Ratificada en el Congreso la Ley de Ciberseguridad 5G: ¿qué implica?
- Actualidad
En vigor desde el 31 de marzo, la Ley de Ciberseguridad 5G, que incluye los requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, ha sido convalidada en el Congreso de los Diputados.
Aunque ya estaba en vigor dos días después de su publicación en el BOE el pasado 31 de marzo cuando el Gobierno la aprobó por Real Decreto-Ley, la norma, que establece los requisitos de ciberseguridad específicos para el despliegue y la explotación de redes 5G en España, todavía no había ratificada en el Congreso hasta la semana pasada. La norma ha alcanzado un amplio respaldo, 312 votos a favor.
Su objetivo es crear un marco confiable y seguro para incentivar el despliegue y la inversión por parte de los operadores de telecomunicaciones y, al mismo tiempo, la demanda de los servicios por parte de los usuarios.
La Ley de Ciberseguridad 5G incorpora al marco legal español las medidas estratégicas y técnicas de la caja de herramientas (tool box) consensuada entre los Estados miembros de la Unión Europea, que identifica las principales amenazas y vulnerabilidades, los activos más sensibles y riesgos estratégicos en el despliegue de redes 5G.
Como novedad, la norma establece un Esquema de Seguridad de Redes y Servicios 5G que tendrá en cuenta los análisis realizados por los operadores de red acerca de las vulnerabilidades y amenazas a la red 5G. También establece un procedimiento y unos criterios para que se puedan clasificar a los suministradores de bajo, medio y alto riesgo. Así, los operadores de redes públicas 5G no podrán usar equipos de suministradores de alto riesgo en el núcleo o core de la red, en su sistema de gestión de red y en determinadas ubicaciones de la red de acceso.
Esto afecta tanto a redes o elementos de red ya instalados, -si se usan para tecnología 5G-, como a las nuevas redes 5G que se instalen. Si los operadores se vieran obligados a sustituir los equipos, productos o servicios proporcionados por dichos suministradores, disponen de un plazo de cinco años para llevar a cabo la sustitución en los elementos críticos de red.
Asimismo, los operadores deben analizar su dependencia en la cadena de suministro y están obligados a incluir medidas para limitar la dependencia de un solo suministrador y restricciones para los suministradores que sean calificados de alto riesgo.