Despliegue de la tecnología 5G en la UE: Retrasos en el despliegue de redes y problemas de seguridad que siguen sin resolverse

Resumen

I La «quinta generación» de sistemas de telecomunicaciones, o 5G, es una nueva norma mundial de transmisión inalámbrica que ofrece una capacidad de datos y una velocidad de transmisión mucho mayores. Los servicios 5G son fundamentales para un amplio abanico de aplicaciones innovadoras que pueden transformar numerosos sectores de nuestra economía y mejorar la vida cotidiana de los ciudadanos. Por tanto, la tecnología 5G reviste una importancia estratégica para el conjunto del mercado interior.

II En su Plan de Acción 5G de 2016, la Comisión planteó el objetivo de garantizar que las zonas urbanas y las principales vías de transporte tengan cobertura 5G ininterrumpida antes de 2025. En marzo de 2021, amplió el objetivo para incorporar cobertura 5G en todas las zonas pobladas antes de 2030.

III Si bien la tecnología 5G puede generar numerosas oportunidades de crecimiento, también entraña riesgos. En su Recomendación de 2019 sobre la ciberseguridad de la tecnología 5G, la Comisión advirtió que la dependencia de muchos servicios esenciales de las redes 5G agravaría especialmente las consecuencias de las perturbaciones generalizadas. Además, debido a la dimensión transfronteriza de las amenazas, cualquier vulnerabilidad o incidente de ciberseguridad importante en un Estado miembro afectaría a toda la UE. Uno de los resultados de la Recomendación de la Comisión fue el conjunto de instrumentos de la Unión Europea para la ciberseguridad de las redes 5G («conjunto de instrumentos»), que se adoptó en enero de 2020.

IV El coste total del despliegue de la tecnología 5G en toda la UE podría alcanzar los 400 000 millones de euros. En el período 2014‑2020, la UE proporcionó una financiación de más de 4 000 millones de euros a proyectos 5G.

V Examinamos si la Comisión ha ofrecido a los Estados miembros un apoyo eficaz para lograr los objetivos de la UE relativos al despliegue de sus redes 5G y para resolver de manera concertada los problemas de seguridad de las redes 5G. Evaluamos aspectos relativos a la implantación de las redes 5G, para lo cual 2020 fue un año decisivo, y a su seguridad. La finalidad del presente informe es aportar ideas y recomendaciones para el despliegue oportuno de redes 5G seguras en todos los países de la UE. Nuestra auditoría se centró en la Comisión, pero también examinamos el papel de las administraciones nacionales y de otros agentes.

VI Nuestra auditoría mostró que existen retrasos en el despliegue de las redes 5G por parte de los Estados miembros. Al final de 2020, veintitrés Estados miembros habían puesto en marcha servicios comerciales de 5G y habían logrado el objetivo intermedio de que al menos una gran ciudad tuviera acceso a la 5G. Sin embargo, no todos los Estados miembros hacen referencia a los objetivos para 2025 y 2030 en sus estrategias nacionales de 5G o en sus planes de banda ancha. Además, varios países aún no han transpuesto a su Derecho nacional el Código Europeo de las Comunicaciones Electrónicas, y se retrasó la asignación del espectro 5G. Estas demoras en la asignación del espectro pueden explicarse por diferentes razones: escasa demanda por parte de los operadores de redes de comunicaciones móviles, problemas de coordinación transfronteriza con los países no pertenecientes a la UE en las fronteras orientales, el impacto del COVID-19 en los calendarios de subastas, e incertidumbre sobre cómo afrontar los problemas de seguridad. La magnitud del retraso de los Estados miembros en la implantación de la tecnología 5G pone en entredicho el logro de los objetivos de la UE. La Comisión prestó apoyo a los Estados miembros en la ejecución del Plan de Acción 5G de 2016 por medio de iniciativas tanto de Derecho imperativo como de Derecho indicativo, orientaciones y financiación de la investigación relacionada con la tecnología 5G. Sin embargo, la Comisión no ha definido claramente la calidad que deben ofrecer los servicios 5G.

VII El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G indica una serie de medidas estratégicas, técnicas y de apoyo destinadas a afrontar las amenazas a la seguridad de las redes 5G e identifica cuáles son los agentes pertinentes para cada una de estas medidas. Varias medidas abordan la cuestión de los proveedores de equipos 5G que son considerados proveedores de alto riesgo. Este conjunto de instrumentos fue refrendado por la Comisión y por el Consejo Europeo. Los criterios del conjunto de instrumentos ofrecen un marco operativo que resulta útil para evaluar de forma coordinada el perfil de riesgo de los proveedores en todos los Estados miembros, aunque, al mismo tiempo, realizar esta evaluación es competencia nacional. El conjunto de instrumentos fue adoptado en una fase temprana del despliegue de la tecnología 5G, pero varios operadores de redes de comunicaciones móviles ya habían seleccionado a sus proveedores. Desde la adopción del conjunto de instrumentos se ha avanzado en el refuerzo de la seguridad de las redes 5G, y la mayoría de los Estados miembros aplican o están en proceso de aplicar restricciones a los proveedores de alto riesgo. Es posible que, en los próximos años, la legislación en materia de seguridad de las redes 5G aprobada por los Estados miembros basándose en el conjunto de herramientas dé lugar a la aplicación de un enfoque más convergente con los proveedores de 5G de alto riesgo. Sin embargo, como ninguna de las medidas propuestas son jurídicamente vinculantes, la Comisión no tiene competencias para hacerlas cumplir. Por tanto, sigue existiendo el riesgo de que el conjunto de instrumentos por sí solo no pueda garantizar que los Estados miembros afronten los aspectos de seguridad de manera concertada.

VIII La Comisión ha empezado a examinar la cuestión de las subvenciones extranjeras a los proveedores de 5G, que pueden tener implicaciones para la seguridad. No cuenta con información suficiente sobre el tratamiento de los posibles costes de sustitución que se podrían producir si los operadores de redes de comunicaciones móviles tuvieran que retirar los equipos de los proveedores de alto riesgo de las redes de la UE sin un período de transición.

IX Recomendamos a la Comisión que:

• promueva el despliegue uniforme y oportuno de las redes 5G en la UE;
• fomente un planteamiento concertado sobre la seguridad de las redes 5GG entre los Estados miembros;
• supervise los enfoques adoptados por los Estados miembros con respecto a la seguridad de las redes 5G y evalúe el impacto de las divergencias en el funcionamiento eficaz del mercado interior.

Introducción

Naturaleza e importancia de la tecnología 5G

01 La «quinta generación» de sistemas de telecomunicaciones, o 5G, es una nueva norma mundial de transmisión inalámbrica. Ofrece una capacidad de datos y una velocidad de transmisión mucho mayores que las de las redes 3G y 4G. La tecnología 5G incluye algunos elementos de red basados en las generaciones anteriores de tecnología de comunicaciones móviles e inalámbricas, pero no representa una evolución progresiva de dichas redes. Proporciona a los distintos usuarios y a los dispositivos conectados una conectividad universal de ancho de banda de velocidad ultraalta y baja latencia.

02 La tecnología 5G podrá albergar más dispositivos que nunca conectados a «internet de las cosas». Se calcula que, al final de 2018, había 22 000 millones de dispositivos conectados en uso en todo el mundo. Está previsto que esta cifra aumente hasta unos 50 000 millones de aquí a 2030¹, lo que creará una enorme red de dispositivos interconectados que abarcarán desde los teléfonos inteligentes hasta los electrodomésticos de cocina. Se prevé que el consumo mundial de datos pase de 12 exabytes de tráfico de datos móviles al mes en 2017² a más de 5 000 exabytes en 2030³.

03 Los servicios 5G son fundamentales para un amplio abanico de aplicaciones innovadoras que pueden transformar numerosos sectores de nuestra economía y mejorar la vida cotidiana de los ciudadanos (véase la ilustración 1). En un estudio llevado a cabo en 2017 para la Comisión se indicaba que los beneficios de la introducción de la tecnología 5G en cuatro sectores industriales estratégicos clave (automoción, sanidad, transporte y energía) pueden alcanzar los 113 000 millones de euros al año⁴. El estudio también anticipó que la implantación de la tecnología 5G podría crear 2,3 millones de puestos de trabajo en los Estados miembros. Según los cálculos de un estudio de 2021, entre 2021 y 2025, la tecnología 5G añadiría hasta 1 billón de euros al producto interior bruto (PIB) europeo en ese período, y podría crear o transformar hasta 20 millones de puestos de trabajo en todos los sectores de la economía⁵.

Problemas de seguridad

04 Si bien la tecnología 5G puede generar numerosas oportunidades de crecimiento, también entraña riesgos (véase el anexo I, en el que se describen los principales riesgos y oportunidades de la tecnología 5G). Entre los riesgos se cuentan las amenazas a la seguridad de las redes 5G. Los sistemas de telecomunicaciones siempre han estado expuestos a sufrir ciberataques (véase el anexo I)⁶. Los problemas de seguridad son especialmente preocupantes en la tecnología 5G porque esta ofrece una mayor superficie de ataque que los sistemas de telecomunicaciones 3G o 4G debido a su naturaleza y, en particular, a su dependencia de los programas informáticos⁷.

05 Dado que se prevé que las redes 5G se conviertan en el eje vertebrador de una amplia gama de servicios y aplicaciones, la disponibilidad de esas redes representará un importante reto para la seguridad nacional y de la UE. Cuando un hacker se introduce en una red 5G, puede poner en peligro las funciones básicas de la red para interrumpir los servicios o hacerse con el control de infraestructuras críticas (por ejemplo, las redes eléctricas), que en la UE a menudo tienen una dimensión transfronteriza. Según varios estudios, la repercusión económica de la ciberdelincuencia puede llegar a los 5 billones de euros al año en todo el mundo, es decir, más del 6 % del PIB mundial en 2020⁸

06 Otro reto para la seguridad de las redes 5G es el hecho de que un número reducido de proveedores desempeñe un papel crucial en su construcción y explotación. Esto aumenta la exposición a una posible interrupción del suministro cuando se dependa de un único proveedor (especialmente si presenta un alto grado de riesgo) como sufrir injerencias del Gobierno de un país no perteneciente a la UE. En 2019, el Grupo de Cooperación en Redes y Sistemas de Información (RSI) —integrado por representantes de los Estados miembros y de los organismos de la UE— señaló el riesgo de que hubiera «agentes estatales hostiles» que obtuvieran un punto de entrada fácil a una red 5G, ya fuera porque disfrutaban de un acceso privilegiado, porque ejercían presión sobre un proveedor o porque invocaban disposiciones legales nacionales⁹ (véase el recuadro 1). En este contexto, la UE comenzó a elaborar iniciativas en el ámbito de la seguridad de las redes 5G.

07 También pueden surgir amenazas a la confidencialidad y la privacidad, ya que, con frecuencia, los operadores de telecomunicaciones externalizan sus datos a centros de datos. Existe el riesgo de que esos datos se almacenen en los equipos 5G de los proveedores, ubicados en países no pertenecientes a la UE con niveles de protección jurídica y de datos diferentes a los de la UE.

Iniciativas de 5G adoptadas en el ámbito de la UE

08 El marco político relativo a la tecnología 5G y a la seguridad de las redes 5G se compone tanto de «Derecho imperativo» vinculante y ejecutable jurídicamente (por ejemplo, reglamentos) como de «Derecho indicativo» no vinculante (por ejemplo, comunicaciones de la Comisión). En el anexo III se presenta el marco jurídico y político. En la ilustración 2 figuran los principales documentos de orientación, junto con los objetivos fundamentales.

Funciones y responsabilidades

09 Mientras que los operadores de redes de comunicaciones móviles son responsables de garantizar el despliegue seguro de la tecnología 5G utilizando para ello equipos procedentes de proveedores de tecnología, y los Estados miembros se encargan de garantizar la seguridad nacional, la cuestión de la seguridad de las redes 5G reviste importancia estratégica para todo el mercado interior y la soberanía tecnológica de la UE¹². Por consiguiente, en lo referente a los aspectos técnicos y de seguridad de las redes 5G, la Comisión y las agencias de la UE respaldan y coordinan las acciones de los Estados miembros.

