Los grandes operadores europeos, bajo el paraguas de Connect Europe, han emitido un comunicado conjunto en el que instan a los legisladores de la UE a corregir la propuesta de Ley de Ciberseguridad (CSA) y garantizar que ofrezca resultados efectivos en materia de seguridad sin comprometer la competitividad digital de Europa.
Índice de temas
Revisión de Ley de Ciberseguridad
Y es que, en la revisión de la CSA, la Comisión Europea introduce una modificación considerable en cómo la UE aborda la seguridad de sus tecnologías críticas planteando la no dependencia de proveedores externos. Entre líneas: Estados Unidos y, fundamentalmente, China.
La intención es buena, pero introduce ciertas cuestiones que no terminan de convencer al sector de las telecomunicaciones. O, al menos, siembran ciertos recelos. Por un lado, la convivencia y coexistencia con otras normas que viene a contradecir las peticiones de mayor simplificación legislativa.
Por otro, la posibilidad de imponer medidas obligatorias de reducción de riesgos en las cadenas de suministro TIC, especialmente frente a proveedores de terceros países considerados de “alto riesgo”. La idea es contar con un marco horizontal de seguridad para estas cadenas que permita actuar de forma coordinada en el continente. A tal fin, dispone de evaluaciones de riesgo conjuntas para identificar activos críticos, vulnerabilidades y proveedores problemáticos en sectores esenciales, desde energía y transporte hasta finanzas o sanidad. A partir de esas evaluaciones, la Comisión podrá definir medidas de mitigación proporcionadas, incluyendo la prohibición de utilizar componentes de determinados suministradores en activos clave, tras analizar el impacto económico y la disponibilidad de alternativas.
A ello se suma que la Comisión puede identificar países que planteen riesgos estructurales para la seguridad de las cadenas TIC y, posteriormente, enumerar empresas de alto riesgo vinculadas a ellos.
¿Qué implicaciones tiene esto para las operadoras? Pues que deberán sustituir ese equipamiento y eso podría incrementar los costes. Además de otro asunto: ¿serían soluciones “competitivas”? ¿Hay alternativas viables?
Asimismo, esta revisión menciona un marco europeo de certificación de ciberseguridad que estaría gestionado por ENISA (la Agencia de la UE para la ciberseguridad). Habla de plazos de 12 meses para el desarrollo de nuevos esquemas, procedimientos más ágiles y una gobernanza más transparente, con mayor participación de los actores del mercado. Esta certificación seguirá siendo voluntaria, pero se refuerza su papel como herramienta práctica de cumplimiento normativo.
Sea como fuere, una vez aprobada por el Parlamento Europeo y el Consejo, la nueva CSA será de aplicación directa.
Reacción de los operadores de telecomunicaciones
La reacción de los operadores de telecomunicaciones no se ha hecho esperar. En el comunicado remitido reconocen que a medida que la dependencia del viejo continente en la conectividad sigue agrandándose y los riesgos aumentando, la seguridad de las redes y servicios de telecomunicaciones es más que una necesidad técnica, es una “piedra angular de la resiliencia europea”. Por eso el sector “está plenamente comprometido con la implementación de la Directiva NIS2, junto con múltiples otros requisitos de seguridad nacionales y de la UE”.
Sin embargo, advierten contra “políticas que debilitarían significativamente el sector que pretenden proteger”. En este sentido, argumentan que se enfrentan a elevadas necesidades de inversión para completar el despliegue de 5G y fibra. Unos requisitos que se ven mermados por las condiciones regulatorias actuales y la falta de escala. Uno de estos escollos es la CSA en tanto en cuanto, señalan que “la adopción del actual borrador de la norma agravará la carga que se impone al sector, con costes regulatorios adicionales de varios miles de millones de euros que probablemente se subestimarán actualmente”.
La asociación alega que, aunque la propuesta busca renovar el marco de certificación de ciberseguridad de la UE, sus obligaciones en la cadena de suministro de TIC corren el riesgo de imponer restricciones adicionales significativas a los operadores. “Si estas obligaciones no se basan en evaluaciones de riesgos sólidas y basadas en la evidencia y no están respaldadas por medidas mitigadoras como mecanismos de reembolso de costes, afectarán de manera significativa y negativa al despliegue de la red, a la continuidad operativa y a la planificación de la inversión”. Y sentencian que Europa hoy día necesita urgentemente mucha más inversión en conectividad.
Solución: medidas que se basen en el riesgo, ser proporcionadas y viables
En base a este análisis del borrador, Connect Europe indica que la Ley de Ciberseguridad revisada debe cumplir con lo siguiente:
- Ofrecer una simplificación real, reduciendo la superposición y duplicación entre NIS2, DORA, CRA y otros marcos relevantes, para reenfocar los recursos del cumplimiento a las operaciones de seguridad reales.
- Hacer que la certificación de ciberseguridad de la UE sea relevante para el mercado y proporcionada, evitando esquemas costosos, no probados u obligatorios que aporten un valor de seguridad limitado en la práctica.
- Garantizar que las medidas de seguridad de la cadena de suministro sigan estrictamente un enfoque basado en el riesgo, respetando la competencia de los Estados miembro en materia de seguridad nacional. “Las medidas deben ser proporcionadas, teniendo en cuenta la necesidad de previsibilidad al desplegar infraestructuras de red con ciclos de modernización de al menos diez años, y las evaluaciones de riesgos deben estar actualizadas, considerando cuidadosamente el impacto en la inversión, la resiliencia y la continuidad del servicio”, concluyen.
