Bruselas impulsa una ley para vetar a Huawei y ZTE en infraestructuras críticas de la UE

La Comisión Europea presentó este martes su nueva Ley de Ciberseguridad, un marco legislativo que sienta las bases para prohibir la participación de proveedores considerados de “alto riesgo”, como las compañías chinas Huawei y ZTE, en el desarrollo de infraestructuras críticas de la Unión Europea.

El Ejecutivo comunitario, que desde 2019 identifica a ambas empresas como una amenaza para la seguridad europea, busca ahora convertir en obligatorias unas recomendaciones que hasta la fecha eran voluntarias y que han tenido una aplicación desigual entre los Estados miembro.

La propuesta establece un sistema de evaluación de riesgos que permitirá a Bruselas elaborar una lista vinculante de compañías vetadas. La Comisión podrá iniciar este análisis por iniciativa propia o a petición de al menos tres Estados miembros. Una vez que una empresa sea incluida en la lista, los países estarán obligados a excluirla de sus infraestructuras esenciales en un plazo máximo de tres años.

Aunque la norma no menciona explícitamente a ningún país o compañía, fuentes comunitarias admiten que “el mercado no ha cambiado” desde que en 2023 Bruselas señalara a Huawei y ZTE como proveedores que “presentan riesgos sustanciales más altos” que sus competidores.

Virkkunen: “Las amenazas de ciberseguridad son riesgos estratégicos para nuestra democracia”

“Las amenazas a la ciberseguridad no son solo desafíos técnicos. Son riesgos estratégicos para nuestra democracia, nuestra economía y nuestro estilo de vida”, afirmó la vicepresidenta de la Comisión y responsable de la política digital, Henna Virkkunen.

La comisaria defendió que el paquete legislativo supone “un paso importante para asegurar la soberanía tecnológica europea y garantizar una seguridad mayor para todos”, al dotar a la UE de los medios necesarios para “proteger mejor las cadenas de suministro de las infraestructuras tecnológicas críticas y combatir de manera decisiva los ciberataques”.

La protección de las redes 5G y 6G es uno de los ejes centrales del texto, pero la Comisión identifica también otras diez áreas estratégicas (como el suministro de agua y electricidad, los servicios de computación en la nube, los equipos de vigilancia, los dispositivos médicos o los semiconductores) en las que considera necesario limitar el acceso de empresas que puedan comprometer la seguridad europea.

irkkunen confirmó que Bruselas publicará un “catálogo de proveedores de servicios problemáticos” y supervisará que los Estados miembros adopten medidas para que, “en el plazo de tres años”, estas compañías queden fuera de los contratos públicos.

Huawei denuncia discriminación y advierte de que defenderá sus “intereses legítimos”

Huawei reaccionó con dureza a la propuesta comunitaria. La compañía considera que la iniciativa “viola los principios jurídicos básicos de la UE de equidad, no discriminación y proporcionalidad, así como sus obligaciones en el marco de la Organización Mundial del Comercio (OMC)”.

Fuentes oficiales de la empresa aseguraron que Huawei “seguirá proporcionando productos y servicios seguros y fiables” y advirtieron de que se reserva “todos los derechos para salvaguardar sus intereses legítimos”.

Las telecos alertan de costes multimillonarios y riesgos para el despliegue del 5G

El sector europeo de las telecomunicaciones también expresó su preocupación por el impacto económico de la medida. La GSMA, una de las principales asociaciones del sector, alertó de que, “en tiempos de fricción geopolítica” y con un “panorama de riesgos en constante evolución”, los operadores ya realizan “inversiones sustanciales” para garantizar la resiliencia de las redes.

La organización considera que la exclusión obligatoria de proveedores de alto riesgo implicaría “costes sustanciales” que podrían reducir los recursos destinados a la modernización de las infraestructuras y a las mejoras de conectividad.

“Las revisiones propuestas a la Ley de Ciberseguridad dificultan este proceso y, en última instancia, podrían socavar la capacidad de los operadores europeos para modernizar las redes a buen ritmo”, advirtió.

En la misma línea, Connect Europe alertó de que el borrador legislativo podría derivar en “políticas que debilitarían significativamente al mismo sector que pretenden proteger”. La asociación recordó que los operadores afrontan “importantes requisitos de inversión” para completar el despliegue del 5G y la fibra, y que las restricciones propuestas podrían añadir “multimillonarios costes regulatorios adicionales que probablemente se subestimen”.

La entidad reclamó mecanismos de compensación para evitar un impacto negativo en el despliegue y la continuidad operativa de las redes, e instó a los legisladores europeos a “corregir la propuesta de la CSA durante el proceso legislativo y garantizar que ofrezca resultados de seguridad efectivos sin comprometer la competitividad digital de Europa”.

ENISA gana peso en un contexto de ciberataques crecientes

La reforma también refuerza el papel de la Agencia Europea para la Ciberseguridad (ENISA), que asumirá nuevas funciones de coordinación y apoyo técnico. Según datos de la propia agencia, Polonia, Francia y España fueron la semana pasada los países que más incidentes cibernéticos registraron (97, 14 y 8, respectivamente), mientras que Alemania, Francia, Italia y España han destinado 307.000 millones de euros entre 2020 y 2025 para hacer frente a los ciberataques.

Además, Bruselas plantea renovar el Marco Europeo de Certificación de la Ciberseguridad (ECCF) para simplificar los procedimientos y reducir los plazos de certificación a doce meses.