10 En el cuadro 1 se explican con más detalle las principales funciones y responsabilidades relacionadas con las redes 5G.

Coste del despliegue de la tecnología 5G y el correspondiente apoyo financiero de la UE

El coste total del despliegue de la tecnología 5G en el conjunto de los Estados miembros podría alcanzar los 400 000 millones de euros

11 En 2021 se ha calculado que el coste total del despliegue de la tecnología 5G en el conjunto de los Estados miembros de la UE hasta 2025 oscila entre 281 000 millones de euros y 391 000 millones de euros, repartidos por igual entre la construcción de nuevas infraestructuras para la tecnología 5G y la modernización de las infraestructuras fijas para que alcancen velocidades de gigabit¹³. La mayor parte de estas inversiones debe ser financiada por los operadores de redes de comunicaciones móviles.

En el período 2014‑2020, la UE apoyó el desarrollo de la tecnología 5G con más de 4 000 millones de euros

12 Durante el período 2014‑2020, la UE apoyó el desarrollo de la tecnología 5G con más de 4 000 millones de euros, tanto directamente con cargo al presupuesto de la UE como mediante la financiación del Banco Europeo de Inversiones (BEI). El presupuesto de la UE financió proyectos relacionados exclusivamente con la investigación, mientras que el BEI apoyó tanto la investigación como el despliegue.

13 El BEI ha sido el mayor proveedor de financiación de la UE para proyectos 5G. En agosto de 2021, había concedido préstamos por un valor total de 2 500 millones de euros para nueve proyectos 5G en cinco Estados miembros¹⁴. Además, durante este período se facilitaron alrededor de 1 900 millones de euros con cargo al presupuesto de la UE para el período 2014‑2020. En el cuadro 2 se resumen las principales fuentes de apoyo financiero de la UE a la tecnología 5G.

14 El FEIE (gestionado por el BEI) apoyó dos proyectos destinados a lograr un despliegue de células más denso y a favorecer la normalización. El coste total de la inversión de estos proyectos fue de 3 900 millones de euros, de los cuales 1 000 millones de euros se financiaron con cargo al FEIE (véase el anexo IV).

15 Desde 2014, la Comisión también ha cofinanciado directamente más de cien proyectos 5G a través de la financiación de Horizonte 2020 y, en menor medida, del FEDER. En el anexo V se presentan ejemplos de estos proyectos.

El Mecanismo de Recuperación y Resiliencia proporcionará financiación adicional de la UE para el despliegue de tecnología 5G en los próximos años

16 El Mecanismo de Recuperación y Resiliencia (MRR) proporcionará una fuente de financiación suplementaria para el despliegue de la tecnología 5G en los próximos años. En septiembre de 2021, dieciséis Estados miembros tenían previsto financiar los despliegues de la tecnología 5G a través del MRR y diez decidieron no hacerlo. Todavía no se disponía de información sobre el último Estado miembro.

Alcance y enfoque de la auditoría

17 Mediante la presente auditoría evaluamos si la Comisión ofrece a los Estados miembros un apoyo eficaz para que:

• alcancen los objetivos de despliegue y la puesta en marcha de sus redes 5G establecidos por la UE para 2025 y 2030;
• hagan frente de manera concertada a los problemas de seguridad de las redes 5G.

También examinamos las medidas y las actividades de los Estados miembros en ambos ámbitos.

18 Por «seguridad de las redes 5G» entendemos la ciberseguridad y la seguridad del equipo y los programas informáticos. Examinamos tanto la seguridad como la implantación de las redes 5G, para lo cual 2020 fue un año decisivo (véase la ilustración 2). La finalidad de nuestro informe es aportar ideas y recomendaciones para el despliegue oportuno de redes 5G seguras en la UE.

19 Nuestra auditoría abarca el período comprendido entre 2016 y mayo de 2021. En la medida de lo posible, incorporamos nueva información actualizada. Nuestro trabajo de auditoría consistió en:

• revisar la legislación de la UE, las iniciativas de la Comisión y otra documentación pertinente;
• entrevistar a representantes de la Comisión, el BEI, el Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), las asociaciones de telecomunicaciones, los operadores de redes de comunicaciones móviles, los proveedores de 5G y las organizaciones internacionales, así como a expertos en la materia con el fin de recabar información, y a autoridades de Alemania, España, Finlandia y Polonia. Seleccionamos los Estados miembros atendiendo a criterios tales como el volumen de fondos de la UE destinados específicamente a proyectos 5G, la situación del despliegue y a consideraciones relativas al equilibrio geográfico;
• efectuamos una encuesta a las veintisiete autoridades reguladoras nacionales de telecomunicaciones de la UE para examinar desde una perspectiva más amplia los retos que plantea la tecnología 5G en los Estados miembros;
• revisamos diez proyectos 5G cofinanciados por la UE (FEIE, FEDER y Horizonte 2020), seleccionados a título ilustrativo.

20 Asimismo, nos basamos en nuestro reciente estudio sobre la respuesta de la UE a la estrategia china de inversión impulsada por el Estado¹⁵, y también en otros informes, como, por ejemplo, los relativos a la banda ancha¹⁶, a la iniciativa de digitalización de la industria europea¹⁷ y a la política de ciberseguridad en la UE¹⁸.

Observaciones

Los retrasos en el despliegue de las redes 5G están poniendo en riesgo la consecución de los objetivos de la UE para 2025 y 2030

21 En lo que respecta al despliegue oportuno de las redes 5G, examinamos si:

• los Estados miembros están al día con el despliegue de la tecnología 5G;
• la Comisión ha apoyado suficientemente a los Estados miembros;
• los Estados miembros han eliminado los principales obstáculos que dificultan el despliegue rápido de las redes 5G.

Los Estados miembros llevan retraso en la implantación de la tecnología 5G

La Comisión estableció plazos para el despliegue de las redes 5G en su Plan de Acción 5G de 2016

22 En su Plan de Acción 5G de 2016, la Comisión propuso plazos para el despliegue de las redes 5G en la UE: Los Estados miembros deberían haber puesto en marcha las primeras redes 5G antes del final de 2018, y servicios 5G plenamente comerciales en, al menos, una gran ciudad antes del final de 2020, y deberían haber garantizado una cobertura 5G ininterrumpida en las zonas urbanas y a lo largo de las principales vías de transporte antes de 2025.

23 En marzo de 2021, la Comisión añadió un nuevo plazo para garantizar que, en 2030, todas las zonas pobladas tengan cobertura 5G¹⁹.

Veintitrés Estados miembros habían puesto en marcha servicios comerciales de 5G antes del final de 2020

24 Al final de 2020, veintitrés Estados miembros habían logrado el objetivo de que al menos una gran ciudad tuviera acceso a los servicios 5G. Solo Chipre, Lituania, Malta y Portugal incumplieron este objetivo. Al final de octubre de 2021, solo Lituania y Portugal todavía no contaban con servicios 5G en ninguna de sus ciudades.

Existe el riesgo de que la mayoría de los Estados miembros no cumplan el plazo de 2025 y 2030

25 Según un reciente estudio de la Comisión, solo once Estados miembros tienen probabilidades de lograr una cobertura 5G ininterrumpida en todas sus zonas urbanas y principales vías de transporte terrestre antes de 2025²⁰. En los dieciséis Estados miembros restantes, la Comisión considera que la probabilidad de alcanzar este objetivo es o media (Alemania, Austria, Chequia, Eslovenia, Estonia, Irlanda, Lituania y Polonia) o baja (Bélgica, Bulgaria, Chipre, Croacia y Grecia).

26 En 2021, la organización del sector Global System for Mobile Communications Association (GSMA) señaló que el despliegue de la tecnología 5G avanza en la UE a un ritmo diferente que en otras partes del mundo. Por ejemplo, estimó que el 51 % de toda la conexión móvil en América del Norte se basará en la tecnología 5G antes de 2025, pero que en Europa (incluidos también los países no pertenecientes a la UE) se prevé que esta cifra sea solo el 35 % (véase la ilustración 3).

27 Al ritmo actual de despliegue, existe un alto riesgo de que la mayoría de los Estados miembros incumpla el plazo de 2025, y, por tanto, también el de 2030 relativo a la cobertura de todas las zonas pobladas. En este contexto, examinamos si la Comisión ha ofrecido a los Estados miembros un apoyo eficaz para que alcancen los objetivos de la UE de despliegue e implantación de sus redes 5G de aquí a 2025 y 2030.

El apoyo de la Comisión a los Estados miembros presenta deficiencias

La Comisión no ha definido la calidad que debe ofrecer el servicio de las redes 5G

28 Hasta el momento, la Comisión no ha definido la calidad que debe ofrecer el servicio de las redes 5G, como en lo que respecta a la velocidad mínima y a la latencia máxima. Además, en el Plan de Acción de 2016 se pedía a los Estados miembros que pusieran en marcha servicios 5G «plenamente comerciales» en Europa a más tardar al final de 2020, pero sin definir estos conceptos relacionados con la calidad.

29 Debido a esta falta de claridad sobre la calidad esperada del servicio, existe el riesgo de que los Estados miembros interpreten estos términos de manera diferente. Constatamos casos de enfoques divergentes de despliegue de la tecnología 5G entre los Estados miembros (véase el recuadro 2).

30 Si persiste, esta situación podría generar desigualdades en el acceso a los servicios 5G en la UE y en la calidad de estos («brecha digital»): los ciudadanos de una parte de la Unión tendrían servicios 5G más accesibles y de mejor calidad que los ciudadanos de otras partes. Esta brecha digital también podría afectar al potencial de desarrollo económico, ya que para que la tecnología 5G revolucione sectores como la atención sanitaria, la educación y la mano de obra, es necesario que tenga un rendimiento suficiente.

31 También es necesario establecer con claridad el rendimiento previsto de las redes 5G, teniendo en cuenta la iniciativa de la Comisión de imponer una mayor transparencia de la calidad del servicio prestado por los operadores de redes de comunicaciones móviles en el contexto de la itinerancia, para lo cual ha presentado recientemente una propuesta legislativa²².

Los informes trimestrales de la Comisión sobre el despliegue de la tecnología 5G no siempre son fiables

32 La Comisión vigila el nivel de despliegue de la tecnología 5G en los Estados miembros mediante el Observatorio 5G. Este observatorio proporciona, con carácter trimestral, información sobre los despliegues de la tecnología 5G y sobre las estrategias de los Estados miembros en materia de 5G. Sin embargo, comprobamos que, en dos de los cuatro países examinados, la información contenida en estos informes no siempre era fidedigna. Por ejemplo, el décimo informe trimestral, que presentaba la información hasta el final de diciembre de 2020, indicaba un número de municipios con 5G en Finlandia muy inferior a la cifra real (40 en lugar de 70), y no informaba de que las subastas del espectro 5G se habían aplazado en Polonia (véase el apartado 42).

La Comisión ha recurrido recientemente al proceso del Semestre Europeo para vigilar los avances de los Estados miembros en el despliegue de las redes 5G

33 Constatamos que, en los dos últimos años, la Comisión ha utilizado más el proceso del Semestre Europeo para fomentar los avances de los Estados miembros en el despliegue de las redes 5G. En 2020, las recomendaciones específicas por país relacionadas directamente con la tecnología 5G ya no estaban dirigidas a dos Estados miembros, como ocurría en 2019, sino a siete Estados miembros (véase la ilustración 4).

Los Estados miembros todavía tienen que eliminar los principales obstáculos que dificultan el despliegue rápido de las redes 5G

34 Para alcanzar los objetivos de despliegue de la tecnología 5G de la UE en 2025 y 2030, los Estados miembros deben lograr tres grandes componentes: estratégico, garantizando que sus estrategias nacionales de 5G o sus planes nacionales de banda ancha reflejen estos objetivos²³; legislativo, con la transposición del Código Europeo de las Comunicaciones Electrónicas (CECE)²⁴ de 2018, y empresarial, con la asignación del espectro²⁵. En el cuadro 3 figura un resumen de los avances realizados por los Estados miembros en la consecución de estos tres elementos.

