El pasado marzo se publicaba el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, más conocido como Reglamento de Ciberseguridad para redes 5G. La norma no solo afecta a los operadores de comunicaciones móviles, sino también al ecosistema de proveedores e intermediarios que intervienen en el despliegue de redes y operación de los servicios de comunicaciones móviles de quinta generación, como son los fabricantes de equipos.
La motivación de la norma no es únicamente técnica, sino que también está marcada por una finalidad geopolítica y de protección de servicios o infraestructuras esenciales o estratégicas como son las comunicaciones y todos los servicios que requieren de soporte de redes para su prestación, esto es, cualquier servicio cloud, app, página web o red social, al final reside sobre una red de comunicaciones necesaria para que los usuarios puedan comunicarse con ellos. Es más, el despliegue de redes y servicios 5G precisamente pretende facilitar y ampliar las posibilidades de prestación de este tipo de servicios.
Así, aun cuando se trate de una norma cuya aprobación y publicación solo interesa o preocupa a los operadores, fabricantes y agentes especializados en el sector, su aplicación tiene muchas ramificaciones e implicaciones, tanto a nivel empresarial, como en nuestro día a día como usuarios.
Uno de los principales retos a los que trata de hacer frente la norma, es los posibles ciberataques o indisponibilidades de las redes que pueden determinar la paralización de un servicio, un hospital, una región o un país.
Por eso entre las principales obligaciones recogidas por la norma, los operadores deben tener realizar un análisis de riesgos de sus redes y servicios, así como establecer las medidas para la gestión de dichos riesgos.
Asimismo, en el caso de que los operadores controlen elementos críticos de red (el core) las obligaciones se cualifican y, entre otras, deben controlar la cadena de suministro, así como existe la posibilidad de restringir la adquisición de equipos de fabricantes que hayan sido declarados suministradores de alto riesgo.
La norma se completará con el Esquema Nacional de Seguridad de redes y servicios 5G que, aun no ha sido aprobado y respecto del cual se ha lanzado recientemente una consulta pública por parte del Ministerio de Asuntos Económicos y Transformación Digital, en el Esquema se pretenden desarrollar aspectos técnicos de la norma a fin de que los operadores y otros agentes sujetos al citado Real Decreto- Ley puedan implementar sus análisis de riesgos y las medidas para mitigar los mismos. Como decíamos anteriormente, el objetivo es buscar la seguridad e integridad de las redes y servicios de quinta generación.
Amaya García, Socia de Cremades & Calvo-Sotelo Abogados