LegalizeReal Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación
Desde su introducción generalizada a finales de los años 90 del siglo XX, las redes móviles han sido un pilar del progreso de las telecomunicaciones y base para la introducción de las tecnologías de la información en todos los ámbitos de la sociedad, gracias tanto a la gradual extensión de su cobertura como, muy fundamentalmente, al desarrollo de nuevas capacidades que han incorporado las sucesivas generaciones de servicios móviles.
La más reciente de ellas, conocida como quinta generación o 5G, puede dar a las comunicaciones móviles e inalámbricas una nueva dimensión al integrar computación en la red, permitir crear redes virtuales, ofrecer baja latencia y prestar servicios de enorme valor añadido para la sociedad en ámbitos como el de la medicina, el transporte y la energía. Por eso, la Unión Europea y España impulsan el rápido despliegue de redes y la realización de proyectos demostrativos de su utilidad para distintos sectores.
La prestación de servicios avanzados para la población y la industria con apoyo en la tecnología se irá conformando como una realidad a lo largo de los próximos cinco o diez años. Pero, para que las redes 5G desarrollen el potencial que encierran es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a fugas o manipulaciones de datos o comunicaciones. Sin esa confianza, las personas y entidades que pueden aprovechar las oportunidades que ofrecen las redes 5G no harán uso de ellas, y la tecnología 5G no producirá los beneficios que se esperan de ella.
Las redes y servicios 5G poseen ventajas comparativas en seguridad respecto a las de generaciones precedentes. Pero presentan también riesgos específicos derivados por ejemplo de su arquitectura de red más compleja, abierta y desagregada, y de su capacidad para transportar ingentes volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas. Su interconexión con otras redes y el carácter transnacional de muchas de las amenazas inciden en su seguridad, y el previsible empleo generalizado de estas redes para funciones esenciales para la economía y la sociedad, incrementará el impacto potencial de los incidentes de seguridad que sufran.
Los equipos y programas informáticos cobran una importancia singular en las redes 5G pues sus prestaciones características, como la computación en el borde (edge computing) o la virtualización múltiple de redes (network slicing), se orientan hacia paradigmas propios de la informática y los servicios de computación en nube, apartándose del enfoque tradicional de las arquitecturas de las redes de comunicaciones electrónicas. El funcionamiento de estas redes dependerá en gran medida de sistemas informáticos y de servicios proporcionados por proveedores externos a los operadores (designados colectivamente en este real decreto-ley como «suministradores»), creándose una dependencia de éstos que podría aumentar el nivel de riesgo al que se está expuesto.
La arquitectura de las redes 5G anteriormente descrita y los nuevos requisitos de seguridad, conllevan la necesaria evolución de las estrategias tradicionales, que se basaban en garantizar su disponibilidad, confidencialidad e integridad frente a ataques provenientes del exterior.
La complejidad técnica y el nuevo paradigma tecnológico que implica la inclusión y generalización en el mercado de las telecomunicaciones y en otros muchos sectores económicos de la tecnología 5G, hace que los retos de seguridad que se plantean alrededor de las redes 5G no puedan abordarse en su totalidad con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas contenidas en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, ni con el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, ni con la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
La materia regulada requiere una norma con rango de ley, ya que establece algunas obligaciones a empresas y potestades administrativas que deben establecerse por ley. Justifican esas limitaciones y potestades la importancia para la sociedad de la garantía del funcionamiento ordinario de servicios esenciales que podrían depender en un futuro de las redes y servicios 5G. La apertura de la red a multitud de usos y aplicaciones aumenta los puntos de ataque a la red, y la importancia del papel de los suministradores en su arquitectura y gestión aconseja tomar precauciones para evitar posibles incidentes atribuibles a su actuación.
A este respecto, se somete a los suministradores a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas, lo que da lugar a análisis de riesgos y medidas que realizarán los operadores y el Gobierno.
En el aspecto técnico, se da preeminencia a la aplicación de estándares internacionales y europeos y a los esquemas de certificación europeos que resulten de la ejecución del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre Ciberseguridad. Además, los operadores deberán poner en marcha una estrategia de diversificación de suministradores para minimizar los riesgos e impacto de contingencias que les afecten.
En el ámbito estratégico, se examinará el perfil de riesgo de los suministradores más importantes de los operadores de redes y servicios 5G en España, en particular, desde el punto de vista de su protección frente a ataques y de su exposición a injerencias externas; pudiendo llegar a identificarse usuarios específicos o funciones restringidas de las redes donde no puedan actuar suministradores calificados como de alto riesgo o de riesgo medio.
Para crear y reforzar la industria de 5G en España, se impulsará la investigación, desarrollo e innovación en torno a la tecnología 5G, también en lo que a la ciberseguridad 5G se refiere.
