La Comisión Europea, órgano ejecutivo de la Unión Europea (UE), ha propuesto una nueva legislación sobre ciberseguridad que obligaría a los Estados miembros a eliminar a proveedores extranjeros “de alto riesgo” de infraestructuras críticas de tecnología de la información y la comunicación (TIC), especialmente en redes de telecomunicaciones. La reforma pretende reforzar las defensas frente a las amenazas cibernéticas y asegurar las cadenas de suministro para infraestructuras clave en todo el bloque.
Según la propuesta, la UE realizaría evaluaciones conjuntas de riesgos a los proveedores y podría imponer restricciones o prohibiciones en equipos y servicios que planteen preocupaciones de seguridad nacional. Las nuevas normas cubrirían unos 18 sectores críticos, incluyendo redes móviles, servicios en la nube, dispositivos médicos y sistemas de seguridad fronteriza, y otorgarían a la Comisión la autoridad para coordinar evaluaciones de riesgos entre los Estados miembros.
La legislación se basa en esfuerzos anteriores de la UE, como el 5G Security Toolbox, un marco voluntario introducido en 2020 que animaba a los Estados miembros a limitar la dependencia de proveedores considerados “de alto riesgo”, sin requisitos legalmente vinculantes. Funcionarios han expresado anteriormente preocupaciones sobre posibles riesgos vinculados a productos tecnológicos de ciertas empresas de terceros países, aunque no se mencionan empresas específicas en el borrador del texto.
Los operadores de telecomunicaciones y otros proveedores de infraestructura tendrían periodos de transición para retirar o reemplazar equipos identificados como de alto riesgo una vez establecida una lista de proveedores según la ley. En las propuestas vistas por los medios de comunicación, los estados miembros tendrían hasta 36 meses para eliminar este tipo de equipos de las redes móviles tras la publicación de la lista.
La reforma también revisaría la actual Ley de Ciberseguridad de la UE, que establece marcos y roles de certificación en ciberseguridad para la Agencia Europea de Ciberseguridad (ENISA), y la ampliaría para incluir restricciones obligatorias a los proveedores como parte de los esfuerzos más amplios para proteger las cadenas de suministro de TIC.
Los responsables políticos europeos han descrito estos cambios como parte de esfuerzos para reforzar la “soberanía tecnológica” y reducir la dependencia de proveedores externos con posibles vínculos con gobiernos extranjeros o riesgos geopolíticos. Los partidarios argumentan que evaluaciones exhaustivas de riesgos y medidas coordinadas mejorarán la resiliencia frente a los ciberataques y las presiones en la cadena de suministro.
Los críticos de la reforma prevista han expresado preocupación sobre posibles implicaciones comerciales y legales, señalando que las restricciones basadas en el país de origen podrían ser impugnadas bajo las normas de la Organización Mundial del Comercio si no se basan en pruebas técnicas de riesgo. La propuesta debe ser revisada y aprobada por el Parlamento Europeo y los Estados miembros de la UE antes de convertirse en ley.