Brussel·les ha elevat aquest dimarts el to en la seva estratègia per a la ciberseguretat europea, amb un pas decisiu per forçar els governs de la Unió a excloure de les infraestructures crítiques als proveïdors estrangers considerats d'alt risc. L'executiu comunitari ha proposat convertir en obligatòries les recomanacions de seguretat per al 5G que, des de fa anys, intentava inculcar de manera voluntària als estats membres amb resultats desiguals, i que afecten directament gegants tecnològics com els xinesos Huawei i ZTE.
Sota la direcció de la vicepresidenta de la Comissió, Henna Virkkunen, es presenta una reforma ambiciosa de la Llei de Ciberseguretat de la UE, un text que haurà de ser negociat ara amb el Consell i el Parlament Europeu. Virkkunen ha justificat la mesura argumentant que les amenaces digitals han transcendit la dimensió tècnica per convertir-se en "riscos estratègics per a la nostra democràcia, economia i estil de vida". El paquet legislatiu, segons la seva visió, representa un "pas important per assegurar la sobirania tecnològica europea" i oferirà els instruments necessaris per "protegir millor les cadenes de subministrament de les infraestructures tecnològiques crítiques i combatre de manera decisiva els ciberatacs".
El nucli de la proposta estableix l'eliminació obligatòria dels riscos que provenen de proveïdors de tercers països a les xarxes europees de telecomunicacions mòbils, basant-se en l'acumulat en el marc del "conjunt d'eines de seguretat 5G", una iniciativa llançada el 2020. La Comissió aporta una sèrie de criteris per identificar empreses de risc, però un cop s'adopti la nova regulació i s'estableixi una mena de 'llista negra' comunitària, els països tindran un termini màxim de tres anys per rescindir els contractes que les seves infraestructures crítiques hagin subscrit amb els proveïdors vetats.
En una roda de premsa a Estrasburg, Virkkunen ha precisat que la norma "no defineix país o cap companyia" en aquesta fase preliminar, ja que aquesta identificació es farà a partir d'avaluacions de risc concretes i actualitzades. Un cop avaluades sobre les infraestructures essencials, Brussel·les proposarà mesures de mitigació específica. Pel que fa al 5G, la vicepresidenta ha confirmat que la Comissió publicarà un "catàleg de proveïdors de serveis problemàtics" i supervisarà que els estats membres actuïn perquè "en el termini de tres anys" aquestes firmes no continuïn participant en contractes públics.
Tot i la cautela formal, Brussel·les ja havia marcat territori. En les seves directrius del 2023 ja va assenyalar a Huawei i ZTE com a proveïdors que "presenten riscos substancials més alts" que altres competidors en el sector del 5G, i es va comprometre llavors a evitar l'exposició de les seves comunicacions corporatives a xarxes mòbils d'aquestes companyies xineses. També va donar suport explícit a la desena d'estats que ja havien decidit restringir o excloure aquests proveïdors, considerant els seus temors "justificats" i animant la resta a prendre mesures similars.
Recentment, la mateixa Virkkunen havia advertit en una resposta parlamentària sobre el "risc d'ingerència estrangera" que suposava que el Ministeri de l'Interior espanyol contractés Huawei en licitacions per a l'emmagatzematge de les escoltes telefòniques judicials del sistema SITEL, per crear "potencialment una dependència" amb un proveïdor considerat d'alt risc en un sector crític.
Més enllà del blindatge contra amenaces exteriors, la reforma busca simplificar la regulació, racionalitzar la recopilació de dades sobre atacs de ransomware i facilitar la supervisió d'entitats transfrontereres, amb un paper de coordinació reforçat per a l'Agència de la Unió Europea per a la Ciberseguretat (ENISA), que guanyarà recursos per ajudar empreses i governs a comprendre i preparar-se davant les amenaces. Una altra proposta apunta a renovar el Marc Europeu de Certificació de la Ciberseguretat (ECCF) per simplificar procediments, reduir els processos a dotze mesos com a màxim i incloure mesures de transparència.