El presente real decreto-ley establece normas especiales o adicionales a las existentes en otras leyes aplicables en materia de seguridad, incluidas la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, la Ley 36/2015, de 28 de septiembre, de seguridad nacional, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (Reglamento general de protección de datos personales), la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, o el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
En la elaboración de este real decreto-ley se ha tenido en cuenta la Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la ciberseguridad de las redes 5G, el análisis de riesgos coordinado de los Estados miembros y la «caja de herramientas» acordada por éstos como base común para un desarrollo seguro de la tecnología 5G en Europa. Se incluyen en este real decreto-ley las recomendaciones fundamentales que la Comunicación de 29 de enero de 2020 de la Comisión Europea «Despliegue seguro de la 5G en la UE - Aplicación de la caja de herramientas de la UE» (COM/2020/50 final) realizaba a los Estados miembros sobre la utilización de la «caja de herramientas».
El artículo 86 de la Constitución permite al Gobierno dictar decretos-leyes «en caso de extraordinaria y urgente necesidad», siempre que no afecten al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y libertades de los ciudadanos regulados en el título I de la Constitución, al régimen de las Comunidades Autónomas ni al Derecho electoral general.
El Tribunal Constitucional ha declarado que la situación de extraordinaria y urgente necesidad que exige, como presupuesto habilitante, el artículo 86.1 de la Constitución Española, puede deducirse «de una pluralidad de elementos», entre ellos, «los que quedan reflejados en la exposición de motivos de la norma» (STC 6/1983, de 4 de febrero),
En este sentido, la STC 61/2018, de 7 de junio (FJ 4), exige, por un lado, «la presentación explícita y razonada de los motivos que han sido tenidos en cuenta por el Gobierno para su aprobación», y por otro, «la existencia de una necesaria conexión entre la situación de urgencia definida y la medida concreta adoptada para subvenir a ella».
En todo caso, el Tribunal Constitucional exige para la utilización de este tipo de norma que la situación que se pretenda regular se ajuste al «juicio político o de oportunidad que corresponde al Gobierno» (STC 182/1997, de 30 de octubre).
Por todo ello, de acuerdo con la jurisprudencia del Tribunal Constitucional, a continuación, se concretan las razones que justifican la extraordinaria y urgente necesidad de incorporar al ordenamiento jurídico español, mediante real decreto-ley, las recomendaciones contenidas en la «caja de herramientas» de la Unión Europea en materia de Ciberseguridad 5G, a través de la aprobación del presente real decreto-ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.
El 24 de febrero de 2022, las fuerzas armadas rusas iniciaron una agresión a gran escala de Ucrania desde Rusia, desde Bielorrusia y desde zonas no controladas por el Gobierno de Ucrania. Como consecuencia de ello, importantes zonas del territorio ucraniano se han convertido en zonas de conflicto armado.
El Consejo Europeo condenó con la máxima firmeza en sus Conclusiones de 24 de febrero de 2022 la agresión militar de Rusia contra Ucrania e hizo hincapié en que supone una grave violación del Derecho internacional y de los principios de la Carta de las Naciones Unidas. El Consejo Europeo exigió a Rusia que respetase plenamente la integridad territorial, la soberanía y la independencia de Ucrania dentro de sus fronteras reconocidas internacionalmente, lo que incluye el derecho de Ucrania a elegir su propio destino. En solidaridad con Ucrania, el Consejo Europeo acordó sanciones adicionales, pidió que prosiguiera la labor relativa a la preparación en todos los niveles e invitó a la Comisión Europea a que presentara medidas de emergencia.
Como consecuencia, el conflicto está provocando importantes implicaciones para la Unión Europea, entre las que se encuentra el incremento considerable del riesgo de ciberataques por motivos geoestratégicos, al que ya se refería el informe «Panorama de amenazas 2021», publicado por la Agencia de la Unión Europea para la Ciberseguridad (ENISA) en octubre de 2021.
Los días 14 de enero, 15 de febrero y 23 de febrero de 2022, se han constatado ciberataques que han afectado gravemente a servicios gubernamentales y bancarios de Ucrania. Asimismo, en las últimas semanas, se han recibido diversas alertas de la Agencia de Ciberseguridad e Infraestructuras (CISA) de Estados Unidos, que destacan la necesidad de reforzar la protección de los países europeos frente a posibles ciberamenazas.
En consecuencia, teniendo en cuenta la situación de conflicto internacional derivada de la agresión contra Ucrania y el elevado riesgo de ciberataques contra redes y servicios 5G ya desplegadas en nuestro país o con despliegue previsto para los próximos meses, dentro de ese «juicio político o de oportunidad» que, de acuerdo con la citada STC 182/1997, de 30 de octubre, corresponde al Gobierno, se considera que concurren las razones de extraordinaria y urgente necesidad a las que se refiere el artículo 86 de la Constitución Española para la tramitación del presente proyecto como real decreto-ley.
Ello permitirá garantizar la entrada en vigor con celeridad de aquellas medidas que permiten prohibir o limitar la actividad en el mercado de suministradores que hayan sido considerados de alto riesgo o riesgo medio por el Gobierno, en base a criterios técnicos y aspectos estratégicos que pueden tener impacto en la seguridad, como el nivel de exposición a injerencias de terceros países, pudiendo llegar a identificarse usuarios específicos o funciones restringidas de las redes donde no puedan actuar estos suministradores calificados como de alto riesgo o riesgo medio.