Pocos Estados miembros han incluido los objetivos de despliegue de 2025 y 2030 en sus estrategias 5G nacionales

35 Los Estados miembros establecen su política de 5G mediante estrategias nacionales dedicadas específicamente a esta tecnología o mediante la actualización de sus planes nacionales de banda ancha vigentes. El estudio de la Comisión de 2021 sobre los planes nacionales de banda ancha²⁶ señaló que solo catorce Estados miembros han incluido el objetivo de la UE de garantizar «una cobertura 5G ininterrumpida en todas las zonas urbanas y las principales vías de transporte terrestre antes de 2025» en sus estrategias nacionales de 5G o en la actualización de los planes nacionales de banda ancha (véase el cuadro 3). Esta inclusión es fundamental para favorecer la adecuada aplicación de la política.

La mayoría de los Estados miembros no han transpuesto la Directiva sobre el Código Europeo de las Comunicaciones Electrónicas (CECE) antes del final de 2020

36 Los Estados miembros deberían haber transpuesto la Directiva sobre el CECE —que establece las tareas de las autoridades nacionales de reglamentación y fija los plazos para la asignación de las bandas pioneras 5G en una Directiva— antes del 21 de diciembre de 2020. Al final de febrero de 2021, solo tres Estados miembros (Finlandia, Grecia y Hungría) declararon haber adoptado todas las medidas necesarias para transponer la Directiva. En consecuencia, la Comisión Europea incoó procedimientos de infracción contra los veinticuatro Estados miembros restantes²⁷.

37 Al final de noviembre de 2021, todavía estaban pendientes 23 procedimientos de infracción. Aunque en seis Estados miembros la Comisión espera cerrar pronto el procedimiento de infracción (Austria, Bulgaria, Chequia, Francia, Alemania y Malta), es probable que para los diecisiete Estados miembros restantes, tenga que recurrir al Tribunal de Justicia²⁸ (véase el cuadro 3).

La asignación de bandas pioneras 5G lleva retraso

38 En 2016, la Comisión y los Estados miembros identificaron tres bandas pioneras que se utilizarán para los servicios 5G:

• El espectro de bandas de 700 Mhz facilita la penetración de las señales inalámbricas en los edificios y permite a los operadores ofrecer una cobertura más amplia (cientos de kilómetros cuadrados). Sin embargo, la velocidad y la latencia de las redes 5G solo suponen un paso adelante respecto a la 4G (se pasará de 150 a 250 megabits por segundo).
• El espectro en la banda de frecuencia media a 3,6 Ghz, que puede transportar cantidades importantes de datos (hasta 900 megabits por segundo) a distancias considerables (varios kilómetros de radio).
• El espectro en la banda de frecuencia alta a 26 Ghz, que ofrece velocidades rápidas de entre 1 y 3 gigabits por segundo en distancias cortas (es decir, inferiores a 2 kilómetros), pero es más sensible a las interferencias.

39 Los Estados miembros debían haber facilitado el uso del espectro en la banda de frecuencia baja y los espectros en la banda de frecuencia media y alta antes de los días 30 de junio de 2020²⁹ y 31 de diciembre de 2020³⁰, respectivamente. Sin embargo, al final de 2020, los Estados miembros habían asignado menos del 40 % del total de las bandas pioneras disponibles (véase el cuadro 4):

• la banda de 700 MHz se asignó en trece Estados miembros;
• la banda de 3,6 GHz se asignó en diecisiete Estados miembros (entre ellos dos Estados miembros que habían concedido un uso provisional);
• la banda de 26 GHz se asignó en cuatro Estados miembros.

Al final de octubre de 2021, el porcentaje de asignación había aumentado hasta el 53 %³¹.

Los retrasos en la asignación de las bandas pioneras pueden deberse a varias razones

40 Constatamos que los retrasos en la asignación de la banda de frecuencia de 26 GHz se deben principalmente a la escasa demanda por parte de los operadores de redes de comunicaciones móviles. Por ejemplo, en España, para el uso de la tecnología 5G, hay disponible un total de 1,5 GHz de la banda de frecuencia de 26 GHz. Sin embargo, según una consulta pública finalizada en julio de 2019, este total todavía está sin asignar a los operadores porque no hay la demanda correspondiente. Está previsto celebrar una nueva consulta pública antes del final de 2021 para subastar la banda en el segundo trimestre de 2022. Asimismo, en Finlandia, los operadores de redes de comunicaciones móviles señalaron que todavía no se ha expresado interés ni se han hecho estudios de viabilidad en relación con la banda de 26 GHz.

41 Los problemas de coordinación transfronteriza con países no pertenecientes a la UE a lo largo de las fronteras orientales (Bielorrusia, Rusia y Ucrania) también han contribuido a retrasar la asignación del espectro 5G. Estos países no pertenecientes a la UE utilizan, en virtud de los acuerdos internacionales vigentes, la banda de 700 MHz para la radiodifusión televisiva y la banda de 3,6 GHz para los servicios militares por satélite. Esta cuestión afecta principalmente a los países bálticos (Estonia, Letonia y Lituania) y a Polonia. Según la Comisión, se han logrado algunos avances con Ucrania y Bielorrusia, que deberían liberar la banda de 700 MHz antes del final de 2022. El diálogo bilateral con Rusia aún no ha avanzado. Ante esta situación, Estonia y Polonia han solicitado una excepción a los plazos establecidos para la asignación de la banda de 700 MHz hasta mediados de 2022.

42 Además, en Polonia y España se aplazaron las subastas del espectro 5G durante la pandemia de COVID-19 (véase el recuadro 3).

43 Otro motivo que retrasa la asignación de las bandas pioneras de 5G son los diferentes enfoques adoptados por los Estados miembros en relación con la seguridad de las redes 5G y los retrasos en la adopción de sus leyes en la materia, situación que crea inseguridad a las empresas (véanse los apartados 74 y 75):

• En España, la normativa sobre la subasta de bandas pioneras contenía una cláusula general en virtud de la cual los titulares de concesiones públicas debían a cumplir las obligaciones en materia de seguridad de las redes 5G que establecieran en cualquier momento futuro la normativa europea o española. El operador de redes de comunicaciones móviles español entrevistado consideraba que esta cláusula les obligaba a adoptar decisiones sobre estrategias y compras en condiciones de incertidumbre. También señaló que las autoridades nacionales no querían aclarar algunas condiciones fundamentales, como, por ejemplo, la posibilidad de compensación si la futura legislación, cuya adopción estaba prevista para el final de 2022, los obligaba a sustituir sus equipos.
• En Polonia, una de las razones para aplazar la asignación del espectro 5G fue la necesidad de esperar a que se aprobara una legislación que aclarara los requisitos de seguridad para las redes 5G.

Son necesarios mayores esfuerzos para resolver los problemas de seguridad en el despliegue de las redes 5G

44 En lo que atañe a los aspectos de seguridad de la tecnología 5G, examinamos si:

• la Comisión ha tomado las medidas necesarias para promover un diseño sólido del marco de seguridad y ha prestado un apoyo adecuado a los Estados miembros;
• los Estados miembros están implantando redes 5G seguras de manera concertada, adoptando las medidas de mitigación recogidas en el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G y actualizando su legislación.

La Comisión reaccionó rápidamente cuando la seguridad de las redes 5G pasó a ser una preocupación importante para la UE

45 El Plan de Acción 5G de 2016 no recoge consideraciones en materia de seguridad. La seguridad de las redes 5G y la excesiva dependencia de proveedores de terceros países, y en particular de China, se consideraban cuestiones fundamentales en marzo de 2019. El Parlamento Europeo, en su Resolución de 12 de marzo de 2019³², expresó preocupación acerca de los proveedores de 5G ajenos a la UE que podrían presentar un riesgo para la seguridad de la Unión debido a las leyes de sus países de origen. El mismo día, la Comisión, en su perspectiva estratégica sobre la relación entre la UE y China, destacó que era necesario un enfoque común de la UE sobre la seguridad de las redes 5G a fin de precaverse contra posibles consecuencias graves en materia de seguridad de la infraestructura digital crítica³³. El Consejo Europeo, en sus Conclusiones de 21 y 22 de marzo de 2019, pidió a la Comisión que formulara una recomendación sobre un planteamiento concertado acerca de la seguridad de las redes 5G³⁴.

46 Unos días más tarde, la Comisión emitió dicha Recomendación, en la que presentaba un conjunto de medidas, tanto nacionales (por ejemplo, la evaluación de riesgos relacionados con la tecnología 5G) como de la UE (por ejemplo, una evaluación coordinada de riesgos), encaminadas a garantizar un elevado nivel de ciberseguridad de las redes 5G en toda la Unión³⁵.

47 Casi todos los Estados miembros habían finalizado sus evaluaciones nacionales de riesgo antes de la fecha límite de julio de 2019³⁶. En octubre de 2019, el Grupo de Cooperación SRI publicó el informe sobre la evaluación coordinada de riesgos realizada por la UE acerca de la seguridad de las redes 5G, y, en enero de 2020, el «EU Toolbox on 5G cybersecurity»³⁷ (véase el anexo VII). Fue rápidamente refrendado por la Comisión y por el Consejo Europeo³⁸.

El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G de 2020 estableció por primera vez medidas para hacer frente a las amenazas a la seguridad en la UE, sin carácter prescriptivo

Abordar la seguridad de las redes 5G como una competencia nacional en materia de seguridad limita el ámbito de actuación de la Comisión

48 Los Tratados de la UE³⁹ determinan el ámbito de actuación para hacer frente a retos como los relacionados con el despliegue de unas redes 5G seguras a escala de la UE. Este ámbito de aplicación es amplio y deja un margen de interpretación a la Comisión y a los Estados miembros (véase el recuadro 4).

49 La seguridad de las redes 5G es transversal a las competencias nacionales y de la UE y afecta a la seguridad nacional. Dado que la Comisión abordó la seguridad de las redes 5G con respecto a las amenazas a la seguridad nacional, optó por medidas de Derecho indicativo. Esta situación implica que la UE no puede adoptar medidas jurídicamente vinculantes que obliguen a los Estados miembros a aplicar medidas uniformes de mitigación de riesgos o a poner en práctica requisitos aplicables. En cambio, la Comisión puede emitir recomendaciones y comunicaciones no vinculantes, ayudar a difundir las mejores prácticas y coordinar las acciones nacionales de los Estados miembros. Sin embargo, es posible adoptar un enfoque diferente. Un ejemplo es la Directiva sobre Ciberseguridad⁴⁰, instrumento legislativo de la UE que se ocupa de la seguridad de las redes y los sistemas de información en toda la Unión. La Comisión propuso este instrumento legislativo, que se adoptó en el contexto de la base jurídica del «mercado interior», aunque la ciberseguridad es, en gran medida, una prerrogativa nacional⁴¹.

El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G fue adoptado en una fase temprana del despliegue, pero algunos operadores de redes de comunicaciones móviles ya habían seleccionado a sus proveedores

50 En enero de 2020, el Grupo de Cooperación SRI adoptó un conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, en el que se indica una serie de medidas estratégicas, técnicas y de apoyo destinadas a afrontar las amenazas a la seguridad de las redes 5G y se establece cuáles son los agentes pertinentes para cada una de estas medidas. Este conjunto de instrumentos, refrendado por la Comisión y por el Consejo Europeo, se adoptó solo nueve meses después de que el Parlamento Europeo y el Consejo expresaran por primera vez su preocupación por la seguridad de las redes 5G. Más recientemente, el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G se mencionaba en la Estrategia Europea para impulsar vínculos inteligentes, limpios y seguros en todo el mundo como un instrumento para orientar las inversiones en infraestructura digital⁴². El enfoque de Derecho indicativo adoptado por la Comisión contribuyó a poner en marcha rápidamente medidas para hacer frente a las amenazas a la seguridad también a escala de la UE y facilitar la cooperación de los Estados miembros en este tema de carácter transfronterizo. A modo de comparación, tuvieron que transcurrir más de tres años desde la presentación de la propuesta de la Comisión⁴³ hasta la adopción de la Directiva sobre Ciberseguridad⁴⁴, y, en el caso de la Directiva sobre el CECE, más de dos años⁴⁵. Se necesitó aún más tiempo para transponer las Directivas en los ordenamientos jurídicos nacionales de los Estados miembros (véanse también los apartados 36 y 37).

