Desde el parlamento europeo se propone una revisión del Acta de Ciberseguridad para reforzar las defensas ante amenazas crecientes y reducir la dependencia de equipos de países considerados de “alto riesgo”. La medida que podría afectar de forma significativa a proveedores extranjeros como Huawei y ZTE.
La Unión Europea presentó recientemente un ambicioso paquete de medidas que busca fortalecer la ciberseguridad de su infraestructura tecnológica crítica y limitar los riesgos asociados con proveedores externos calificados como “alto riesgo”. Esta iniciativa se enmarca en una actualización de las normas del bloque europeo para hacer frente a amenazas tanto técnicas como geopolíticas que podrían comprometer redes esenciales, como las de telecomunicaciones, la energía y otros servicios estratégicos.
En particular, la Comisión Europea ha propuesto una revisión del Acta de Ciberseguridad, cuyo objetivo es crear un marco armonizado y obligatorio para que los Estados miembros identifiquen, evalúen y mitiguen los riesgos derivados de terceros proveedores considerados de alto riesgo, sobre todo en el contexto de las cadenas de suministro de tecnología de la información y comunicación (TIC). Este enfoque reconoce que la seguridad no se limita a productos o servicios individuales, sino que incluye riesgos ligados al origen de los proveedores y a la posibilidad de interferencia extranjera.
Dentro de esta revisión normativa, una de las propuestas más destacadas es la eliminación gradual en un plazo de tres años de equipos de telecomunicaciones de proveedores de “alto riesgo” en las redes de infraestructura crítica del bloque. Aunque el texto legal no menciona directamente países o empresas, observadores y analistas coinciden en que estas estrictas medidas están orientadas principalmente a fabricantes chinos de equipos de red como Huawei y ZTE, que han enfrentado prohibiciones similares en otros mercados como Estados Unidos.
Según la Comisión, la intención de este plan es proteger a los ciudadanos y empresas de la Unión Europea reforzando las cadenas de suministro de TIC que sustentan sectores vitales de la economía y la sociedad, y hacer cumplir normas que hasta ahora eran en gran medida voluntarias o recomendatorias en materia de seguridad. Bajo las nuevas reglas, los operadores de redes móviles dispondrán de un plazo para retirar los componentes considerados de riesgo una vez que se publique una lista oficial de proveedores afectados, y se espera que otros sectores clave como redes fijas y satelitales establezcan sus propios cronogramas.
La propuesta también contempla medidas más amplias que reorganizan el enfoque de seguridad de la UE. Entre ellas se incluye la realización de evaluaciones de riesgo en colaboración con al menos tres Estados miembros y análisis detallados del impacto en el mercado antes de imponer restricciones, con el objetivo de equilibrar la seguridad con consideraciones económicas y de competencia.
Estas iniciativas han generado reacciones encontradas. China ha criticado la medida, calificándola de proteccionista y discriminatoria, argumentando que podría violar los principios de la Organización Mundial del Comercio (OMC) y perjudicar la confianza de los inversores. El gobierno chino también ha instado a la UE a mantener un ambiente justo y transparente para las empresas de ese país en Europa.
Por su parte, defensores de la reforma señalan que la prevalencia de incidentes cibernéticos, desde ransomware hasta espionaje sofisticado, han aumentado significativamente, y que las normas existentes no han logrado una coordinación eficaz entre países del bloque. La experiencia acumulada desde la introducción del 5G Security Toolbox en 2020 -una guía original para limitar la presencia de proveedores de alto riesgo- ha demostrado que las medidas voluntarias no son suficientes para garantizar una defensa homogénea de la infraestructura crítica en todo el territorio de la UE.
La propuesta ahora debe ser debatida y aprobada por el Parlamento Europeo y los Estados miembros antes de convertirse en ley, un proceso que podría durar varios meses.