Ayer la vicepresidenta de Soberanía Tecnológica de la Comisión Europea, Henna Virkkunen, presentó un nuevo reglamento de ciberseguridad que prohíbe a las empresas chinas operar redes de telecomunicaciones en Europa.
Después de años de recomendaciones voluntarias, que han permanecido casi en letra muerta, la Comisión ha tenido que sacar el garrote para expulsar a los “proveedores de alto riesgo de terceros países”, que es un eufemismo para referirse de las empresas chinas.
“Recomendamos que los Estados miembros excluyan a los proveedores de alto riesgo de las redes 5G. Pero como no funcionó de forma voluntaria, proponemos en nuestra legislación hacer obligatoria su exclusión”, afirmó Virkkunen.
Desde 2020 sólo 13 de los 27 Estados miembros han tomado medidas para excluir a los fabricantes chinos de los equipos de sus infraestructuras. Las redes europeas siguen plagadas de equipos chinos, lo que alimenta la paranoia: espionaje, injerencia…
Una vez que se apruebe, la Comisión tendrá que identificar “terceros países con problemas de ciberseguridad”. Luego se enumeran las empresas controladas por los “países sospechosos”. Para las redes móviles 5G, el único sector en el que se han completado los trabajos preparatorios, los operadores tendrán tres años para expulsar a las empresas chinas poco a poco. El coste estimado de la operación oscila entre 3 y 4.000 millones de euros, según la Comisión.
El nuevo reglamento de ciberseguridad no se limita a las telecomunicaciones. Bruselas está creando un marco disciplinario para asegurar las cadenas de suministro de tecnologías de la información y la comunicación en los 18 sectores críticos (cubiertos por la directiva NIS2): energía, salud, transporte, espacio, dispositivos médicos, drones, almacenamiento eléctrico, servicios en la nube, semiconductores…
Por si a alguien no le hubiera quedado claro, el reglamento vulnera los principios sobre los que se construyó la Unión Europea. Rompe las reglas del mercado e impone nuevasa normas discriminatorias, por más que las empresas incluidas en la lista negra puedan solicitar un permiso a Bruselas, siempre que demuestren que han tomado medidas para mitigar los riesgos. Se creará un registro público de “empresas exentas”.
Las nuevas medidas refuerzan la Agencia de la Unión Europea para la Ciberseguridad (ENISA), un pilar fundamental del sistema: 100 empleados adicionales, un presupuesto duplicado y misiones ampliadas. La agencia no se limitará a elaborar informes y directrices. Se convertirá en miembro de pleno derecho de la red CSIRT (Equipos de Respuesta a Emergencias Informáticas), emitirá alertas tempranas, gestionará vulnerabilidades a escala europea y creará una línea de ayuda especializada en ataques informáticos en colaboración con Europol.
Actualmente el 80 por cien de los ataques informáticos se basan en inteligencia artificial. ENISA desarrollará un sistema de certificación de competencias en ciberseguridad, válido en toda la Unión Europea, para cubrir las 300.000 vacantes del sector.
Quizá no sea superfluo recordar a los picapleitos que limitar o excluir a empresas no pertenecientes a la Unión Europea sobre la base del país de origen viola los principios jurídicos fundamentales de la Unión Europea, como el de no discriminación, por poner un ejemplo. No obstante, a diferencia de China, Bruselas evita cuidadosamente a los gigantes estadounidenses de la nube (Amazon, Microsoft, Google) y no introduce criterios de soberanía tecnológica en el programa de certificación de servicios en la nube.
En fin, como en el caso de Ucrania, Bruselas se ha vuelto a confundir de adversario.
Ahora hay que esperar las represalias de China, que los medios de comunicación presentarán como “agresiones no provocadas”.