51 El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G se adoptó cuatro años después de que se presentara la política relativa a esta tecnología en el Plan de Acción 5G, y el mismo año en que deberían haberse alcanzado los objetivos de despliegue intermedios establecidos en dicho Plan de Acción. En este contexto, los representantes de los ministerios de los Estados miembros, de las autoridades nacionales de reglamentación y de los operadores de redes de comunicaciones móviles entrevistados para la presente auditoría consideraron que las medidas relativas a los aspectos de seguridad de la tecnología 5G se pusieron en marcha demasiado tarde.

52 Al mismo tiempo, el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G se publicó cuando el despliegue y los planes de tecnología 5G se encontraban todavía en una fase temprana en la mayoría de los Estados miembros. La mayoría de los contratos de equipos 5G entre proveedores y operadores se suscribieron en 2020 y 2021. Sin embargo, según la Asociación de Operadores Europeos de Redes de Telecomunicación (ETNO), varios operadores de redes de comunicaciones móviles ya habían seleccionado a sus proveedores cuando se proporcionó el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G.

El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G proporcionaba un marco para evaluar el perfil de riesgo de los proveedores, pero seguían existiendo deficiencias

Varios Estados miembros y autoridades nacionales consideran que algunos criterios empleados para clasificar a los proveedores como de alto riesgo no son suficientemente claros

53 Una característica fundamental del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G es la necesidad de que los Estados miembros evalúen a los proveedores y apliquen, para los activos clave definidos como críticos, restricciones a los proveedores considerados de alto riesgo. Los Estados miembros deben llevar a cabo esta evaluación a partir de una lista no exhaustiva de criterios obtenidos de la evaluación de riesgos coordinada por la UE. Dichos criterios son, por ejemplo:

• la probabilidad de que un proveedor esté sujeto a injerencias por parte de un país no perteneciente a la UE; por ejemplo, mediante la existencia de un fuerte vínculo entre el proveedor y un Gobierno de un país no perteneciente a la UE; o mediante la legislación del país no perteneciente a la UE, en especial cuando no existen controles legislativos o democráticos, o no se han establecido acuerdos en materia de seguridad o de protección de datos entre la UE y el país no perteneciente a la UE en cuestión;
• la capacidad del proveedor de garantizar el suministro;
• la capacidad global de los productos del proveedor y las prácticas de ciberseguridad.

54 El conjunto de instrumentos está concebido para evitar la fragmentación y fomentar la coherencia en el mercado interior. Los criterios del conjunto de instrumentos ofrecen un marco operativo que resulta útil para evaluar de forma coordinada el perfil de riesgo de los proveedores en todos los Estados miembros. También permitió a la Comisión reaccionar rápidamente ante los problemas emergentes de seguridad de las redes 5G junto con los Estados miembros. Al mismo tiempo, sigue siendo responsabilidad de las autoridades nacionales aplicar estos criterios al avaluar los riesgos relativos a proveedores específicos. En octubre de 2021, teniendo en cuenta este marco, trece Estados miembros habían aprobado o modificado la legislación en materia de seguridad de las redes 5G (véanse el apartado 75 y la ilustración 6).

55 No obstante, los representantes de dos de los cuatro ministerios de los Estados miembros que entrevistamos para la presente auditoría consideraban que alguno de estos criterios de clasificación de proveedores 5G son susceptibles de interpretaciones y deberían precisarse más. También instaron a la Comisión a proporcionar apoyo y orientación adicionales sobre las clasificación de los proveedores de alto riesgo. Los representantes de los Estados miembros entrevistados también indicaron que existe el riesgo de que los Estados miembros apliquen enfoques divergentes en lo que respecta a los proveedores de alto riesgo (véanse también los apartados 74 y 75, y el recuadro 5). Once de las autoridades nacionales de reglamentación encuestadas, con distintos grados de implicación en la seguridad de las redes 5G, expresaron preocupaciones similares.

El país de origen de los proveedores de 5G afecta a la evaluación de los riesgos de seguridad

56 Los proveedores de 5G varían en cuanto a sus características empresariales y proceden de países unidos a la UE con diferentes vínculos. En la ilustración 5 se presentan algunos puntos comunes y diferencias entre los principales proveedores de 5G y sus países de origen, en particular en ámbitos que, según el conjunto de instrumentos, pueden influir en la evaluación de su perfil de riesgo (véase el apartado 53).

57 Un factor de riesgo es el grado en que el país de origen de un proveedor se ajusta a los valores políticos y económicos fundamentales de la UE. Los factores específicos de cada país, como, por ejemplo, el Estado de Derecho, la independencia judicial, la apertura a las inversiones extranjeras y la existencia de acuerdos en materia de protección de datos, pueden tomarse como indicador para medir la protección jurídica de una empresa frente a las intromisiones gubernamentales, y la protección que puede ofrecer a sus clientes.

58 Mientras que los proveedores que tienen su sede en los Estados miembros de la UE están obligados a cumplir las normas y las disposiciones legales de la UE, seis de los principales proveedores ubicados en países no pertenecientes a la UE, que operan en el marco de legislaciones aprobadas por terceros países no lo están (véase la ilustración 5). Dichas legislaciones pueden diferir en gran medida de las normas de la UE, por ejemplo, en lo referente a la protección de datos otorgada a los ciudadanos, a la eficacia de dicha protección o, más en general, al modo de garantizar la independencia judicial mediante contrapoderes institucionales legislativos o democráticos. En lo que respecta a la independencia judicial, los Estados Unidos y Japón obtienen una puntuación más alta que otros terceros países de origen de los proveedores de 5G, mientras que, en la clasificación relativa al Estado de Derecho, Corea del Sur es el país que obtiene la mejor puntuación entre los países no pertenecientes a la UE.

59 Las redes 5G funcionan principalmente con programas informáticos. El hecho de que algunos proveedores operen en el marco de legislaciones de países no pertenecientes a la UE también puede ser preocupante si los centros de control de dichos programas informáticos se encuentran en países que tampoco pertenezcan a la UE, lo que podría someter a los ciudadanos de la UE a la legislación de terceros países.

60 La Comisión ha empezado a hacer frente a estos problemas teniendo en cuenta que toda empresa que preste servicios a los ciudadanos de la UE debe respetar las normas y los valores de la Unión⁴⁶. Ha iniciado diálogos con varios países al objeto de garantizar sólidas protecciones de la privacidad de los datos personales⁴⁷. En la ilustración 5 también se muestra que la Comisión ya ha reconocido la adecuación de los regímenes de protección de datos de Japón (y, anteriormente, de los Estados Unidos). No obstante, hay que señalar que las decisiones de adecuación pueden ser recurridas y están sujetas a un control judicial estricto. A modo de ejemplo, en 2015, el Tribunal de Justicia de la Unión Europea anuló el instrumento jurídico entonces aplicable para el intercambio de datos con los Estados Unidos, es decir, el régimen de puerto seguro⁴⁸, y más tarde, en 2020, dictaminó que el Escudo de la Privacidad, que había sustituido al régimen de puerto seguro, no ofrecía una protección adecuada a los ciudadanos de la UE⁴⁹. Actualmente no se ha adoptado una Decisión de adecuación para los Estados Unidos. En términos más generales, y más allá de la existencia de un régimen de protección de datos, es importante tener en cuenta el marco legal e institucional más amplio, como, por ejemplo, el respeto del Estado de Derecho y las garantías de independencia judicial.

61 En la ilustración 5 también se muestra una importante variabilidad entre los proveedores de 5G en cuanto al porcentaje de patentes relacionadas con la tecnología 5G, los ingresos y el número de empleados. Esta situación afecta a los recursos que tienen a su disposición, lo que a su vez puede incidir en su resiliencia y su capacidad para garantizar un suministro continuo. Por ejemplo, Samsung y Huawei son los proveedores que poseen el porcentaje más alto de patentes de tecnología 5G, generan los mayores ingresos como empresas y tienen el número más elevado de empleados en general.

62 La probabilidad de que un proveedor sea objeto de intromisiones por parte del Gobierno de un país no perteneciente a la UE es otro factor importante que en el conjunto de instrumentos se define como determinante de su perfil de riesgo. En este contexto, la propiedad reviste importancia, ya que los propietarios que poseen un gran número de acciones pueden ejercer presión o influir en las decisiones de la dirección. Además, se considera que las empresas de propiedad privada o estatal están menos sujetas al control público mediante auditorías y rendición de cuentas que las empresas cotizadas, que están sujetas a estrictos requisitos de divulgación durante todo el año en beneficio de los inversores generales y los reguladores. La mayoría de los proveedores de 5G cotizan en bolsa, ya sea en su país de origen o en el extranjero, mientras que los proveedores chinos resultan más difíciles de clasificar, y, por lo general, se tiene la impresión de que están estrechamente vinculados al Gobierno chino⁵⁰.

Los Estados miembros consideraron útil el apoyo prestado por la Comisión y la Agencia de la Unión Europea para la Ciberseguridad (ENISA) al aplicar el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G

63 La Comisión prestó apoyo a los Estados miembros mediante el intercambio de las mejores prácticas sobre algunas medidas fundamentales del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, incluidos los proveedores de alto riesgo. Este apoyo, proporcionado a menudo en el contexto del Grupo de Cooperación SRI, se complementó con actividades específicas de la ENISA, como, por ejemplo, la organización de seminarios web o la publicación de orientaciones sobre los siguientes temas:

• la aplicación del conjunto de instrumentos, prestando especial atención a las medidas técnicas;
• las mejores prácticas en materia de seguridad de las redes, en particular sobre:

• los panoramas de amenazas de la tecnología 5G⁵¹;
• la preparación de evaluaciones nacionales de riesgos relacionados con la tecnología 5G;
• las medidas de seguridad en el marco del CECE⁵², incluidas las directrices específicas sobre la seguridad de las redes 5G⁵³.

64 La Comisión también encargó a la ENISA que preparara el esquema de certificación de la ciberseguridad de la UE para las redes 5G, que debía ayudar a afrontar los riesgos relacionados con las vulnerabilidades técnicas de las redes y a seguir reforzando la ciberseguridad⁵⁴. Aunque esta certificación podría contribuir a mejorar la seguridad, no puede evitar que se incorporen amenazas a los sistemas mediante las actualizaciones de los programas informáticos.

65 Todos los representantes de las autoridades de los Estados miembros a las que entrevistamos para la presente auditoría destacaron la utilidad del apoyo prestado por la Comisión y por la ENISA para aplicar el conjunto de instrumentos de la UE para la seguridad de las redes 5G. Además, la mayoría de las autoridades nacionales de reglamentación en materia de telecomunicaciones (quince de veintiuna) declararon que la Comisión o la ENISA han ayudado a las autoridades nacionales a intercambiar las mejores prácticas para la aplicación de las medidas estratégicas fundamentales.

El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G se adoptó demasiado tarde, lo que impidió que se tuviera en cuenta en los proyectos cofinanciados por la UE durante el período 2014‑2020

66 Uno de los objetivos previstos en el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G es garantizar que los proyectos 5G cofinanciados por la UE tengan en cuenta los riesgos de ciberseguridad. Sin embargo, el conjunto de instrumentos no se adoptó hasta enero de 2020. Como todos los proyectos revisados en el marco de la presente auditoría se habían seleccionado antes de la adopción del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, no cabía esperar que hubieran seguido el planteamiento de ciberseguridad recomendado, entre otras cosas con respecto a los proveedores de alto riesgo. Por ejemplo, en nuestra muestra identificamos un proyecto de Horizonte 2020 y dos del FEDER en España que utilizaban equipos 5G chinos que posteriormente se prohibieron en Suecia (véase el apartado 15).

