Moisés Barrio Andrés
Letrado del Consejo de Estado. Asesor de diversos Estados y de la Unión Europea en materia de regulación digital. Profesor de Derecho digital
Director del Diploma de Alta Especialización en Legal Tech y transformación digital (DAELT) de la Escuela de Práctica Jurídica de la Universidad Complutense de Madrid
1. Introducción
El nuevo paradigma que representan las comunicaciones electrónicas de quinta generación (5G) tiene impacto nuclear en ámbitos diversos de la sociedad digital como la computación en la nube y su virtualización, la creación de redes virtuales, flexibles e inteligentes, con baja latencia y conectividad ininterrumpida, así como en la prestación de servicios de gran valor añadido en ámbitos como la medicina, el transporte y la energía.
Sin embargo, la utilización de redes y servicios 5G exige un elevado régimen de protección, dado que la arquitectura de red es mucho más compleja y la infraestructura está interconectada. Teniendo en cuenta la dimensión transfronteriza de las amenazas, cualquier vulnerabilidad o incidente de seguridad puede tener implicaciones esenciales para la economía y la sociedad.
Resulta así fundamental el tratamiento integral de la seguridad, la garantía de funcionamiento continuado de la red y servicios 5G, el fomento de un mercado de suministradores de redes y servicios 5G suficientemente diversificado, el fortalecimiento de la industria y las actividades I+D+i, así como el impulso a la formación y concienciación en ciberseguridad 5G. A estos fines obedece el nuevo Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024), aprobado por Real Decreto 443/2024, de 30 de abril.
2. Habilitación legal
En el Derecho digital español, el Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022), sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación establece los requisitos de seguridad exigidos para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (5G).
A lo largo de su articulado, figuran varias llamadas al desarrollo reglamentario a través del Esquema Nacional de Seguridad 5G (ENS5G (LA LEY 9565/2024) en lo sucesivo). Así, hay remisiones genéricas en relación con la información que deben proporcionar los sujetos obligados para garantizar el tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios 5G (art. 5 (LA LEY 5834/2022)), el análisis de riesgos que deben efectuar los operadores 5G (art. 6 (LA LEY 5834/2022)), la identificación de los factores de riesgo (art. 9 (LA LEY 5834/2022)), el deber de gestionar los riesgos (art. 11), las condiciones de cumplimiento de las obligaciones impuestas a los sujetos obligados (art. 16 (LA LEY 5834/2022)) o la confidencialidad de la información suministrada (arts. 10 (LA LEY 5834/2022) y 19 (LA LEY 5834/2022)). Por su parte, el artículo 13 llama a la «concreción y desarrollo en el Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024)» de las obligaciones que se imponen a los suministradores 5G para la gestión de seguridad.
La utilización de redes y servicios 5G exige un elevado régimen de protección
Más en concreto, el capítulo IV del Real Decreto-ley 7/2022 (LA LEY 5834/2022) está dedicado íntegramente al ENS5G (LA LEY 9565/2024) y regula su contenido (art. 20 (LA LEY 5834/2022)), las exigencias de su aprobación y revisión (art. 21 (LA LEY 5834/2022)), el análisis y gestión de riesgos (arts. 22 y 23 (LA LEY 5834/2022)), el deber de colaboración en su aprobación y ejecución (art. 24 (LA LEY 5834/2022)), la cooperación internacional (art. 25 (LA LEY 5834/2022)), el apoyo a la investigación, desarrollo e innovación en materia de ciberseguridad 5G (art. 26 (LA LEY 5834/2022)), el impulso a la interoperabilidad (art. 27 (LA LEY 5834/2022)) y las facultades para la aplicación del ENS5G (LA LEY 9565/2024) (art. 28 (LA LEY 5834/2022)).
En cuanto a la habilitación legal para el desarrollo reglamentario, la disposición final tercera del Real Decreto-ley 7/2022 (LA LEY 5834/2022) establece lo siguiente:
«1. Se habilita al Gobierno para desarrollar reglamentariamente lo previsto en este real decreto-ley y, en particular, para aprobar el Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024).
2. El primer Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024) deberá ser aprobado en el plazo de seis meses a contar desde la entrada en vigor de este real decreto-ley».
