Con el apoyo de la Comisión Europea y de la Agencia de la UE para la Ciberseguridad (ENISA), los Estados miembros de la Unión Europea han publicado un segundo informe de situación sobre la aplicación del conjunto de herramientas europeas para la ciberseguridad de las redes 5G, que también se refiere a las recomendaciones del Informe Especial del Tribunal de Cuentas Europeo de enero de 2022. De manera complementaria, la Comisión ha adoptado una Comunicación sobre la aplicación del conjunto de herramientas.
El segundo informe de situación indica que 24 Estados miembros de la UE han adoptado o están preparando medidas legislativas que otorgan a las autoridades nacionales competencias para llevar a cabo una evaluación del riesgo de los proveedores o imponer restricciones. De ellos, un total de diez países han impuesto tales restricciones y tres están trabajando en la aplicación de la regulación nacional pertinente.
Además, apunta que los Estados miembros deben terminar de aplicar el conjunto de herramientas, debido a la importancia de la infraestructura de conectividad para la economía digital y la dependencia de muchos servicios críticos de las redes 5G.
Por su parte, la Comisión Europea señala en su Comunicación su preocupación por los riegos que presentan determinados proveedores de equipos de comunicación de redes móviles para la seguridad de la UE.
Evaluación de necesidades y vulnerabilidades
La Comisión Europea ha aplicado los criterios del conjunto de herramientas para evaluar las necesidades y vulnerabilidades de sus propios sistemas de comunicación institucional y de las demás instituciones, órganos y organismos europeos, además de la ejecución de los programas de financiación de la UE.
En base a su propia evaluación, la Comisión insta a los Estados miembros que aún no han aplicado el conjunto de medidas a que lo adopten urgentemente con el propósito de hacer frente a los riesgos que plantean los proveedores identificados.
Como parte de su política institucional en materia de ciberseguridad, y en aplicación del conjunto de herramientas para la ciberseguridad 5G, la Comisión adoptará medidas para evitar que sus comunicaciones corporativas queden expuestas a redes móviles con proveedores de alto riesgo. También adoptará las medidas de seguridad pertinentes para no adquirir nuevos servicios de conectividad que se basen en los equipos de esos proveedores y colaborará con los Estados miembros y los operadores de telecomunicaciones para velar por que esos proveedores se retiren progresivamente de los servicios de conectividad existentes en los centros de la Comisión.
Asimismo, la Comisión Europea tiene previsto recoger esta Comunicación en todos los programas e instrumentos de financiación pertinentes de la UE.
Recomendaciones para mejorar la seguridad en redes
El segundo informe de situación sobre la aplicación del conjunto de herramientas europeas para la ciberseguridad de las redes 5G registra nuevos avances en medidas fundamentales respecto al primer informe de situación de julio de 2020.
No obstante, señala la problemática de seguir dependiendo de ciertos proveedores de alto riesgo en el mercado interior, lo que podría tener consecuencias negativas en la seguridad de los usuarios, las empresas y las infraestructuras críticas de la Unión Europea.
En este contexto, formula una serie de recomendaciones para los Estados miembros, como velar por recibir de los operadores móviles información completa acerca de los equipos de redes 5G actualmente desplegados y de sus planes para extender o adquirir nuevos equipos.
De la misma manera, insta a analizar el perfil de riesgo de los proveedores, teniendo en cuenta las diferencias en sus características, la influencia de terceros países y las designaciones realizadas por otros Estados miembros. Partiendo de la evaluación de los proveedores, los países comunitarios deberán imponer restricciones a los que presenten algún riesgo sin demora.
Para reducir de forma efectiva los riesgos, también deberán velar por que las restricciones contemplen los activos críticos y sensibles identificados, incluidas las redes de acceso radioeléctrico. En el caso de los tipos de equipos sujetos a las restricciones, los operadores no han de estar autorizados a instalar equipos nuevos y la retirada de los equipos existentes debe producirse lo antes posible.
Además, el informe sugiere aplicar restricciones a los proveedores de servicios gestionados, seguir debatiendo la aplicabilidad de las medidas relacionadas con la diversificación de los proveedores sin dar lugar a riesgos, así como aplicar medidas técnicas y garantizar un alto grado de supervisión.