La tecnología 5G ha sido, y es considerada por la Comisión Europea, como una oportunidad estratégica y competitiva, ya que permite transformaciones industriales mediante servicios inalámbricos de banda ancha a velocidades de gigabit, el apoyo de nuevos tipos de aplicaciones que conectan objetos y dispositivos (IoT) y la versatilidad de las redes mediante la virtualización del “software”. Este conjunto de características, entre otras, permitirá modelos empresariales innovadores en numerosos sectores (por ejemplo, transportes, sanidad, industria manufacturera, logística, energía, medios de comunicación y entretenimiento).
La interconexión del 5G con otras redes, el carácter transnacional de los ciberataques y el previsible empleo del 5G para funciones esenciales en la economía y la sociedad, hace prever el impacto potencialmente elevado en infraestructuras críticas en caso de sufrir un incidente de seguridad. No debemos olvidar la multiplicidad de puntos de acceso, además del ingente envío de información que se prevé con el uso de esta nueva tecnología.
Primeros pasos del 5G en Europa
Ya en 2016, la Comisión Europea inició un plan de acción que contemplaba la adopción de esta tecnología para el período 2020-2025 mediante el programa “Configurando el futuro digital de Europa”. El 29 de enero de 2020, se publicó la “caja de herramientas” o “toolbox” europeo en el que se identifican un conjunto de medidas susceptibles de ser adoptadas por los Estados miembros para mitigar los principales riesgos para la ciberseguridad de las redes 5G y para guiar a los Estados miembros en la selección de las medidas que deben priorizarse en los planes de mitigación de riesgos a nivel estatal y comunitario, de modo que se asegure un adecuado nivel de ciberseguridad de las redes 5G a escala europea y unos criterios coordinados entre Estados miembros, España entre ellos.
Todos estos estudios, disposiciones y recomendaciones han permitido la creación en España de un Borrador de Anteproyecto de Ley sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación”“. Este Anteproyecto de Ley es la adaptación legislativa que se ha realizado en España, en base a las diferentes disposiciones europeas relativas a la certificación y requisitos que se impondrán para el despliegue del 5G y que se encuentran referidas en el párrafo anterior. Cabe destacar que, cada Estado miembro, decidirá cómo aplicar en su legislación la implantación del 5G, siempre en base a las recomendaciones europeas. En este artículo extraeremos lo más relevante en cuando a certificación de ciberseguridad se refiere según la legislación española.
Un nuevo y determinante actor entra en escena, los suministradores.
El adecuado funcionamiento de las redes 5G dependerá notablemente de sistemas informáticos y de servicios proporcionados por proveedores de hardware, software y de servicios 5G (llamados suministradores) externos, pero no ajenos a los operadores de telecomunicaciones tradicionales. Por lo tanto, se crea una gran dependencia de dichos suministradores, lo que aumenta, lógicamente, el nivel de riesgo.
Los operadores deberán examinar las prácticas de seguridad de sus suministradores que puedan repercutir en los productos y servicios que les proporcionan y deberán gestionar los riesgos derivados de la actuación de sus suministradores. Por lo tanto, los operadores están obligados a exigirle el cumplimiento de estándares de seguridad, desde el diseño de los productos hasta su puesta en funcionamiento, así como el control de su propia cadena de suministro.
Certificación en redes y servicios 5G, ¿es obligatoria?
Es una preguntar difícil de contestar y que deberíamos contemplar a dos niveles. En el plano de la empresa privada, en un principio no es obligatoria a no ser que la empresa contratante lo exija, aunque sí muy recomendable. A nivel de acceso a licitaciones públicas, cambia la perspectiva, a tenor de lo indicado en el Artículo 15 del Anteproyecto de Ley: “El Gobierno podrá supeditar la utilización de un equipo, programa o servicio externo en la gestión de las redes 5G a la previa obtención de una certificación en virtud del Reglamento (UE) 200119/881 del Parlamento Europeo". Las certificaciones comprendidas dentro de este reglamento son aquellas incluidas en el Cybersecurity Act y contempladas en el URWP, tal y como explicamos hace uno meses en nuestro blog “La certificación de ciberseguridad en Europa - 2 años del Cybersecurity Act”.
Por lo tanto, se entiende que, la Administración puede, en caso de que lo considere procedente, exigir la posesión de una certificación de ciberseguridad derivada de un esquema de certificación europeo incluido en el Reglamento (UE) 2019/881. Además, se guarda la condición de poder excluir los suministradores que no cuenten con las certificaciones requeridas, según el objeto de contrato.
Esta perspectiva impone a los licitantes la obligación de acreditar la certificación pertinente, ya que, de otro modo no podrán ser adjudicatarios de dicha licitación. Nuestra recomendación es, siempre que sea posible, ser previsor y estar preparado para este tipo de casos, iniciando el proceso de certificación antes de encontrarnos ante la imposibilidad de aplicar a ciertas licitaciones.
Alcance y objetivos del nuevo esquema 5G
Ante el inminente despliegue de la tecnología 5G en Europa en los próximos años, la Unión Europea incluyó dentro del URWP la creación de un esquema de ciberseguridad específico para dicha tecnología. El objetivo de la creación de este nuevo esquema no es otro que la de mejorar el marco de la ciberseguridad de la 5G y asegurar que dicho despliegue en la Unión Europea se realice de forma segura.
Tras la creación de un AHWG (Ad Hoc Working Group) por parte de ENISA, previa solicitud por parte de la Comisión Europea, actualmente nos encontramos en la fase de creación del primer borrador del esquema candidato para redes 5G (esquema EU 5G). Este esquema centrará su alcance en los siguientes casos de uso para la certificación de ciberseguridad 5G:
¿Cómo podemos ayudarte en la certificación de ciberseguridad en el 5G?
Somos un laboratorio con una sólida especialización en evaluar productos y servicios TIC bajo diferentes estándares, algunos tan reconocidos como LINCE, Common Criteria o ETSI EN 303 645.
Además, contamos con experiencia en la creación de esquemas europeos formando parte activa del AHWG para la creación del EUCC, proyecto que se encuentra en su fase final. Por último, somos miembros del SCCG (Stakeholder Cybersecurity Certification Group) asesorando a la Comisión Europea en materia de ciberseguridad.
¡Cuéntanos que necesitas y te ayudaremos!