Esta habilitación debe ponerse en relación con el artículo 21 del citado real decreto-ley, que dispone lo siguiente a propósito de la aprobación y revisión del ENS5G (LA LEY 9565/2024):
«1. El Gobierno aprobará, mediante real decreto, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, previo informe del Consejo de Seguridad Nacional, un Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024).
2. El Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024) se revisará al menos cada cuatro años o cuando las circunstancias lo aconsejen».
Existe, por tanto, habilitación y base legal suficientes para acometer el desarrollo reglamentario del Esquema y el rango de real decreto es adecuado.
3. El Esquema Nacional de Seguridad de redes y servicios 5G, prioridad estratégica del Gobierno de España
La indicada norma reglamentaria completa el desarrollo de la llamada «normativa de ciberseguridad 5G», un compromiso asumido por el Gobierno de España en el Plan de Recuperación, Transformación y Resiliencia (LA LEY 9394/2021) remitido a la Comisión Europea en el marco del Reglamento (UE) 2021/241 del Parlamento Europeo y del Consejo, de 12 de febrero de 2021, por el que se establece el Mecanismo de Recuperación y Resiliencia (LA LEY 2763/2021).
En concreto, en dicho plan se describe como objetivo de uno de sus componentes (componente número 15) lo siguiente:
«[I]mpulsar la conectividad digital, las tecnologías 5G y de ciberseguridad. El Plan se marca garantizar una conectividad digital adecuada para el 100 % de la población, promoviendo así la desaparición de la brecha digital entre zonas rurales y urbanas; continuar liderando en Europa el despliegue de la tecnología 5G, con el objetivo de que el 70 % de la población disponga de cobertura 5G; y reforzar la capacidad española en ciberseguridad, consolidando su posición como uno de los polos europeos de mayor capacidad empresarial, aprovechando también las capacidades actuales».
El objetivo de reforzar la ciberseguridad en el uso de tecnología 5G se ha canalizado a través de una reforma normativa a la que se asocian importantes inversiones económicas. Así, el Plan de Recuperación, Transformación y Resiliencia (LA LEY 9394/2021) anunció la aprobación de una «Ley de Ciberseguridad 5G» que trasladaría al ordenamiento jurídico español «las medidas estratégicas y técnicas para mitigar los riesgos de seguridad, contenidas en la caja de herramientas (toolbox) consensuada entre los Estados Miembros de la Unión Europea».
Comoquiera que muchas de estas medidas exigían imponer obligaciones y limitaciones a los derechos de los operadores jurídicos y atribuir a la Administración nuevas potestades de intervención, resultaba necesario introducirlas en el ordenamiento español a través de una norma con rango de ley. La norma comenzó a tramitarse como anteproyecto de Ley de Ciberseguridad 5G pero terminó por aprobarse como Real Decreto-ley 7/2022 (LA LEY 5834/2022).
Como ya se ha señalado, el Real Decreto-ley 7/2022 (LA LEY 5834/2022) remite el desarrollo de varios de sus aspectos técnicos y de detalle a la aprobación del ENS5G (LA LEY 9565/2024) y este es el objeto de la norma objeto de comentario.
4. Previsiones más destacadas
El ENS5G (LA LEY 9565/2024) que se aprueba a través del Real Decreto 443/2024, de 30 de abril no solo desarrolla las previsiones de la norma legal, sino que se convierte en un instrumento fundamental para el desarrollo y aplicación de la estrategia española en materia de ciberseguridad 5G.
El ENS5G no se trata de un reglamento ejecutivo al uso, sino de una norma con perfiles propios A este respecto, no puede dejar de subrayarse su singular naturaleza jurídica, pues no se trata de un reglamento ejecutivo al uso, sino de una norma con perfiles propios, fruto de la estrecha colaboración entre el Gobierno y los agentes del sector para analizar y evaluar los riesgos para la ciberseguridad 5G y adoptar estrategias efectivas de prevención y control. Esta colaboración es lógica si se tienen en cuenta los aspectos clave en la regulación de las comunicaciones electrónicas, tales como la existencia de un mercado interior de redes y servicios, la libre competencia, la interoperabilidad o la constante evolución tecnológica en el sector. Así lo ha recogido el dictamen del Consejo de Estado número 664/2024, de 25 de abril.
