La Comisión Europea ha propuesto revisiones radicales a su Ley de Ciberseguridad, con el objetivo de reforzar la supervisión de los proveedores de tecnología de alto riesgo que operan dentro de la UE. Esta medida se produce en medio de una escalada de ciberataques y preocupaciones de larga data sobre la dependencia de proveedores de países que se perciben como riesgos para la seguridad nacional, en particular empresas chinas como Huawei y ZTE.
Las crecientes amenazas cibernéticas impulsan la acción
Los ciberataques en toda la UE son cada vez más frecuentes y sofisticados. Datos recientes indican alrededor de 150 incidentes reportados solo en la última semana, que incluyen ransomware, espionaje y ataques dirigidos a infraestructura crítica. Este aumento de la actividad subraya la urgencia de adoptar un enfoque más coordinado para la seguridad de la cadena de suministro.
Durante años, Bruselas ha expresado su frustración con la naturaleza voluntaria de la Caja de herramientas de seguridad 5G 2020, que alentaba, pero no obligaba a los estados miembros, a limitar a los proveedores de alto riesgo. La comisaria de Tecnología, Henna Virkkunen, ha enfatizado repetidamente que las medidas voluntarias son insuficientes, dado que los proveedores de alto riesgo siguen integrados en las redes 5G de Europa.
Nuevos poderes para la Comisión y ENISA
Según el marco revisado, la Comisión obtendría la autoridad para realizar evaluaciones de riesgos a nivel de la UE, lo que podría conducir a restricciones o prohibiciones sobre los equipos utilizados en infraestructuras sensibles. Las evaluaciones considerarán el país de origen de un proveedor y su impacto en la seguridad nacional, aunque en principio se pretende que el proceso sea neutral respecto del país, lo que significa que las empresas estadounidenses también podrían enfrentar un escrutinio bajo ciertas condiciones.
La Agencia de la UE para la Ciberseguridad (ENISA) también verá ampliado significativamente su papel. ENISA emitirá alertas tempranas sobre amenazas emergentes, coordinará respuestas a incidentes importantes (como ataques de ransomware) en colaboración con Europol y las autoridades nacionales, y supervisará un sistema centralizado de notificación de incidentes de la UE.
Costos de transición y cumplimiento
La Comisión reconoce que la eliminación gradual de los proveedores de alto riesgo conllevará costes económicos. Los operadores de telecomunicaciones tendrán varios años para abandonar estos proveedores, mientras que la Comisión promete simplificar los procedimientos de certificación y reducir las cargas de cumplimiento para las empresas que operan en varios estados miembros. Esta agenda de simplificación tiene como objetivo equilibrar las preocupaciones de seguridad con las realidades económicas.
Obstáculos políticos y retrasos en la implementación
La propuesta ahora enfrenta negociaciones con el Parlamento Europeo y los gobiernos de la UE, donde se espera resistencia de las capitales que dudan en ceder el control sobre las decisiones de seguridad nacional a Bruselas. Dada esta oposición y la complejidad de su implementación, es poco probable que la Ley de Ciberseguridad revisada esté en pleno funcionamiento hasta dentro de varios años.
Este retraso plantea dudas sobre la capacidad de la UE para contrarrestar eficazmente la interferencia extranjera existente en infraestructuras críticas. Si bien el nuevo marco representa un paso importante hacia el fortalecimiento de la supervisión de la ciberseguridad, su eficacia a largo plazo dependerá de una acción rápida y unificada de los Estados miembros.
