En el BOE del jueves 5 de mayo se publicó el acuerdo de convalidación del Real Decreto-ley 7/2022 sobre los requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas 5G. La extraordinaria y urgente necesidad preceptiva para la aprobación de dicha regulación mediante la figura del Real Decreto-ley se justificó, entre otras razones, por la agresión militar de Rusia a Ucrania, que ha producido un incremento sustancial del riesgo de ciberataques por motivos geoestratégicos.
Hemos seguido de cerca este desarrollo normativo en nuestros anteriores artículos sobre el Anteproyecto de Ley de Ciberseguridad para las tecnologías 5G y el Informe de la CNMC sobre este Anteproyecto. En esta entrada veremos las principales novedades que se han introducido en el texto finalmente publicado y ya convalidado.
En primer lugar, tomando en consideración las recomendaciones del Informe de la CNMC, se clarifican y concretan las definiciones contenidas en su Artículo 3, sobre todo respecto a los agentes a los cuales les es de aplicación esta regulación:
Además, también se añaden los conceptos definidos de riesgo y de seguridad que permitirán a los actores obligados por la normativa tener una mayor claridad para implementar las acciones preventivas necesarias.
En segundo lugar, el texto definitivo diferencia el análisis de riesgos que cada uno de los actores debe realizar. En este sentido, se añaden factores para tener en cuenta en la realización de los análisis de riesgo por los operadores 5G, tales como las políticas de integridad y actualización de los programas informáticos, las estrategias de permisos de acceso a activos físicos y lógicos, los agentes externos, equipos terminales y dispositivos conectados a la red, la interrelación con otros servicios esenciales para la sociedad, entre otros.
Además, si bien inicialmente las obligaciones se presentaban en conjunto para todos los actores sujetos a la normativa, en el redactado final se dividen las obligaciones específicas que cada agente tiene en cuanto a la gestión de la seguridad. Sin perjuicio de ello, se establece una obligación general de adoptar medidas técnicas y organizativas adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de sus servicios.
En tercer lugar, se prevé que el Gobierno pueda calificar que determinados suministradores 5G son de alto riesgo. Para ello, el Gobierno tendrá en cuenta: (i) las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios; así como (ii) su exposición a injerencias externas. Por otro lado, aquellos suministradores de alto riesgo cuyos equipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única y exclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación serán calificados como suministradores de riesgo medio.
Respecto al régimen sancionador, el Anteproyecto presentaba un régimen propio, pero atendiendo a la recomendación del Informe de la CNMC, el texto definitivo ha unificado dicho régimen con el establecido en la Ley General de Telecomunicaciones.