67 Para el período 2021‑2027, la Comisión tiene la intención de promover un enfoque coherente sobre la seguridad de las redes 5G en los proyectos cofinanciados por la UE; para ello, se garantizará que el cumplimiento del conjunto de instrumentos sea una condición para obtener financiación de la UE. No obstante, este requisito variará en función del modo de aplicación:

• Los programas gestionados directamente por la Comisión (por ejemplo, Horizonte Europa 2021‑2027) permitirán excluir a los proveedores sujetos a injerencias por parte del Gobierno de un país no perteneciente a la UE. Es probable que esta medida garantice que los proyectos financiados por la UE tengan en cuenta los riesgos de ciberseguridad y evite situaciones en las que un proveedor que reciba cofinanciación de la UE en un Estado miembro sea considerado de alto riesgo y se le excluya en otro.
• En los programas ejecutados en régimen de gestión compartida, la legislación no contiene requisitos sobre riesgos de ciberseguridad. Por tanto, la Comisión tiene previsto promover la inclusión de una referencia al conjunto de instrumentos de la UE en los acuerdos de asociación de los Estados miembros para permitir que la financiación del FEDER destinada a proyectos 5G tenga en cuenta los riesgos de ciberseguridad.
• En el caso del Programa InvestEU (que sustituye al FEIE⁵⁵ y al MRR), la Comisión prevé instar a los organismos responsables a referirse al conjunto de instrumentos de la UE en los acuerdos de financiación.

Los Estados miembros no abordan todavía los aspectos de seguridad de manera concertada al desplegar las redes 5G

La información sobre el modo en que los Estados miembros abordan las cuestiones de seguridad es insuficiente

68 La Comisión hace un seguimiento e informa de los avances en la aplicación del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G a través del Grupo de Cooperación SRI, diálogo bilateral con Estados miembros e, indirectamente, a través de los medios de comunicación. Los primeros resultados de este seguimiento se publicaron en julio de 2020⁵⁶. En diciembre de 2020, la Comisión también publicó un informe sobre el impactos de su Recomendación sobre la ciberseguridad de las redes 5G⁵⁷. En septiembre de 2021 no se prevé la presentación de futuros informes.

69 Sin embargo, los informes mencionados carecen de un conjunto común de indicadores clave de resultados y no presentan un conjunto comparable de información detallada sobre el modo en que los Estados miembros hacen frente a los problemas de seguridad de las redes 5G.

70 Por otra parte, hay poca información accesible al público sobre cómo se enfrentan los Estados miembros a los proveedores de alto riesgo, es decir, cómo los identifican y si excluyen a algunos de ellos del suministro de sus equipos 5G, e incluso dicha información es contradictoria e incompleta. Por ejemplo:

• El su informe de julio de 2020 sobre los avances de los Estados miembros en la aplicación del conjunto de instrumentos de la UE (véase el apartado 68), la Comisión afirma que aproximadamente la mitad de los Estados miembros (catorce de veintisiete) había evaluado el perfil de riesgo de los proveedores y había aplicado restricciones a los considerados de alto riesgo.
• En un informe de diciembre de 2020⁵⁸, la Oficina del ORECE mencionaba que solo nueve Estados miembros habían establecido tales restricciones, y que siete de los dieciocho Estados miembros restantes no tenían intención de aplicar dichas restricciones en el futuro.

71 Incluso en los casos en que los Estados miembros han aprobado legislación sobre la seguridad de las redes 5G (véase también el apartado 75), estas siguen sin aclarar el planteamiento adoptado por los Estados miembros con respecto a los proveedores de alto riesgo. Es probable que las decisiones concretas se adopten únicamente mediante actos de ejecución o decisiones administrativas o comerciales que no son de carácter público.

72 Según las partes interesadas y las autoridades decisorias (por ejemplo, en el Parlamento Europeo) entrevistadas, la información no destinada al público (por ejemplo, a través de los informes de la Comisión o del Grupo en materia de RSI) sobre el planteamiento adoptado por los Estados miembros con respecto a los proveedores de alto riesgo también es escasa, y estas entidades tienen que recurrir a los medios de comunicación y a fuentes no oficiales.

73 A pesar del carácter transfronterizo de los problemas de seguridad de las redes 5G, en general se dispone de poca información pública sobre el modo en que los Estados miembros gestionan las cuestiones de seguridad y, en particular, el problema de los proveedores de alto riesgo. Esto dificulta el intercambio de conocimientos entre los Estados miembros y la posibilidad de aplicar medidas concertadas. También limita la posibilidad de que la Comisión proponga mejoras para la seguridad de las redes 5G.

Existen indicios de que algunos Estados miembros aplican enfoques divergentes en lo que respecta a los proveedores de 5G

74 Las autoridades nacionales cuentan con un amplio margen de discrecionalidad para aplicar medidas fundamentales en materia de seguridad de las redes 5G (véanse los apartados 48 y 49). El conjunto de instrumentos tiene en cuenta las competencias nacionales y factores específicos pertinentes de los países (evaluación de las amenazas por los servicios de seguridad nacional, calendario de despliegue de las redes 5G, presencia de proveedores y capacidades de ciberseguridad). Hasta ahora, los Estados miembros han aplicado enfoques divergentes en el uso de equipos procedentes de proveedores específicos o en el alcance de las restricciones a los proveedores de alto riesgo (véanse ejemplos de cuatro Estados miembros en el recuadro 5).

75 Desde la adopción del conjunto de instrumentos se ha avanzado en el refuerzo de la seguridad de las redes 5G, y la mayoría de los Estados miembros aplican o están en proceso de aplicar restricciones a los proveedores de alto riesgo. Al final de 2021, trece Estados miembros habían adoptado o modificado leyes nacionales sobre seguridad de las redes 5G. Estas medidas reglamentarias tienen en cuenta los criterios establecidos en el conjunto de instrumentos, pero siguen diferentes enfoques (véase la ilustración 6). Otros Estados miembros están en proceso de proponer este tipo de legislación. Con el tiempo, es posible que esto dé lugar a enfoques más convergentes con respecto a los proveedores de 5G de alto riesgo, al menos en los Estados miembros que hayan aprobado dicha legislación.

76 Hasta ahora, la Comisión no ha valorado cuál sería el efecto de estos enfoques divergentes si un Estado miembro construyera sus redes 5G utilizando equipos de un proveedor considerado de alto riesgo en otro Estado miembro. Esto podría afectar a la seguridad transfronteriza o a la competencia entre los operadores de redes de comunicaciones móviles que operan en el mercado único de la UE.

La Comisión ha empezado a examinar recientemente la cuestión de las subvenciones extranjeras que distorsionan el mercado interior

77 En diciembre de 2020, más de la mitad de los equipos 4G y 5G de la UE se estaban obteniendo de proveedores de terceros países (véase la ilustración 7).

78 En particular, al final de 2019, 286 millones de clientes de la Europa de los Veintisiete (el 64 % de la población total) utilizaban redes de telecomunicaciones basadas en equipos 4G procedentes de proveedores chinos⁵⁹. En octubre de 2020, un grupo de diputados al Parlamento Europeo manifestaron a los ministros de Telecomunicaciones y Comercio de los Estados miembros, así como a la Comisión, su preocupación de que una de las razones de esta elevada cuota de mercado de los proveedores chinos se debiera a que se estos se benefician de una ventaja económica injusta, es decir, que recibían subvenciones públicas de las que no disponen los proveedores europeos con arreglo a las normas de la UE sobre ayudas estatales⁶⁰. En un estudio reciente pusimos de relieve riesgos similares a este respecto⁶¹. Estas subvenciones pueden distorsionar el mercado interior y, en consecuencia, crear condiciones de competencia desiguales entre los proveedores de 5G, con posibles implicaciones para la seguridad. En mayo de 2021, la Comisión propuso un nuevo Reglamento⁶² en el que se establecen procedimientos para investigar dichas subvenciones y corregir las correspondientes distorsiones del mercado, con el fin de hacer frente a este problema.

La Comisión no cuenta con información suficiente relativa a los posibles costes de sustitución de los equipos de los proveedores chinos

79 Según un informe de junio de 2020⁶³, la restricción de un proveedor clave de infraestructura 5G en la UE aumentaría los costes totales de inversión en casi 2 400 millones de euros al año durante el próximo decenio (es decir, 24 000 millones de euros). Según otro estudio⁶⁴, los operadores europeos ya están afrontando la actualización de las redes 4G construidas entre 2012 y 2016, porque revisar y modernizar los equipos de red que tienen más de tres o cuatro años constituye una práctica empresarial habitual. Este estudio estima que el coste total de «retirar y sustituir» los equipos actualizables comprados a proveedores chinos desde 2016 ascenderá a unos 3 000 millones de euros.

80 La elevada proporción de equipos de proveedores chinos, combinada con su posible clasificación como de alto riesgo en determinados Estados miembros, puede dar lugar a costes de sustitución de varios miles de millones de euros si los operadores de redes de comunicaciones móviles tuvieran que retirar y sustituir los equipos de los proveedores chinos de las redes europeas sin un período de transición (véanse los apartados 77 a 79). En principio, no puede concederse ayuda estatal para compensar a los operadores por el cumplimiento de obligaciones legales a menos que los Estados miembros puedan demostrar a la Comisión que los requisitos necesarios se han cumplido (como un efecto incentivador). En nuestro análisis hemos identificado un caso en el que la legislación nacional puede permitir que la financiación pública nacional contribuya a sufragar los costes de sustitución (véase la Ley finlandesa relativa a los servicios de comunicación electrónica⁶⁵). Los Estados miembros deben notificar a la Comisión todos los casos de ayuda estatal para compensar a los operadores de redes de comunicaciones móviles por dichos costes. Según la Comisión, hasta ahora ningún Estado miembro ni parte interesada se ha puesto en contacto con ellos para notificar ayuda estatal por costes de sustitución de equipos. Según interlocutores del sector entrevistados durante la auditoría, la incertidumbre sobre el tratamiento de dichos costes por los Estados miembros y las diferencias entre estos socavan la seguridad empresarial y existe el riesgo de que afecten negativamente al despliegue oportuno de redes 5G.

Conclusiones y recomendaciones

81 En general, nuestra auditoría mostró que, a pesar del apoyo de la Comisión, existen considerables retrasos en el despliegue de las redes 5G por parte de los Estados miembros, y son necesarios mayores esfuerzos para resolver los problemas de seguridad en el despliegue de las redes 5G.

82 En su Plan de Acción 5G de 2016, la Comisión pidió que las zonas urbanas y las principales vías de transporte tuvieran cobertura 5G ininterrumpida antes de 2025 y que hubiera plena cobertura 5G antes de 2030. Al final de 2020, veintitrés Estados miembros habían puesto en marcha servicios comerciales de 5G y habían logrado el objetivo intermedio de que al menos una gran ciudad tuviera acceso a ellos. Sin embargo, constatamos que no todos los Estados miembros hacen referencia a los objetivos de la Comisión en sus estrategias nacionales de 5G ni en sus planes de banda ancha. Además, varios países aún no han incorporado a su Derecho nacional el Código Europeo de las Comunicaciones Electrónicas, y se retrasó la asignación del espectro 5G. Estas demoras en la asignación del espectro pueden explicarse por diferentes razones: escasa demanda por parte de los operadores de redes de comunicaciones móviles, problemas de coordinación transfronteriza con los países no pertenecientes a la UE en las fronteras orientales, impacto del COVID-19 en el calendario de subastas, e incertidumbre sobre cómo afrontar los problemas de seguridad. Según la Comisión, solo once Estados miembros tienen probabilidades de lograr el objetivo de 2025 (véanse los apartados 22 a 43).

83 La Comisión ayudó a los Estados miembros a ejecutar el Plan de Acción 5G de 2016 por medio de iniciativas, orientaciones y financiación de la investigación relacionada con la tecnología 5G. Sin embargo, la Comisión no definió la calidad que debe ofrecer el servicio de las redes 5G, como su rendimiento en lo que respecta a la velocidad mínima y a la latencia máxima. Esto ha dado lugar a una interpretación divergente entre los Estados miembros del término «calidad de la tecnología 5G». Constatamos enfoques divergentes adoptados por los Estados miembros en el despliegue de los servicios 5G, como el hecho de que solo dos Estados miembros hayan definido la velocidad mínima y la latencia máxima. En última instancia, existe el riesgo de que estos enfoques divergentes den lugar a desigualdades en el acceso y la calidad de los servicios 5G en la UE, lo que aumentaría la «brecha digital» entre los Estados miembros y las regiones en lugar de reducirla (véanse los apartados 22 a 31).