En conclusión, se considera que el importante incremento del riesgo de ciberataques contra redes 5G desplegadas o a punto de ser desplegadas en nuestro país justifica la extraordinaria y urgente necesidad de adoptar cuanto antes medidas que, de acuerdo con lo establecido en la citada caja de herramientas, garanticen la ciberseguridad de la tecnología 5G y el refuerzo de la autonomía y soberanía tecnológica de la Unión Europea.
La aprobación de la llamada «Ley de Ciberseguridad 5G» (con la que identifica este real decreto-ley) está incluida como una de las reformas (Reforma C15R2) de la Componente 15 del Plan de Recuperación, Transformación y Resiliencia dedicado a «Conectividad digital, impulso de la ciberseguridad y despliegue del 5G», estando, en concreto, prevista como Hito CID 235 «la entrada en vigor de la Ley de Ciberseguridad 5G».
Se cumple el principio de necesidad, pues este real decreto-ley se dicta para garantizar un bien de interés general, como es la seguridad y confianza en las comunicaciones electrónicas; es conforme con el principio de proporcionalidad ya que las medidas son adecuadas a los riesgos identificados en cada caso; se ajusta al principio de seguridad jurídica porque se reconoce el marco normativo vigente en materia de seguridad y solo se añaden requisitos y controles adecuados a la singularidad de las redes y servicios 5G y sus riesgos. Se respeta el principio de transparencia ya que los interesados han podido participar en el procedimiento de elaboración de un borrador de anteproyecto de ley previo. Por último, cumple el principio de eficiencia pues se han limitado las cargas administrativas al mínimo imprescindible para conseguir el fin perseguido de la seguridad.
En su virtud, haciendo uso de la autorización contenida en el artículo 86 de la Constitución Española, a propuesta de la Ministra de Asuntos Económicos y Transformación Digital, y previa deliberación del Consejo de Ministros en su reunión del día 29 de marzo de 2022,
DISPONGO:
CAPÍTULO I. Disposiciones generales
Artículo 1. Objeto.
Este real decreto-ley establece requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (5G).
Artículo 2. Objetivos.
Este real decreto-ley persigue los siguientes objetivos:
Impulsar una seguridad integral del ecosistema generado por la tecnología 5G.
Reforzar la seguridad en la instalación y operación de las redes de comunicaciones electrónicas 5G y en la prestación de los servicios de comunicaciones móviles e inalámbricas que se apoyen en las redes 5G.
Promover un mercado de suministradores en las redes y servicios de comunicaciones electrónicas 5G suficientemente diversificado en aras de garantizar la seguridad basada en razones técnicas, estratégicas y operativas y evitar, por dichas razones, la presencia de suministradores con una calificación de alto riesgo o de riesgo medio en determinados elementos de red o ámbitos.
Reforzar la protección de la seguridad nacional.
Fortalecer la industria y fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G.
Artículo 3. Definiciones.
A los efectos de este real decreto-ley, se entenderá por:
«Operador 5G»: la persona física o jurídica que instala, despliega o explota redes públicas 5G o presta servicios 5G disponibles al público a través, total o parcialmente, de las redes 5G, disponga de red 5G propia o no, y ha notificado al Registro de operadores el inicio de su actividad o está inscrita en el Registro de operadores.
«Redes 5G» o «redes basadas en la tecnología 5G»: el conjunto integrado de elementos o infraestructuras de red, ya sean hardware o software, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, incluidos los recursos asociados e infraestructuras digitales, que permitan el transporte de señales con los que proporcionar conectividad móvil e inalámbrica y, a través de ella, prestar servicios de comunicaciones electrónicas e inalámbricas a usuarios y empresas con características avanzadas, que incorporen las funciones y capacidades y respondan a los casos de utilización recogidos en la Recomendación UIT-R M.2083, de la Unión Internacional de Telecomunicaciones, o en el estándar técnico de la organización 3GPP (3rd Generation Partnership Project: Proyecto de Colaboración para la Tercera Generación).
Estas características avanzadas son, entre otras, la computación integrada en la red, transmisión de grandes volúmenes de datos a alta velocidad, mínima latencia en las comunicaciones, alta fiabilidad y capacidad para conectar un número masivo de dispositivos a la red o la provisión de servicios específicos para determinados usos o aplicaciones.
Se considera que forman parte de las redes 5G la totalidad de los elementos de red, infraestructuras, recursos y funciones de las redes empleadas para ofrecer servicios con las capacidades señaladas, aun cuando también sean usados en las redes y servicios de comunicaciones electrónicas de generaciones móviles precedentes.
«Riesgo»: toda circunstancia o hecho razonablemente identificable que tenga un posible efecto adverso en la seguridad de las redes y servicios 5G.
«Seguridad»: la capacidad de las redes y servicios 5G de resistir, con un nivel determinado de fiabilidad, toda acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de dichas redes y servicios, de los datos almacenados, procesados o transmitidos, o de los servicios accesibles a través de ellos.
⋯
La consulta de este documento no sustituye la lectura del Boletín Oficial del Estado correspondiente. No nos responsabilizamos de posibles incorrecciones producidas en la transcripción del original a este formato.