La nueva Ley europea de Ciberseguridad propuesta este martes por la Comisión Europea va a añadir más obstáculos a la contratación de la compañía china de tecnología Huawei por la Administración española. Esta nueva normativa “tiene como objetivo reducir los riesgos en la cadena de suministro de Tecnologías de la Información y la Comunicación TIC de la Unión Europea provenientes de proveedores de terceros países con preocupaciones de ciberseguridad”. En este sentido, la Comisión Europea ha avisado varias veces a España por los contratos públicos concedidos a la multinacional china.
Según la nueva normativa, sería “obligatorio la eliminación de riesgos en las redes de telecomunicaciones móviles europeas de proveedores de terceros países de alto riesgo, basándose en el trabajo ya realizado bajo la caja de herramientas de seguridad 5G”. Es decir, en los futuros contratos no se debería contratar a compañías que se suponen que están en la lista de peligrosas. Entre estas compañías se encontrarían Huawei y ZTE.
Solo hace un mes, la Comisión Europea volvió a recordar a España que “Huawei (y ZTE) presentan riesgos sustancialmente más altos que otros proveedores de 5G” y que como institución europea “se comprometió a evitar la exposición de sus comunicaciones corporativas a las redes móviles que utilizan Huawei y ZTE”.
La Comisión también consideró que “las decisiones adoptadas por los Estados miembros para restringir o excluir Huawei y ZTE están justificadas”. La compañía china siempre ha negado estas acusaciones y ha asegurado que las comunicaciones en su infraestructura son seguras.
El pasado agosto, el Ministerio de Transformación Digital y de la Función Pública incluyó a Huawei en el Centro de Operaciones de Seguridad 5G, el organismo que se encarga de la supervisión de la seguridad de los sistemas y redes de la telefonía móvil. Desde el Ministerio que dirige Óscar López se aseguró entonces que la compañía china solo entraba en este centro a efectos consultivos y sin acceso a información crítica.
La Comisión Europea argumenta para justificar la nueva legislación que “recientes incidentes de ciberseguridad han puesto de manifiesto los grandes riesgos que suponen las vulnerabilidades en las cadenas de suministro de telecomunicaciones, que son esenciales para el funcionamiento de los servicios e infraestructuras críticas. En el panorama geopolítico actual, la seguridad de la cadena de suministro ya no se trata solo de la seguridad técnica de productos o servicios, sino también de los riesgos relacionados con un proveedor debido a la dependencia y la interferencia extranjera”.
España no es el único páis cuya red de telecomunicaciones 5G está contratada con Huawei. De hecho, la mayoría de los 27 estados miembros de la UE salvo Dinamarca, Lituania, Estonia y Letonia tienen algún porcentaje de sus redes contratados con la multinacional china. Alemania anunció que para 2029 de comprometía a no tener ninguna de sus redes con la participación de la empresa china.
La comisaria europea de Soberanía Tecnológica, Henna Virkkunen, ha asegurado que se abrirá un periodo de transición de tres años para que se eliminen a los proveedores de alto riesgo una vez que la ley entre en vigor. La ejecutiva de la UE estima que el “impacto económico” de eliminar a los proveedores de alto riesgo de la red móvil sería de entre 3.000 millones y 4.000 millones de euros, según ha informado Politico.
Además, con la nueva Ley se garantizará que los productos y servicios que lleguen a los consumidores de la UE sean probados para verificar su seguridad de una manera más eficiente. Habrá un nuevo Marco Europeo de Certificación de Ciberseguridad (ECCF) por el que las certificaciones se desarrollen en un plazo de 12 meses.
Por otro lado, la ENISA, la agencia de la Unión Europea para la ciberseguridad, tendrá más capacidad para emitir alertas tempranas sobre amenazas e incidentes cibernéticos y trabajará en cooperación con Europol y los equipos de respuesta a incidentes de seguridad informática en la respuesta y recuperación de ataques de ransomware.
El nuevo reglamento de Ciberseguridad será aplicable inmediatamente después de su aprobación por el Parlamento Europeo y el Consejo de la UE. Una vez aprobada, los Estados miembros tendrán un año para implementar la Directiva en la legislación nacional.
Polémica por la adjudicación de Interior
El Ministerio del Interior adjudicó por 12,3 millones de euros a Huawei “la gestión del almacenamiento de las escuchas telefónicas judiciales”. Esta decisión provocó una tormenta política tras las advertencias de la Comisión Europea. Entonces Interior se defendió alegando que “la contratación de sistemas de almacenamiento de Huawei no comporta ningún riesgo para la seguridad y cumple con los niveles requeridos en el Esquema Nacional de Seguridad”.
El Gobierno español informó en septiembre que el concurso adjudicado a Telefónica, pero con equipos de Huawei, para la red de fibra óptica pública RedIRIS se canceló. La Administración explicó que se iba a abrir una nueva licitación sin exclusiones y la compañía china se podrá presentar, según la secretaria de Estado de Digitalización, María González Veracruz. Finalmente, la compañía china solo se quedará fuera de la parte del concurso que corresponde al Ministerio de Defensa.
No solo la Administración central ha adjudicado concursos a la compañía tecnológica china. La Generalitat de Catalunya acaba de adjudicar en octubre a la empresa Sirt, con equipamientos de Huawei, un contrato de 127 millones de euros para conectar todos sus servicios públicos y equipamientos con una red de fibra óptica.