Por ello, el Real Decreto-ley 7/2022 (LA LEY 5834/2022) parte de la premisa de que la aprobación del ENSG5G debe tener en cuenta las aportaciones de cada agente de la cadena de valor 5G (arts. 5 y 20) y establece un deber general de colaboración en su elaboración y ejecución, que el artículo 24 expresa en los más amplios términos:
«Todos los sujetos previstos en el artículo 4, así como los fabricantes, importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G deberán prestar la colaboración y remitir la información que le sea requerida para la elaboración, aprobación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024)».
De acuerdo con este deber de colaboración, la disposición adicional primera del Real Decreto-ley 7/2022 (LA LEY 5834/2022) exigió a los operadores 5G que remitieran, en el plazo de seis meses desde la entrada en vigor de la norma, un análisis de riesgos de sus redes y servicios 5G (ya desplegados o que fueran a desplegar en el plazo de dos años), así como una relación de las medidas técnicas y organizativas diseñadas y aplicadas para mitigar los riesgos. Por su parte, la disposición adicional segunda impuso a los operadores 5G que fueran titulares o explotasen elementos críticos de una red pública 5G remitir en idéntico plazo su estrategia de diversificación en la cadena de suministro.
La norma ha sido elaborada teniendo en cuenta estas aportaciones y, además, la tramitación del expediente normativo ha permitido una destacada participación de los agentes del sector, tanto en la fase de consulta previa como durante el trámite de audiencia e información pública. El anexo II de la memoria refleja que muchas de las aportaciones de los agentes afectados han sido consideradas por el departamento proponente, y han dado lugar a cambios en la norma finalmente aprobada. Desde esta perspectiva, la tramitación del Esquema merece una valoración positiva.
El ENS5G (LA LEY 9565/2024) tiene, como establece su artículo 2, los siguientes objetivos:
- a) Reforzar la protección de la seguridad nacional.
- b) Garantizar un funcionamiento continuado y seguro de las redes y servicios 5G.
- c) Llevar a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G.
- d) Reforzar la seguridad en la instalación y operación de las redes de comunicaciones electrónicas 5G y en la prestación de los servicios de comunicaciones móviles e inalámbricas que se apoyen en las redes 5G.
- e) Impulsar una seguridad integral del ecosistema generado por la tecnología 5G.
- f) Promover un mercado de suministradores en las redes y servicios de comunicaciones electrónicas 5G suficientemente diversificado en aras de garantizar la seguridad basada en razones técnicas, estratégicas y operativas y evitar, por dichas razones, la presencia de suministradores con una calificación de alto riesgo o de riesgo medio en determinados elementos de red o ámbitos.
- g) Fortalecer la industria y fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G.
- h) Impulsar la formación y la concienciación en ciberseguridad 5G.
En cuanto a su contenido —de natural carácter eminentemente técnico—, el ENS5G (LA LEY 9565/2024) y define los elementos, infraestructuras y recursos que integran una red 5G (art. 5 y anexo I), incorpora un análisis de riesgos a nivel nacional y define la metodología empleada para categorizar las principales amenazas (anexo II), identifica los factores que determinan la consideración de un activo como crítico (anexo II), desarrolla el procedimiento para la declaración de suministradores 5G de alto riesgo y para la imposición de la obligación de sustituir equipos, productos y servicios (art. 15), regula la autorización para la instalación, modificación o adaptación de estaciones radioeléctricas que proporcionen cobertura a ubicaciones estratégicas (art. 16), incorpora medidas de apoyo a la I+D+i (arts. 37, 40 y 41) y mecanismos de fomento de la interoperabilidad (art. 38). Aunque cabe lamentar que en muchas ocasiones el ENS5G (LA LEY 9565/2024) se haya limitado a reproducir las previsiones del Real Decreto-ley 7/2022 (LA LEY 5834/2022), es preciso concluir que el ENS5G (LA LEY 9565/2024) aborda las principales cuestiones que la norma legal remite al desarrollo reglamentario.