Recomendación 1 – Promover el despliegue uniforme y oportuno de las redes 5G en la UE

La Comisión debería:

1. elaborar, junto con los Estados miembros, una definición común de la calidad que deben ofrecer las redes 5G, como, por ejemplo, los requisitos de rendimiento que deben presentar en relación con la velocidad mínima y la latencia máxima;
2. instar a los Estados miembros a incorporar los objetivos de 2025 y 2030 relativos al despliegue de la tecnología 5G, así como las medidas que serán necesarias para su consecución, en la próxima revisión de sus estrategias 5G/digitales o sus planes de banda ancha;
3. apoyar a los Estados miembros para que hagan frente a los problemas que plantea la coordinación del espectro con los países vecinos no pertenecientes a la UE, por ejemplo, abogando por que esta cuestión figure en el orden del día de todas las reuniones pertinentes.

Plazo: Diciembre de 2022

84 Los aspectos de seguridad de las redes 5G se han convertido recientemente en un importante motivo de preocupación en la UE. En 2019, el Consejo Europeo hizo hincapié en la correspondiente necesidad de adoptar medidas en toda la UE, y pidió que se adoptara un planteamiento concertado y que los Estados miembros cooperaran en esta cuestión transfronteriza. La Comisión, junto con los Estados miembros, reaccionó rápidamente ante los problemas emergentes de seguridad de las redes 5G. En 2020, el Grupo de Cooperación SRI adoptó un conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, en el que se indica una serie de medidas estratégicas, técnicas y de apoyo destinadas a afrontar las amenazas a la seguridad de las redes 5G y se establece cuáles son los agentes responsables de cada una de estas medidas Algunas de las medidas abordan la cuestión de los proveedores de equipos 5G que son considerados proveedores de alto riesgo. Este conjunto de instrumentos fue posteriormente refrendado por la Comisión y por el Consejo Europeo (véanse los apartados 45 a 47). Dado que el conjunto de instrumentos pertenece al Derecho indicativo, estas medidas no son vinculantes en los Estados miembros. Más recientemente, el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G se mencionaba en la Estrategia Europea para impulsar vínculos inteligentes, limpios y seguros en todo el mundo como un instrumento para orientar las inversiones en infraestructura digital (véase el apartado 50).

85 Los criterios del conjunto de instrumentos ofrecen un marco operativo que resultan útiles para evaluar de forma coordinada el perfil de riesgo de los proveedores en todos los Estados miembros, aunque, al mismo tiempo, la realización de esta evaluación es competencia nacional (véase el apartado 54).

86 Desde la adopción del conjunto de instrumentos se ha avanzado en el refuerzo de la seguridad de las redes 5G, y la mayoría de los Estados miembros aplican o están en proceso de aplicar restricciones a los proveedores de alto riesgo. En octubre de 2021, teniendo en cuenta este marco, trece Estados miembros han aprobado o modificado la legislación en materia de seguridad de las redes 5G. Otros Estados miembros están en proceso de proponer legislación que tenga en cuenta los criterios del conjunto de instrumentos (véanse los apartados 54 y 75).

87 El conjunto de instrumentos fue adoptado en una fase temprana del despliegue de la tecnología 5G, pero varios operadores de redes de comunicaciones móviles ya habían seleccionado a sus proveedores (véase el apartado 52). Si no se hace frente a los problemas de seguridad desde la fase de concepción de una política, existe el riesgo de que su aplicación tenga efectos negativos, como el hecho de que los beneficios previstos (por ejemplo, el crecimiento del PIB) puedan quedar mermados por los costes de afrontar amenazas (por ejemplo, el coste de la ciberdelincuencia) (véanse los apartados 02 y 04).

88 El conjunto de instrumentos tiene en cuenta competencias nacionales y factores específicos pertinentes de los países. Nuestra auditoría puso de manifiesto que, hasta ahora, los Estados miembros han aplicado enfoques divergentes en lo que respecta al uso de equipos procedentes de proveedores de alto riesgo o al alcance de las restricciones (por ejemplo, solo las partes básicas o críticas de la red 5G, o la red de acceso radioeléctrico o una parte de ella) (véanse los apartados 74 y 75).

89 Es posible que, en los próximos años, la legislación en materia de seguridad de las redes 5G aprobada por los Estados miembros basándose en el conjunto de herramientas dé lugar a la aplicación de un enfoque más convergente con los proveedores de 5G de alto riesgo. Sin embargo, como ninguna de las medidas establecidas en este conjunto de instrumentos son jurídicamente vinculantes, la Comisión no tiene competencias para hacerlas cumplir. Por tanto, sigue existiendo el riesgo de que el conjunto de instrumentos por sí solo no pueda garantizar que los Estados miembros afronten los aspectos de seguridad de manera concertada (véanse los apartados 49 a 75).

90 Muchos proveedores de 5G están ubicados fuera de la UE y, por tanto, operan en el marco de las legislaciones de terceros países, que pueden diferir en gran medida de las normas de la UE, por ejemplo, en lo referente a la protección eficaz de datos otorgada a los ciudadanos y, más en general, al modo de garantizar la independencia judicial mediante contrapoderes institucionales legislativos o democráticos. El hecho de que las redes 5G funcionen principalmente con programas informáticos también puede suponer un problema de seguridad especial si los centros de control de dichos programas informáticos se situaran en países no pertenecientes a la UE, lo que podría someter a los ciudadanos de la UE a la legislación de terceros países. La Comisión ha empezado a hacer frente a estos problemas, pues considera que toda empresa que preste servicios a los ciudadanos de la UE debe respetar las normas y los valores de la Unión. También ha iniciado diálogos con varios países al objeto de garantizar una sólida protección de la privacidad de los datos personales (véanse los apartados 56 a 62).

91 A pesar del carácter transfronterizo de los problemas de seguridad de las redes 5G, se dispone de poca información pública sobre el modo en que los Estados miembros gestionan las cuestiones de seguridad y su dependencia de los proveedores de alto riesgo. La Comisión supervisa la aplicación del conjunto de instrumentos de la UE e informa al respecto. Sin embargo, los informes no presentan información detallada y comparable sobre el modo en que los Estados miembros afrontan los problemas de seguridad que plantea la tecnología 5G. Además, en septiembre de 2021, no se prevé la presentación de informes en el futuro. Esta falta de información dificulta el intercambio de conocimientos entre los Estados miembros y la posibilidad de aplicar medidas concertadas. También limita la posibilidad de que la Comisión proponga mejoras en la seguridad de las redes 5G (véanse los apartados 68 a 73).

Recomendación 2 – Fomentar un planteamiento concertado sobre la seguridad de la tecnología 5G entre los Estados miembros

La Comisión debería:

1. proporcionar una mayor orientación o acciones de apoyo sobre los elementos fundamentales del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, como los criterios relativos a la evaluación de los proveedores de 5G, su clasificación como proveedores de alto riesgo y las consideraciones sobre la protección de datos.
   Plazo: Diciembre de 2022
2. fomentar la transparencia de los enfoques de los Estados miembros sobre la seguridad de la tecnología 5G mediante la supervisión de la aplicación de las medidas de seguridad previstas en el conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G y la información al respecto utilizando un conjunto común de indicadores clave de resultados.
   Plazo: Diciembre de 2022
3. junto con los Estados miembros, evaluar en qué aspectos de la seguridad de las redes 5G es necesario especificar requisitos aplicables y, en su caso, iniciar procesos legislativos.
   Plazo: Diciembre de 2022

92 La Comisión ha empezado a estudiar estas alegaciones sobre la existencia de una ventaja económica injusta debida a las subvenciones extranjeras. Estas subvenciones pueden distorsionar el mercado interior y, por lo tanto, crear condiciones de competencia desiguales entre los proveedores de 5G, con posibles implicaciones para la seguridad (véase el apartado 78).

93 La Comisión no cuenta con información suficiente sobre el tratamiento de los posibles costes de sustitución que se producirían si los operadores de redes de comunicaciones móviles tuvieran que retirar los equipos de los proveedores de alto riesgo de las redes europeas sin un período de transición. Las diferencias de tratamiento pueden socavar la seguridad empresarial, y existe el riesgo de que afecten negativamente al despliegue oportuno de redes 5G (véanse los apartados 79 y 80). Al mismo tiempo, los enfoques adoptados por los Estados miembros con respecto a la seguridad de la tecnología 5G, y, en particular, la ausencia de un planteamiento concertado en toda la UE, pueden afectar al funcionamiento eficaz del mercado interior. Hasta la fecha, la Comisión no ha evaluado esta cuestión (véanse los apartados 74 a 76).

Recomendación 3 – Supervisar los enfoques adoptados por los Estados miembros con respecto a la seguridad de las redes 5G y evaluar el impacto de las divergencias en el funcionamiento eficaz del mercado interior

La Comisión debería:

1. fomentar un enfoque transparente y coherente en el tratamiento por los Estados miembros de los costes de los operadores de redes de comunicaciones móviles por reemplazar los equipos 5G obtenidos de proveedores de alto riesgo mediante la supervisión periódica de este asunto en la aplicación del conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G y la información al respecto.
2. evaluar cuál sería el efecto en el mercado interior si un Estado miembro construyera sus redes 5G utilizando equipos de un proveedor considerado de alto riesgo en otro Estado miembro.

Plazo: Diciembre de 2022

El presente informe ha sido aprobado por la Sala II, presidida por Iliana Ivanova, Miembro del Tribunal de Cuentas, en Luxemburgo el 15 de diciembre de 2021.

Anexos:

Anexo I — Principales oportunidades y riesgos de la tecnología 5G

Fuente: Tribunal de Cuentas Europeo, a partir de datos del Centro Europeo de Medios Científicos del Servicio de Estudios del Parlamento Europeo.

Anexo II — Ejemplos del impacto de la interrupción de las redes de telecomunicaciones y de los incidentes de ciberseguridad

Fallo de los números de llamada de emergencia en Francia ^{66, 67}

01 El 3 de junio de 2021 se produjo una interrupción en la red de Orange, la mayor empresa de telecomunicaciones de Francia, que impidió la realización de llamadas de emergencia durante varias horas. Aunque se ha descartado que se debiera a un ciberataque, este incidente muestra los efectos que puede tener la interrupción de una infraestructura de red crítica.

Ataques con programas de secuestro contra la sanidad pública de Irlanda^{68, 69, 70}

02 En mayo de 2021, el servicio de salud de Irlanda (Health Service Executive) cerró todos sus sistemas de tecnología de la información a causa de un ataque con programas de secuestro. El ataque afectó a todos los aspectos de la atención a los pacientes, ya que creó dificultades para acceder a las historias clínicas de los pacientes, lo que aumentó el riesgo de retrasos y errores. Aunque las autoridades irlandesas no tienen constancia de que se hubieran puesto en peligro los datos de los pacientes, compartir las historias clínicas podría haber propiciado todo tipo de delitos contingentes, como fraude y chantaje. Según el director general ejecutivo del Servicio de Salud, los costes de recuperación estimados ascenderán probablemente a 500 millones de euros (600 millones de dólares).

Solarwinds^{71, 72, 73}

03 Solarwinds es una empresa estadounidense que desarrolla programas informáticos para empresas y para los organismos estatales y federales con el fin de ayudar a gestionar sus redes, sistemas e infraestructuras de tecnología de la información. Al principio de 2020, Solarwinds fue objeto de un ataque con programas informáticos. Los hackers consiguieron extender los ataques a los clientes de Solarwinds mediante actualizaciones de los programas informáticos que contenían códigos maliciosos. Esto abrió puertas traseras en las plataformas de los clientes que ofrecían una entrada fácil para llevar a cabo los ataques e instalar más programas maliciosos y programas espías.

Anexo III — Marco jurídico y político

Anexo IV — Ejemplos de proyectos cofinanciados por el FEIE

Proyectos del FEIE relacionados con la tecnología 5G

Los dos proyectos cofinanciados por el FEIE que revisamos se referían a inversiones en investigación, desarrollo e innovación para la elaboración de carteras de productos de la red 5G. Abarcaban el desarrollo de equipos y programas informáticos para la red de acceso radioeléctrico y para la red básica. Los dos proyectos contribuyeron al despliegue de células más densas, favorecieron la normalización y facilitaron la realización de experimentos tecnológicos fundamentales.

