Bruselas ha elevado este martes el tono en su estrategia para la ciberseguridad europea, con un paso decisivo para forzar a los gobiernos de la Unión a excluir de las infraestructuras críticas a los proveedores extranjeros considerados de alto riesgo. El ejecutivo comunitario ha propuesto convertir en obligatorias las recomendaciones de seguridad para el 5G que, desde hace años, intentaba inculcar de manera voluntaria a los Estados miembros con resultados desiguales, y que afectan directamente a gigantes tecnológicos como los chinos Huawei y ZTE

Bajo la dirección de la vicepresidenta de la Comisión, Henna Virkkunen, se presenta una reforma ambiciosa de la Ley de Ciberseguridad de la UE, un texto que deberá ser negociado ahora con el Consejo y el Parlamento Europeo. Virkkunen ha justificado la medida argumentando que las amenazas digitales han trascendido la dimensión técnica para convertirse en "riesgos estratégicos para nuestra democracia, economía y estilo de vida". El paquete legislativo, según su visión, representa un "paso importante para asegurar la soberanía tecnológica europea" y ofrecerá los instrumentos necesarios para "proteger mejor las cadenas de suministro de las infraestructuras tecnológicas críticas y combatir de manera decisiva los ciberataques".

El núcleo de la propuesta establece la eliminación obligatoria de los riesgos que provienen de proveedores de terceros países en las redes europeas de telecomunicaciones móviles, basándose en lo acumulado en el marco del "conjunto de herramientas de seguridad 5G", una iniciativa lanzada en 2020. La Comisión aporta una serie de criterios para identificar empresas de riesgo, pero una vez se adopte la nueva regulación y se establezca una especie de 'lista negra' comunitaria, los países tendrán un plazo máximo de tres años para rescindir los contratos que sus infraestructuras críticas hayan suscrito con los proveedores vetados.

En una rueda de prensa en Estrasburgo, Virkkunen ha precisado que la norma "no define país o compañía alguna" en esta fase preliminar, ya que esta identificación se hará a partir de evaluaciones de riesgo concretas y actualizadas. Una vez evaluadas sobre las infraestructuras esenciales, Bruselas propondrá medidas de mitigación específica. En cuanto al 5G, la vicepresidenta ha confirmado que la Comisión publicará un "catálogo de proveedores de servicios problemáticos" y supervisará que los Estados miembros actúen para que "en el plazo de tres años" estas firmas no continúen participando en contratos públicos.

A pesar de la cautela formal, Bruselas ya había marcado territorio. En sus directrices de 2023 ya señaló a Huawei y ZTE como proveedores que "presentan riesgos sustanciales más altos" que otros competidores en el sector del 5G, y se comprometió entonces a evitar la exposición de sus comunicaciones corporativas a redes móviles de estas compañías chinas. También dio apoyo explícito a la decena de estados que ya habían decidido restringir o excluir a estos proveedores, considerando sus temores “justificados” y animando al resto a tomar medidas similares.

Recientemente, la propia Virkkunen había advertido en una respuesta parlamentaria sobre el "riesgo de injerencia extranjera" que suponía que el Ministerio del Interior español contratara Huawei en licitaciones para el almacenamiento de las escuchas telefónicas judiciales del sistema SITEL, para crear "potencialmente una dependencia" con un proveedor considerado de alto riesgo en un sector crítico.

Más allá del blindaje contra amenazas exteriores, la reforma busca simplificar la regulación, racionalizar la recopilación de datos sobre ataques de ransomware y facilitar la supervisión de entidades transfronterizas, con un papel de coordinación reforzado para la Agencia de la Unión Europea para la Ciberseguridad (ENISA), que ganará recursos para ayudar a empresas y gobiernos a comprender y prepararse ante las amenazas. Otra propuesta apunta a renovar el Marco Europeo de Certificación de la Ciberseguridad (ECCF) para simplificar procedimientos, reducir los procesos a doce meses como máximo e incluir medidas de transparencia.