Bruselas presiona a España para que aparte a Huawei de sus redes críticas

Bruselas quiere poner coto a la presencia de proveedores chinos en las redes críticas europeas. La Comisión Europea ha presentado un paquete de ciberseguridad para endurecer el control sobre la cadena de suministro de las TIC que permitirá excluir a proveedores considerados de «alto riesgo» en sectores e infraestructuras esenciales. La iniciativa supone un toque de atención al Gobierno español, cuyos vínculos con Huawei han sido cuestionados tanto por el Ejecutivo comunitario como por Washington.

La propuesta gira alrededor de la Ley de Ciberseguridad, que la Comisión estudia modificar con el objetivo de establecer un marco «armonizado, proporcionado y basado en el riesgo» para reducir vulnerabilidades en la cadena de suministro TIC. El texto contempla una coordinación reforzada para identificar riesgos en 18 sectores críticos y, a partir de esa evaluación, activar medidas conjuntas de mitigación a escala de la UE.

El paquete incluye además cambios para simplificar el cumplimiento de las obligaciones de ciberseguridad y reducir cargas administrativas, con referencias a la Directiva NIS2 y al objetivo de concentrar la notificación de incidentes a través de mecanismos más claros. Bruselas sostiene que el ajuste busca aportar seguridad jurídica y evitar duplicidades en un marco regulatorio que se ha ido densificando en los últimos años.

Otro punto clave es la reforma del Marco Europeo de Certificación de la Ciberseguridad (ECCF). La Comisión pretende acelerar la creación de esquemas de certificación –con plazos objetivo de 12 meses–, clarificar procedimientos y reforzar la transparencia mediante consultas públicas. Aunque la certificación seguirá siendo voluntaria, Bruselas espera que empresas y organizaciones acrediten de forma más sencilla el cumplimiento de estándares europeos y reduzcan costes.

También contempla reforzar la Agencia de la UE para la Ciberseguridad (Enisa), que ganaría peso como coordinador y punto de apoyo en la gestión de amenazas. Bruselas quiere que la agencia emita alertas tempranas, mejore la respuesta frente a incidentes –incluidos ataques de ransomware– y contribuya al desarrollo de capacidades y talento con una Academia de Habilidades de Ciberseguridad y programas de certificación de competencias.

La vicepresidenta de Soberanía Tecnológica, Seguridad y Democracia, Henna Virkkunen, ha advertido que las amenazas a la ciberseguridad «no son solo desafíos técnicos», sino que representan «riesgos estratégicos para nuestra democracia, economía y estilo de vida». En su opinión, el nuevo paquete permitirá proteger mejor las cadenas críticas de suministro TIC y responder con más firmeza a los ciberataques, como parte del objetivo de reforzar la «soberanía tecnológica europea».

Huawei y ZTE, bajo la lupa

La norma permitirá el derisking obligatorio (eliminación de riesgos) en redes europeas de telecomunicaciones móviles, «basándose en el trabajo ya realizado» en el marco del 5G Toolbox, el conjunto de herramientas lanzado por la UE para reforzar la seguridad del despliegue 5G. Hasta ahora, estas recomendaciones eran voluntarias y su aplicación entre los Veintisiete ha sido desigual.

Bruselas plantea mecanismos para facilitar una retirada progresiva de equipos vinculados a proveedores considerados de alto riesgo en infraestructuras críticas, con plazos que podrían alcanzar 36 meses para redes móviles una vez se publique una lista final de suministradores afectados. La iniciativa ha encontrado resistencias en algunos Estados miembros, entre ellos España y Alemania.

Aunque el texto evita citar empresas concretas, la Comisión insiste en la necesidad de reducir la exposición a proveedores de terceros países de «alto riesgo», una formulación que en Bruselas se interpreta como una referencia directa a las tecnológicas chinas Huawei y ZTE, bajo escrutinio comunitario desde 2019. La reforma permitiría excluirlas como suministradores en ámbitos críticos.

De hecho, fuentes comunitarias señalan que «no se puede predecir de antemano qué habrá en la lista, pero el mercado no ha cambiado». En otras palabras, la industria da por hecho que Huawei figura entre los principales objetivos del nuevo marco europeo.

Un caballo de Troya

La preocupación de la Comisión se debe a las particularidades de la legislación china, que obliga a las empresas del gigante asiático a cooperar con los servicios de inteligencia de Pekín. El artículo 7 de la Ley de Inteligencia Nacional de 2017 establece la obligación de «apoyar, asistir y cooperar» con el trabajo de inteligencia del Estado y mantener la confidencialidad. En la práctica, este marco abre la puerta para que las empresas que están gestionando comunicaciones sensibles o infraestructuras esenciales faciliten el acceso de información al espionaje del gigante asiático, con el consiguiente riesgo para la seguridad.

La Ley de Seguridad de Datos y la Ley de Criptografía refuerzan el control estatal sobre flujos de información y sistemas cifrados. Para los expertos, el problema no es el proveedor en sí mismo, sino la combinación entre dependencia tecnológica, opacidad y capacidad legal del Estado para exigir colaboración.

Este argumento es el que lleva tiempo utilizando Washington para justificar vetos y restricciones, y el que Bruselas ratifica. En el nuevo paquete, la Comisión insiste en que la seguridad de la cadena de suministro debe entenderse como un factor estratégico ligado a dependencias y riesgos sistémicos.

Escuchas judiciales

Con la nueva propuesta, el Ejecutivo comunitario quiere evitar situaciones como la ocurrida en España el pasado verano, cuando el Ministerio del Interior firmó contratos valorados en 12,3 millones de euros con Huawei para la gestión del almacenamiento del sistema SITEL, utilizado en escuchas judiciales.

El acuerdo levantó ampollas en Washington y en Bruselas. Virkkunen advirtió de que el contrato podía «crear potencialmente una dependencia de un proveedor de alto riesgo en un sector crítico y sensible que aumentaría el riesgo de injerencia extranjera», y recordó que la Comisión ya había señalado que Huawei y ZTE presentan «riesgos significativos mayores que otros proveedores», recomendando a los Estados miembros restringir e incluso excluir a ambas compañías de infraestructuras críticas.

Finalmente, el Gobierno se vio obligado a cancelar el contrato, pero meses después Adif publicó en pleno 24 de diciembre una licitación destinada al suministro de equipamiento de Huawei para su red de datos interna. La convocatoria contemplaba la compra de routers, switches y otros elementos para el mantenimiento de infraestructuras existentes del fabricante chino.

Si el Parlamento Europeo y el Consejo de la UE aprueban la reforma de la Ley de Ciberseguridad, los Estados deberán incorporar un marco que facilite medidas de exclusión y retirada de equipos en función de evaluaciones de riesgo comunes. Y, sobre todo, deja muy tocada la imagen del Gobierno español, empecinado en firmar acuerdos con Huawei a pesar de las reiteradas advertencias de Washington y el Ejecutivo comunitario.