Los proyectos comenzaron en 2018 y finalizaron en diciembre de 2020. Conjuntamente tenían costes totales de inversión de 3 900 millones de euros, incluidos 1 000 millones de euros de financiación del FEIE.

Anexo V — Ejemplos de proyectos de Horizonte 2020 y del FEDER

Proyecto de Horizonte 2020 relacionado con la tecnología 5G

Este proyecto utiliza equipos procedentes de los tres principales proveedores de 5G (Ericsson, Huawei y Nokia), para probar las tecnologías 5G en el corredor transfronterizo que conecta las ciudades de Metz (Francia), Merzig (Alemania) y Luxemburgo. Comenzó en noviembre de 2018 y se preveía que durara 31 meses. La UE concedió 12,9 millones de euros del importe global presupuestado de 17,1 millones de euros.

Proyecto del FEDER relacionado con la tecnología 5G

Este proyecto ejecutado en España tiene como objetivo proporcionar información sobre los despliegues de las redes 5G. Incluye la experimentación con las técnicas de gestión de red que permite la tecnología 5G, como, por ejemplo, la virtualización de red, la computación en el borde, la asignación dinámica de servicios de red y la fragmentación de la red, y el desarrollo de casos de uso de la tecnología 5G. El proyecto comenzó en 2019 y se preveía que durara 30 meses. La contribución de la UE es de 2,2 millones de euros del coste total previsto de 7,1 millones de euros.

Anexo VI — Cobertura 5G en una selección de ciudades

Las cifras que figuran a continuación se basan en los datos sobre conectividad de banda ancha móvil recogidos en las pruebas llevadas a cabo por los usuarios de la aplicación móvil Nperf. Algunas zonas en las que se ha detectado 5G no están necesariamente abiertas al comercio. Dado que el rendimiento de las redes depende de los distintos operadores de redes de comunicaciones móviles, los siguientes mapas, extraídos el 4 de octubre de 2021, solo reflejan la cobertura y no el rendimiento, como, por ejemplo, la velocidad y la latencia.

Anexo VII — Conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G

El conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G, adoptado por el Grupo de Cooperación SRI y refrendado por la Comisión, contiene tres tipos de medidas no vinculantes (estratégicas, técnicas y de apoyo) que deben aplicar diversos agentes, según se resume a continuación.

Medidas	Agentes pertinentes
	Autoridades de los Estados miembros	Operadores de redes de comunicaciones móviles	Comisión Europea	ENISA	Partes interesadas (incl. proveedores)
Medidas estratégicas
ME01 - Reforzar el papel de las autoridades nacionales	✓	✓
ME02 - Realizar auditorías a los operadores y solicitar información	✓	✓
ME03 - Evaluar el perfil de riesgo de los proveedores y aplicar las restricciones que correspondan a los proveedores considerados de alto riesgo, incluidas las exclusiones necesarias para reducir eficazmente los riesgos en el caso de los activos clave	✓	✓
ME04 - Controlar el uso de proveedores de servicios gestionados y del soporte de tercer nivel prestado por los proveedores de equipos	✓	✓
ME05 - Garantizar la diversidad de proveedores para los distintos operadores de redes de comunicaciones móviles mediante estrategias adecuadas basadas en múltiples proveedores	✓	✓
ME06 - Reforzar la resiliencia a nivel nacional	✓	✓
ME07 - Definir los activos clave y fomentar un ecosistema 5G diverso y sostenible en la UE	✓		✓
ME08 - Mantener y fomentar la diversidad y las capacidades de la UE en las futuras tecnologías de red	✓		✓		✓
Medidas técnicas
MT01 - Garantizar la aplicación de los requisitos de seguridad de referencia (diseño y arquitectura de redes seguras)	✓	✓
MT02 - Garantizar y evaluar la ejecución de medidas de seguridad en las normas actuales de la tecnología 5G	✓	✓			✓
MT03 - Garantizar controles de acceso estrictos	✓	✓
MT04 - Aumentar la seguridad de las funciones de redes virtualizadas	✓	✓
MT05 - Garantizar la gestión, el funcionamiento y el seguimiento de una red 5G segura	✓	✓
MT06 - Reforzar la seguridad física	✓	✓
MT07 - Reforzar la integridad, la actualización y la gestión de parches de los programas informáticos	✓	✓
MT08 - Aumentar las normas de seguridad y los procesos de los proveedores a través de condiciones sólidas de contratación pública	✓	✓			✓
MT09 - Emplear la certificación de la UE para los componentes de la red 5G, los equipos de los clientes o los procesos de los proveedores	✓	✓	✓	✓	✓
MT10 - Emplear la certificación de la UE para otros productos y servicios de tecnologías de la información y de las comunicaciones específicos de la tecnología 5G (dispositivos conectados, servicios en la nube)	✓		✓	✓	✓
MT11 - Reforzar la resiliencia y los planes de continuidad	✓	✓			✓
Medidas de apoyo
MA01 - Revisar las directrices y las mejores prácticas en materia de seguridad de las redes o elaborar otras nuevas	✓	✓		✓
MA02 - Reforzar las capacidades de ensayo y auditoría a escala nacional y de la UE	✓		✓	✓
MA03 - Apoyar y moldear la normalización de la tecnología 5G	✓	✓	✓	✓	✓
MA04 - Elaborar orientaciones sobre la ejecución de medidas de seguridad en las normas actuales de la tecnología 5G	✓			✓
MA05 - Garantizar la aplicación de medidas de seguridad técnicas y organizativas normalizadas mediante un sistema de certificación específico a escala de la UE	✓			✓	✓
MA06 - Intercambiar las mejores prácticas sobre la aplicación de medidas estratégicas, en particular los marcos nacionales para evaluar el perfil de riesgo de los proveedores	✓
MA07 - Mejorar la coordinación en la respuesta a incidentes y la gestión de crisis	✓			✓
MA08 - Llevar a cabo auditorías de las interdependencias entre las redes 5G y otros servicios esenciales	✓
MA09 - Mejorar los mecanismos de cooperación, coordinación e intercambio de información	✓			✓
MA10 - Velar por que los proyectos 5G financiados con fondos públicos tengan en cuenta los riesgos de ciberseguridad	✓		✓

Fuente: Conjunto de instrumentos de la UE para la ciberseguridad de las redes 5G.

Siglas y abreviaturas

BEI: Banco Europeo de Inversiones

CECE: Código Europeo de las Comunicaciones Electrónicas

ENISA: Agencia de Seguridad de las Redes y de la Información de la Unión Europea

FEDER: Fondo Europeo de Desarrollo Regional

FEIE: Fondo Europeo para Inversiones Estratégicas

GPER: Grupo de Política del Espectro Radioeléctrico

MNO: Mobile network operator

NBP: National broadband plan

ORECE: Organismo de Reguladores Europeos de las Comunicaciones Electrónicas

PIB: Producto interior bruto

RAN: Radio access network

RRF: Recovery and Resilience Facility

RSI: Redes y sistemas de información

Glosario

Agencia de la Unión Europea para la Ciberseguridad: Agencia de la UE creada para desarrollar y mantener un alto nivel de seguridad de las redes y de la información en todos los sectores de la vida privada y pública.

Banda ancha: Transmisión simultánea de alta velocidad de múltiples formatos de información (por ejemplo, datos, voz y vídeo).

Espectro radioeléctrico: La parte del espectro electromagnético correspondiente a las radiofrecuencias.

Exabyte: Unidad de medida de la capacidad de almacenamiento de información digital, equivalente a mil millones de gigabytes.

Fondo Europeo para Inversiones Estratégicas: Mecanismo de apoyo a la inversión puesto en marcha por el Banco Europeo de Inversiones (BEI) y la Comisión, como parte del Plan de Inversiones para Europa, con el fin de movilizar la inversión privada hacia proyectos de importancia estratégica para la UE.

Grupo de Cooperación en Redes y Sistemas de Información (Grupo de Cooperación RSI): Organismo establecido por la Directiva sobre Ciberseguridad para garantizar la cooperación y el intercambio de información entre Estados miembros; está compuesto por representantes de los Estados miembros de la UE, la Comisión Europea y la Agencia de la Unión Europea para la Ciberseguridad (ENISA).

Grupo de Política del Espectro Radioeléctrico Grupo consultivo de alto nivel, compuesto por representantes de los Estados miembros, que asiste y asesora a las instituciones de la UE sobre el desarrollo del mercado interior de productos y servicios inalámbricos.

Internet de las cosas: Objetos físicos dotados de sensores, programas informáticos y otras tecnologías que les permiten conectarse de forma inalámbrica e intercambiar datos con otros dispositivos y sistemas.

Latencia: En las redes informáticas, el tiempo necesario para que un conjunto de datos viaje entre dos puntos.

Operador de redes de comunicaciones móviles: Empresa de telecomunicaciones que proporciona comunicación inalámbrica de voz y datos a los usuarios de teléfonos móviles abonados.

Organismo de Reguladores Europeos de las Comunicaciones Electrónicas; Organismo, compuesto por representantes de las autoridades nacionales de reglamentación de los Estados miembros, que presta asistencia a dichas autoridades y a la Comisión para la aplicación del marco reglamentario de la UE con vistas a crear un mercado único de las telecomunicaciones.

Planes nacionales de banda ancha: Documentos estratégicos de los Estados miembros que contienen objetivos estratégicos destinados a apoyar el logro de los objetivos de la UE en materia de banda ancha.

Programa de secuestro: Programa malicioso que niega a las víctimas el acceso a un sistema informático o que hace que los archivos sean ilegibles, obligando a la víctima a pagar un rescate para restablecer el acceso.

Redes de acceso radioeléctrico: Una parte importante de la tecnología moderna de telecomunicaciones, que enlaza dispositivos individuales con otras partes de una red mediante conexiones de radio.

System for Mobile Communications Association (GSMA): Organización del sector que representa los intereses de los operadores de telefonía móvil de todo el mundo, así como de las empresas de fabricación y servicios y las organizaciones interesadas en la infraestructura móvil.

Respuestas de la Comisión

https://www.eca.europa.eu/es/Pages/DocItem.aspx?did=60614

Cronología

https://www.eca.europa.eu/es/Pages/DocItem.aspx?did=60614

Equipo auditor

En los informes especiales del Tribunal de Cuentas Europeo se exponen los resultados de sus auditorías de las políticas y programas de la UE o de cuestiones de gestión relativas a ámbitos presupuestarios específicos. El Tribunal selecciona y concibe estas tareas de auditoría con el fin de que tengan el máximo impacto teniendo en cuenta los riesgos relativos al rendimiento o al cumplimiento, el nivel de ingresos y de gastos correspondiente, las futuras modificaciones y el interés político y público.

Esta auditoría de gestión fue realizada por la Sala II, especializada en inversión en los ámbitos de gasto de cohesión, crecimiento e inclusión, presidida por Iliana Ivanova, miembro del Tribunal. La auditoría fue dirigida por Annemie Turtelboom, Miembro del Tribunal de Cuentas Europeo, con la asistencia de Florence Fornaroli, jefa de Gabinete, y Celil Ishik, agregado de Gabinete; Niels-Erik Brokopp, gerente principal; Paolo Pesce, jefe de Tarea, y los auditores Jussi Bright, Rafal Gorajski, Zuzana Gullová, Alexandre Tan, Aleksandar Latinov y Nils Westphal.

 

Notas finales

¹ Statista,Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030.

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017‑2022, febrero de 2019.

³ Unión Internacional de Telecomunicaciones – Sector de Radiocomunicaciones (UIT-R),IMT traffic estimates for the years 2020 to 2030.

⁴ Identification and quantification of key socio-economic data to support strategic planning for the introduction of 5G in Europe, febrero de 2017.

⁵ Accenture Strategy,The Impact of 5G on the European Economy, febrero de 2021.

⁶ Análisis 2/2019:Desafíos de una política eficaz de ciberseguridad en la UE (Documento informativo); «Compendio de auditorías de 2020: la ciberseguridad»; y Centro Europeo de Medios Científicos del Servicio de Estudios del Parlamento Europeo.

⁷ Grupo de Cooperación SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019, apartado 3.4.

