Este martes, el Ejecutivo comunitario propuso una regulación de ciberseguridad de obligado cumplimiento, cuyo objetivo es obligar a España y al resto de Estados miembros a excluir a Huawei de las redes 5G críticas. Una vez aprobada, los gobiernos y operadores tendrán un plazo de 3 años para implementar la escisión.

Bruselas estima que el impacto económico de eliminar progresivamente a los proveedores de alto riesgo de la red móvil de la UE sería de entre 3.000 y 4.000 millones de euros.

En su llamada «caja de herramientas» para las redes 5G de 2023, la Comisión ya determinó que Huawei y ZTE presentan «riesgos sustanciales» en términos de ciberseguridad y aconsejó a las capitales excluir a las dos empresas para proteger las infraestructuras críticas de posibles interferencias y espionaje por parte del Gobierno de Pekín.

Sin embargo, el Gobierno de Sánchez ha hecho caso omiso a las recomendaciones de Bruselas y ha seguido adjudicando contratos a Huawei. El Ejecutivo comunitario ya reprendió a España el año pasado por el contrato para el suministro de infraestructura de almacenamiento para el sistema SITEL, que alberga interceptaciones telefónicas judiciales.

«El contrato celebrado por el Ministerio del Interior español con Huawei tiene el potencial de generar dependencia de un proveedor de alto riesgo en un sector crítico y sensible que aumentaría el riesgo de injerencias extranjeras», advirtió el vicepresidente tercero de la Comisión y responsable de Soberanía Tecnológica. Henna Virkkunen.

El nuevo reglamento, que tiene que ser aprobado tanto por los Gobiernos (por mayoría cualificada) como por el Parlamento Europeo, no contiene ningún catálogo de empresas o países extracomunitarios en riesgo en materia de ciberseguridad. Se limita a fijar los criterios que se utilizarán para preparar el lista negra una vez aprobada la norma.

Sin embargo, en Bruselas dan por hecho que Huawei aparecerá desde el principio entre las empresas prohibidas en infraestructuras estratégicas. «Obviamente, el mercado no ha cambiado desde que propusimos el conjunto de herramientas.«, explican fuentes comunitarias.

«Las amenazas a la ciberseguridad no son sólo desafíos técnicos. Son riesgos estratégicos para nuestra democracia, nuestra economía y nuestra forma de vida», afirmó el vicepresidente de la Comisión.

«Con el nuevo reglamento de ciberseguridad tendremos los medios para proteger mejor nuestras cadenas de suministro de tecnologías de la información y la comunicación (TIC) críticas y también para combatir decisivamente los ciberataques. Este es un paso importante para garantizar nuestra soberanía tecnológica europea y reforzar la seguridad de todos«dice Virkkunen.

El nuevo reglamento refuerza el papel de la Agencia de Ciberseguridad de la Unión Europea (ENISA), ampliando sus funciones para anticipar, prevenir y responder a amenazas comunes.

La agencia podrá emitir alertas tempranas, apoyar a las empresas contra los ciberataques -incluido el ransomware- en coordinación con Europol y los equipos nacionales, y mejorar la gestión de las vulnerabilidades. Además, gestionará un punto único de notificación de incidentes a nivel de la UE y reforzará la formación del talento con una Academia Europea de Ciberseguridad y sistemas comunes de certificación de competencias.