La Ley de Ciberseguridad (CSA) no termina de convencer. Al menos la revisión realizada por la Comisión Europea en el mes de enero. Si bien cuando se publicaron estas enmiendas los operadores de telecomunicaciones manifestaron su desacuerdo -alegando que el actual borrador de la norma agravaría la carga que se impone al sector, con costes regulatorios adicionales de varios miles de millones de euros-, ahora ha sido el FTTH Council Europe el que ha pedido una evaluación. Exige que “se realice y discuta con los interesados implicados una evaluación completa de la magnitud de la intervención necesaria para alcanzar los objetivos de seguridad y resiliencia antes de la aprobación final de la decisión”.
De hecho, alegan que la propuesta, tal como está diseñada actualmente, genera incertidumbre y puede tener consecuencias negativas para la capacidad de financiar inversiones y, por tanto, para alcanzar sus objetivos de la Década Digital 2030.
Índice de temas
Proveedores de alto riesgo en redes fijas
El FTTH Council Europe comparte el objetivo de reducir los riesgos a las cadenas de suministro críticas de TIC por parte de proveedores considerados de “alto riesgo” y disminuirlas dependencias críticas mediante el desarrollo de un marco coherente y eficaz a nivel de la UE. Asimismo, considera que esta norma forma parte de una estrategia más amplia destinada a garantizar la autonomía y seguridad estratégicas de Europa, y está dispuesto a cooperar con las instituciones europeas para lograr esta misión. Sin embargo, considera que el viejo continente se encuentra en una fase temprana en la discusión sobre la CSA respecto a la gestión de posibles proveedores de alto riesgo en redes fijas. Sobre este particular indican que falta una evaluación en profundidad sobre el riesgo y los impactos de las medidas propuestas. “Estos riesgos e impactos deben aclararse antes de tomar decisiones”, recalcan. Por ejemplo, en el caso de los operadores móviles, la evaluación de impacto estima la vida útil del equipo, la duración y escala de cualquier ‘rip and replace’ y los costes totales que se generarían. En el caso de las redes fijas no existe una evaluación comparable.
En particular, sostienen que, dado que los activos clave de la red fija citados en el Anexo II hacen referencia a partes muy grandes de estas infraestructuras, incluyendo diferentes tipos de equipos (por ejemplo, cables OLT, ONT, ODTR, fibra óptica, etc.), considera necesario comprender mejor cuál es el nivel percibido de riesgo asociado a las diferentes categorías de equipos en cada parte/función de las redes, evaluar la existencia de proveedores alternativos capaces de ofrecer productos sustitutos y valorar los plazos y costes de posibles políticas de «Rip & Replace» para distintos tipos de equipo.
Alegan que dicha apreciación debería apoyar un enfoque proporcionado, considerando las obligaciones a corto plazo sólo para equipos de más riesgo e introduciendo la prohibición a largo plazo de «Rip & Replace» o prohibición de comprar nuevo equipo para equipos con niveles de riesgo más bajos. También debe evaluarse el impacto de la política propuesta en la capacidad de invertir, junto con los riesgos de distorsión del mercado derivados de diferentes usos de equipos por parte de proveedores de alto riesgo.
“Tener en cuenta las posibles alternativas y comprender los efectos dinámicos de las políticas propuestas sobre los costes empresariales y las operaciones de los operadores de telecomunicaciones es, en nuestra opinión, esencial para encontrar el equilibrio adecuado en la regulación propuesta”, sostienen.
Activos de larga duración
La reforma de la CSA debe asegurar las redes sin socavar los objetivos europeos de la Década Digital, que a su vez contribuyen a la seguridad y resiliencia europea. Consideran, igualmente, que los operadores fijos no pueden asumir una obligación desconocida y no cuantificada de sustituir unos equipos con una preparación insuficiente y sin los mecanismos necesarios para financiar el coste de las decisiones sistémicas, además de las presiones actuales de inversión y regulación.
En este sentido, argumentan que los responsables políticos son conscientes de que las redes de fibra son activos de larga duración y que requieren mucho capital, con ciclos de despliegue medidos en décadas. Por ello recalcan que es importante que la industria entienda qué equipamiento puede estar cubierto por qué tipo de obligación y en qué plazo. “Las designaciones a nivel de proveedor que imponen amplias obligaciones de reemplazo crean un nivel de incertidumbre regulatoria y de inversión especialmente crítico para los operadores FTTH, cuyos modelos de negocio dependen de un tratamiento regulatorio predecible y cadenas de suministro estables”, esgrimen en el comunicado remitido.
Ayudas a la financiación
De hecho, el FTTH Council Europe considera que Europa debe evitar una situación en la que la designación de proveedor de ‘Alto Riesgo’ se convierta en un objetivo móvil. Esto implica la necesidad de centrar el análisis en las amenazas sistémicas persistentes subyacentes y garantizar un trato justo a los proveedores durante el análisis. “La incertidumbre regulatoria derivada de múltiples ciclos de posibles sistemas de eliminación y reemplazo haría que las redes fijas fueran muy difíciles de financiar”. A lo que añaden: “En un momento en que el capital para el despliegue y la operación de infraestructuras de telecomunicaciones ya está bajo presión, la propuesta tal como se presenta traslada de hecho todo el coste y el riesgo de ejecución a los operadores, ya que no existe un mecanismo de reembolso o reparto de riesgos a nivel de la UE. El Consejo FTTH considera que cualquier política que exija la sustitución de equipos ya instalados por equipos equivalentes de otros proveedores, debería prever mecanismos para financiar esos costes”.
Ante tales argumentos, el Consejo insta a la Comisión y a los colegisladores a recopilar más pruebas y realizar una evaluación adecuada de impacto sobre los riesgos, costes y consecuencias para los operadores de redes fijas, incluyendo el análisis completo de los diferentes remedios proporcionales a los riesgos, antes de proceder con la reforma CSA para redes fijas, concluyen.