Por último, cabe señalar que la norma está llamada a ser objeto de una revisión continua, al menos cada cuatro años y siempre que las circunstancias así lo aconsejen, pues así lo exigen el artículo 21.2 del Real Decreto-ley 7/2022 (LA LEY 5834/2022) y la disposición adicional primera del señalado real decreto.
En este aspecto de revisión, resultará esencial atender un enfoque coordinado con el resto de los Estados miembros de la UE. Así, en sus observaciones remitidas el 6 de marzo de 2024, la Comisión ha recordado a España:
«… la importancia de seguir aplicando plenamente el conjunto de instrumentos de la UE como enfoque coordinado de la UE, respaldado tanto por la Comisión como por el Consejo Europeo, a fin de evitar una fragmentación de las respuestas y las interpretaciones divergentes de la evaluación de riesgos entre los Estados miembros.
El conjunto de instrumentos de la UE para la seguridad de las redes 5G recomienda aplicar restricciones, incluidas las exclusiones necesarias, en el caso de los activos clave definidos como críticos o sensibles en el informe de evaluación coordinada de riesgos en la UE (por ejemplo, funciones de la red básica, funciones de gestión y organización de la red y funciones de acceso a la red); El segundo informe de situación sobre la aplicación del conjunto de instrumentos 5G reiteró que, para mitigar eficazmente los riesgos, los Estados miembros deben garantizar que las restricciones abarquen activos críticos y altamente sensibles, incluida la red de acceso radioeléctrico. Es importante que, al aplicar restricciones únicamente en zonas sensibles limitadas, España no pierda el objetivo de mitigar todos los riesgos potenciales que plantean los proveedores de alto riesgo.
Además, el conjunto de instrumentos de la UE para la seguridad de las redes 5G recomienda garantizar la diversidad de proveedores para cada uno de los operadores de redes de comunicaciones móviles mediante estrategias adecuadas en materia de proveedores múltiples para evitar o limitar cualquier dependencia importante de un único proveedor y prevenir la dependencia de proveedores considerados de alto riesgo en las diferentes partes de una red 5G. Por lo tanto, para garantizar que no exista ningún riesgo adicional derivado del hecho de que pueda haber un único proveedor en la red básica y en los sistemas de control y gestión y los servicios de apoyo, las decisiones sobre los proveedores de alto riesgo deben adoptarse sin demora».
En la aplicación de algunas de las medidas más restrictivas del ENS5G (LA LEY 9565/2024) —tales como la reubicación en territorio español de elementos críticos, la intervención en las estrategias de diversificación de los operadores o la obligación de sustitución de equipos, productos y servicios proporcionados por suministradores calificados de alto riesgo— será imprescindible justificar la decisión en los principios de necesidad y proporcionalidad, tal y como han solicitado la CNMC y los principales agentes afectados.
5. Conclusión
El ENS5G (LA LEY 9565/2024) completa por fin la regulación de este grupo normativo tan relevante del Derecho digital español.
Por lo demás, dado el carácter de norma especial del ENS5G (LA LEY 9565/2024), habrá que atender a los futuros desarrollos normativos actualmente pendientes en materia de ciberseguridad general (Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022 (LA LEY 26822/2022), relativa a la resiliencia de las entidades críticas, conocida como «Directiva SRI 2/NIS 2» (1) y pendiente de transposición) y armonización de requisitos de seguridad de hardware y software con elementos digitales conectados (el futuro Reglamento europeo de Ciberresiliencia, actualmente en fase de proyecto).
Resulta indudable, en fin, que tanto la revisión como la aplicación del ENS5G (LA LEY 9565/2024) se beneficiarán del enfoque colaborativo al que antes se ha hecho referencia, previsto en el Real Decreto-ley 7/2022 (LA LEY 5834/2022) y en la norma objeto de comentario, tanto a nivel interno (art. 24 del Real Decreto-ley 7/2022 (LA LEY 5834/2022) y art. 31 del ENS5G (LA LEY 9565/2024)) como a nivel internacional (art. 25 del Real Decreto-ley 7/2022 (LA LEY 5834/2022) y art. 36 del ENS5G (LA LEY 9565/2024)).