicos en la legislación existente apuntan a reducir los costos de cumplimiento, particularmente para las empresas que operan en varios estados miembros.
La propuesta ahora será negociada por el Parlamento Europeo y los gobiernos de la UE, donde se espera resistencia de algunas capitales temerosas de una mayor participación de la UE en las decisiones de seguridad nacional.
Lo más probable es que la ley de ciberseguridad revisada no se implemente hasta dentro de algunos años, lo que plantea dudas sobre la capacidad de la UE para luchar contra la interferencia extranjera ya activa.