⁸ Foro Económico Mundial, Wild Wide Web – Consequences of Digital Fragmentation, 2021.

⁹ Grupo de Cooperación SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9.10.2019,

¹⁰ https://ec.europa.eu/commission/presscorner/detail/es/IP_15_5715

¹¹ Resolución del Parlamento Europeo de 12 de marzo de 2019; Ley de inteligencia nacional de la República Popular China, artículo 14. Véase también su traducción al inglés en https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/.

¹² https://ec.europa.eu/commission/presscorner/detail/es/IP_20_12

¹³ Estimación de la Comisión basada en datos del BEI, análisis, anuncios de las empresas y de la asociación GSMA, y de la ETNO (Asociación de Operadores Europeos de Redes de Telecomunicación), Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, marzo de 2021.

¹⁴ Lista de proyectos del BEI.

¹⁵ Análisis 3/2020: «Respuesta de la UE a la estrategia china de inversión impulsada por el Estado».

¹⁶ Informe Especial 12/2018: «La banda ancha en los Estados miembros de la UE: pese a los avances, no se cumplirán todos los objetivos de la Estrategia Europa 2020».

¹⁷ Informe Especial 19/2020: «Digitalización de la industria europea: Iniciativa ambiciosa cuyo éxito depende del empeño constante de la UE, los Gobiernos y las empresas».

¹⁸ Análisis 2/2019: «Desafíos de una política eficaz de ciberseguridad en la UE (Documento informativo)».

¹⁹ Comisión Europea, Brújula Digital 2030: el enfoque de Europa para el Decenio Digital, COM(2021) 118 final.

²⁰ Study on National Broadband Plans in the EU‑27.

²¹ 5G Observatory Quarterly Report 12, Up to June 2021.

²² Comisión Europea, Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la itinerancia en las redes públicas de comunicaciones móviles en la Unión (refundición), COM(2021) 85 final, de 24.2.2021.

²³ Comisión, Study on National Broadband Plans in the EU‑27.

²⁴ Directiva (UE) 2018/1972, por la que se establece el Código Europeo de las Comunicaciones Electrónicas.

²⁵ Comunicación de la Comisión Europea, Despliegue seguro de la 5G en la UE – Aplicación de la caja de herramientas de la UE, COM(2020) 50 final.

²⁶ Study on National Broadband Plans in the EU‑27.

²⁷ Comisión Europea – Comunicado de prensa IP 21 206 de 4 de febrero de 2021.

²⁸ Comisión Europea – Comunicado de prensa IP 21 4612 de 23 de septiembre de 2021.

²⁹ Decisión (UE) 2017/899 sobre el uso de la banda de frecuencia de 470‑790 MHz en la Unión.

³⁰ Directiva (UE) 2018/1972, por la que se establece el Código Europeo de las Comunicaciones Electrónicas.

³¹ 5G Observatory and RSPG.

³² Resolución del Parlamento Europeo de 12 de marzo de 2019 [2019/2575(RSP)].

³³ JOIN(2019) 5 final, de 12.3.2019: UE-China – Una perspectiva estratégica.

³⁴ Conclusiones del Consejo Europeo de 21 y 22 de marzo de 2019.

³⁵ Recomendación de la Comisión (UE) 2019/534, de 26 de marzo de 2019: «Ciberseguridad de las redes 5G».

³⁶ Comunicado de prensa de 19 de julio de 2019.

³⁷ Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures. NIS Cooperation Group, 01/2020.

³⁸ Comunicación de la Comisión Europea, Despliegue seguro de la 5G en la UE – Aplicación de la caja de herramientas de la UE, COM(2020) 50 final, y Conclusiones del Consejo Europeo de 1 y 2 de octubre de 2020 (EUCO 13/20).

³⁹ Tratado de Funcionamiento de la Unión Europea.

⁴⁰ Directiva (UE) 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

⁴¹ Análisis 2/2019: «Desafíos de una política eficaz de ciberseguridad en la UE (Documento informativo)», apartado 36.

⁴² Joint Communication to the European Parliament, the Council, the European Economic and Social Committee, the Committee of the Regions and the European Investment Bank – The Global Gateway. JOIN(2021) 30 final de 1 de diciembre de 2021.

⁴³ COM(2013) 48 final, de 7.2.2013.

⁴⁴ Directiva (UE) 2016/1148.

⁴⁵ COM(2016) 590 final/2, de 12.10.2016 y Directiva (UE) 2018/1972, por la que se establece el Código Europeo de las Comunicaciones Electrónicas.

⁴⁶ Comunicación de la Comisión Europea, Configurar el futuro digital de Europa, COM(2020) 67 final.

⁴⁷ «UE-China – Una perspectiva estratégica:».

⁴⁸ Sentencia en el asunto C-362/14 y https://curia.europa.eu/jcms/upload/docs/application/pdf/2015‑10/cp150117es.pdf.

⁴⁹ Sentencia en el asunto C-311/18 y https://curia.europa.eu/jcms/upload/docs/application/pdf/2020‑07/cp200091es.pdf

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9‑2020‑004305_EN.html y https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ ENISA, Threat Landscape for 5G Networks, 14.12.2020.

⁵² ENISA, Guideline on Security Measures under the EECC, 10.12.2020.

⁵³ ENISA, 5G supplement to the Guidelines on Security Measures under the EECC, 7 de julio de 2021.

⁵⁴ Comunicado de prensa de 3 de febrero de 2021.

⁵⁵ Reglamento (UE) n.º 2021/523 por el que se crea la AESPJ.

⁵⁶ Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, julio de 2020.

⁵⁷ Report on the impacts of the Commission Recommendation of 26 March 2019 on the Cybersecurity of 5G networks, SWD(2020) 357 final, de 16.12.2020.

⁵⁸ Organismo de Reguladores Europeos de las Comunicaciones Electrónicas (ORECE), Internal Report concerning the EU 5G Cybersecurity Toolbox Strategic Measures 5 and 6 (Diversification of suppliers and strengthening national resilience), BoR 20 (227), 10.12.2020.

⁵⁹ StrandConsult, Understanding the Market for 4G RAN in Europe: Share of Chinese and Non-Chinese Vendors in 102 Mobile Networks.

⁶⁰ Carta de los diputados al Parlamento Europeo a los ministros de Telecomunicaciones y Comercio de la UE y a los comisarios europeos Thierry Breton, Margrethe Vestager y Valdis Dombrovskis, 14.10.2020.

⁶¹ Análisis del Tribunal de Cuentas Europeo 3/2020: Respuesta de la UE a la estrategia china de inversión impulsada por el Estado.

⁶² Propuesta de Reglamento sobre las subvenciones extranjeras que distorsionan el mercado interior, COM(2021) 223 final, de 5.5.2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, junio de 2020 (patrocinado por Huawei).

⁶⁴ StrandConsult, The real cost to ‘rip and replace’ Chinese equipment from telecom networks.

⁶⁵ Ley relativa a los servicios de comunicación electrónica 1207/2020 de 30 de diciembre de 2020, artículo 301.

⁶⁶ https://www.euronews.com/2021/06/03/french-telecom-operator-orange-apologises-after-emergency-numbers-crash-nationwide

⁶⁷ https://www.reuters.com/business/media-telecom/orange-blames-network-outage-software-failure-audit-2021‑06-11/

⁶⁸ https://www.wsj.com/articles/irish-healthcare-service-shuts-down-it-systems-after-ransomware-attack-11620998875

⁶⁹ https://www.reuters.com/technology/irish-health-service-hit-by-ransomware-attack-vaccine-rollout-unaffected-2021‑05-14/

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication-in-299786a86ffeab5aec16d55392d94819.20210624.en.html

⁷¹ https://www.solarwinds.com/

⁷² https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AF03R

⁷³ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020‑12?international=true&r=US&IR=T

Contacto

TRIBUNAL DE CUENTAS EUROPEO
12, rue Alcide De Gasperi
L-1615 Luxemburgo
LUXEMBURGO

Tel.: +352 4398-1
Preguntas: eca.europa.eu/es/Pages/ContactForm.aspx
Sitio web: eca.europa.eu
Twitter: @EUAuditors

Más información sobre la Unión Europea, en el servidor Europa de internet (https://europa.eu).

Luxemburgo: Oficina de Publicaciones de la Unión Europea, 2022

PDF	ISBN 978-92-847-7416-6	ISSN 1977-5687	doi:10.2865/703860	QJ-AB-21-029-ES-N
HTML	ISBN 978-92-847-7378-7	ISSN 1977-5687	doi:10.2865/74	QJ-AB-21-029-ES-Q

DERECHOS DE AUTOR

© Unión Europea, 2022.

La política de reutilización del Tribunal de Cuentas Europeo (el Tribunal) se aplica mediante la Decisión del Tribunal de Cuentas Europeo n.º 6‑2019 sobre la política de datos abiertos y de reutilización de documentos.

Salvo que se indique lo contrario (por ejemplo, en menciones de derechos de autor individuales), el contenido del Tribunal que es propiedad de la UE está autorizado conforme a la licencia Creative Commons Attribution 4.0 International (CC BY 4.0), lo que significa que está permitida la reutilización, siempre y cuando se dé el crédito apropiado y se indiquen los cambios. El reutilizador no debe distorsionar el significado o el mensaje original de los documentos. El Tribunal no será responsable de las consecuencias de la reutilización.

El usuario deberá obtener derechos adicionales si un contenido específico representa a personas privadas identificables como, por ejemplo, en fotografías del personal del Tribunal, o incluye obras de terceros. Cuando se obtenga el permiso, este cancelará y reemplazará el permiso general antes mencionado e indicará claramente cualquier restricción de uso.

Para utilizar o reproducir contenido que no sea propiedad de la UE, es posible que el usuario necesite obtener la autorización directamente de los titulares de los derechos de autor:

• Nuevo anexo VI: © nPerf. nPerf SAS company.

El software o los documentos cubiertos por derechos de propiedad industrial, como patentes, marcas comerciales, diseños registrados, logotipos y nombres, están excluidos de la política de reutilización del Tribunal y el usuario no está autorizado a utilizarlos.

La familia de sitios web institucionales de la Unión Europea pertenecientes al dominio «europa.eu» ofrece enlaces a sitios de terceros. Dado que el Tribunal de Cuentas Europeo no tiene control sobre dichos sitios, le recomendamos leer atentamente sus políticas de privacidad y derechos de autor.

Utilización del logotipo del Tribunal de Cuentas Europeo

El logotipo del Tribunal de Cuentas Europeo no debe ser utilizado sin el consentimiento previo del Tribunal.

Ponerse en contacto con la Unión Europea

En persona
En la Unión Europea existen cientos de centros de información Europe Direct. Puede encontrar la dirección del centro más cercano en: https://europa.eu/european-union/contact_es

Por teléfono o por correo electrónico
Europe Direct es un servicio que responde a sus preguntas sobre la Unión Europea. Puede acceder a este servicio:

• marcando el número de teléfono gratuito: 00 800 6 7 8 9 10 11 (algunos operadores pueden cobrar por las llamadas);
• marcando el siguiente número de teléfono: +32 22999696; o
• por correo electrónico: https://europa.eu/european-union/contact_es

Buscar información sobre la Unión Europea

En línea
Puede encontrar información sobre la Unión Europea en todas las lenguas oficiales de la Unión en el sitio web Europa: https://europa.eu/european-union/index_es

Publicaciones de la Unión Europea
Puede descargar o solicitar publicaciones gratuitas y de pago de la Unión Europea en: https://op.europa.eu/es/publications. Si desea obtener varios ejemplares de las publicaciones gratuitas, póngase en contacto con Europe Direct o su centro de información local (https://europa.eu/european-union/contact_es).

Derecho de la Unión y documentos conexos
Para acceder a la información jurídica de la Unión Europea, incluido todo el Derecho de la Unión desde 1951 en todas las versiones lingüísticas oficiales, puede consultar el sitio web EUR-Lex: https://eur-lex.europa.eu

Datos abiertos de la Unión Europea
El portal de datos abiertos de la Unión Europea (https://data.europa.eu/es) permite acceder a conjuntos de datos de la Unión. Los datos pueden descargarse y reutilizarse gratuitamente con fines comerciales o no comerciales.