La UE podrá prohibir proveedores extranjeros de alto riesgo para proteger las cadenas de suministro de TIC críticas

La Comisión ha elaborado una propuesta de reglamento que incluye medidas para proteger las cadenas de suministro de TIC críticas frente a las ciberamenazas

El mundo no es una balsa de aceite. Basta con echarle un ojo a las noticias para constatar que el contexto geopolítico se encuentra en uno de sus momentos más complejos y convulsos del último medio siglo. Conflictos bélicos, guerras arancelarias, tensiones crecientes entre grandes potencias…

La ciberseguridad no se mantiene al margen de este escenario. Más bien, al contrario, es un elemento clave en el mismo. Durante los últimos años han aumentado los ciberataques perpetrados por grupos de amenazas persistentes avanzadas (APT) esponsorizados por estados contra sectores críticos como el de la defensa, el aéreo o las telecomunicaciones. En muchos casos, el riesgo no reside únicamente en el ataque concreto, sino en la dependencia estructural de tecnologías desarrolladas o controladas desde entornos jurídicos y políticos ajenos a los estándares europeos.

En este contexto, la ciberseguridad ha dejado de ser un ámbito puramente técnico para convertirse en un instrumento de política estratégica. La protección de infraestructuras digitales, datos y cadenas de suministro se ha integrado de lleno en las agendas de seguridad nacional y en las políticas de autonomía estratégica de la Unión Europea, al mismo nivel que la energía o las materias primas.

Por eso, no debe sorprendernos que la Comisión Europea haya hecho pública una propuesta de reglamento que, entre otros objetivos, persigue proteger las cadenas de suministro de TIC críticas, es decir, las cadenas de suministro de hardware y software en sectores como los transportes, la electricidad o la banca.

Para ello, se contempla, entre otras medidas, la posibilidad de limitar la contratación de software y hardware con proveedores de países que presentan problemas de ciberseguridad.

Este nuevo reglamento de ciberseguridad aún debe ser negociado con el Parlamento Europeo y el Consejo Europeo, por lo que experimentará numerosos cambios. Sin embargo, su versión inicial deja claro que la UE está decidida a proteger las cadenas de suministro de TIC críticas, llegando a prohibir la contratación de proveedores extranjeros de alto riesgo, con el fin de garantizar la operatividad de los sectores críticos para la economía y la sociedad europeas.

A continuación, vamos a repasar algunas de las claves del Marco de confianza para la cadena de suministro de TIC, que se pondrá en marcha cuando el reglamento sea aprobado.

1. Qué se busca conseguir con el Marco de confianza para la cadena de suministro de TIC

Este nuevo reglamento pasará a formar parte de un marco normativo cada vez más exigente en materia de ciberseguridad en sectores críticos. En los últimos años, la Unión Europea ha aprobado diversas normas fundamentales para fortalecer la ciberseguridad de las compañías e instituciones europeas como el reglamento DORA sobre ciberresiliencia del sector financiero o la directiva NIS2 sobre ciberseguridad de los sectores críticos.

Precisamente, este nuevo reglamento nace directamente conectado con la directiva NIS2, que ya está en vigor, aunque España no la haya transpuesto aún. De este modo, la cadena de suministro de TIC pasa a concebirse no solo como un conjunto de relaciones comerciales, sino como un elemento crítico de seguridad. La concentración de proveedores, la opacidad en la propiedad de determinadas tecnologías o la dependencia de terceros países se identifican como factores de riesgo en sí mismos.

Así, el Marco de confianza para la cadena de suministro de TIC busca:

• Crear un mecanismo de seguridad en toda la UE para hacer frente a «los riesgos no técnicos en los sectores de alta criticidad y en otros sectores críticos», definidos por la directiva NIS2. Aquí es donde se incardina el objetivo de proteger las cadenas de suministro de TIC críticas frente a proveedores de alto riesgo.
• Usar dicho mecanismo para identificar activos clave en las cadenas de suministro de TIC críticas.
• Establecer medidas de mitigación de los riesgos para las entidades que operen en sectores críticos.

2. Realización de evaluaciones de riesgos de seguridad

Según la versión actual del reglamento, la Comisión o tres estados miembros pueden solicitar al Grupo de Cooperación NIS, creado mediante la directiva NIS2, que realice evaluaciones de los riesgos de seguridad a escala de la Unión Europea.

Mediante estas evaluaciones de riesgos de seguridad se buscará identificar:

• Activos clave de la cadena de suministro de TIC evaluada.
• Principales agentes de amenazas.
• Vulnerabilidades que afectan a los activos clave.

Para ello, se desarrollarán escenarios de riesgo y, tras realizarlas, se propondrán medidas que sirvan para mitigar los riesgos identificados.

El plazo para realizar estas evaluaciones será de 6 meses desde que se presenta la solicitud, si bien, es posible acordar un plazo más breve.

3. Actuación de urgencia de la Comisión para proteger la cadena de suministro de TIC en sectores críticos

Además, la propuesta de reglamento faculta a la Comisión Europea para actuar cuando crea que «existe una amenaza cibernética significativa para la seguridad de la Unión en relación con una cadena de suministro de TIC» y que «es necesario adoptar medidas para preservar el buen funcionamiento del mercado interior». ¿Qué puede hacer la Comisión en estos casos?

1. Consultar a los estados para adoptar medidas de mitigación.
2. Realizar las evaluaciones de riesgos de seguridad que describimos antes, sin tener que esperar a que las realice el Grupo de Cooperación NIS.

4. ¿Cómo se identificarán los activos TIC claves en los sectores críticos?

A raíz de los resultados de las evaluaciones de riesgos de seguridad de una cadena de suministro de TIC, la Comisión podrá adoptar actos de ejecución en los que se identifiquen los activos de TIC que son esenciales en la fabricación de productos o la prestación de servicios de las entidades de sectores de alta criticidad o de otros sectores críticos, de acuerdo con la directiva NIS2.

Para identificar los activos clave de TIC, la Comisión Europea debe tener en cuenta los resultados de las evaluaciones y si:

• Los activos tienen funciones esenciales y sensibles para el funcionamiento de los productos fabricados o los servicios prestados por las entidades.
• Los incidentes originados por la explotación de vulnerabilidades en estos activos pueden provocar:
  • Disrupciones en las cadenas de suministro de TIC en todo el mercado interior.
  • Filtraciones de datos.
• Las compañías son dependientes de un número limitado de proveedores de estos activos.

5. Designación de países extranjeros que plantean problemas de ciberseguridad

Como ya señalamos al inicio, una de las medidas más relevantes y que ha generado más atención del futuro reglamento es la intención de la UE de proteger las cadenas de suministro de TIC críticas ante proveedores extranjeros de alto riesgo.

De hecho, en la presentación de la propuesta, Henna Virkkunen, vicepresidenta ejecutiva de la Comisión para la Soberanía Tecnológica, la Seguridad y la Democracia señaló que:

Las amenazas a la ciberseguridad no son solo retos técnicos. Son riesgos estratégicos para nuestra democracia, nuestra economía y nuestro modo de vida. Con el nuevo paquete de medidas sobre ciberseguridad, dispondremos de los medios necesarios para proteger mejor nuestras cadenas de suministro críticas de TIC, pero también para combatir de forma decisiva los ciberataques.

Por ello, el reglamento establece que si a raíz de una evaluación de seguridad o por otros medios, un país «parece suponer un riesgo grave y estructural no técnico para las cadenas de suministro de TIC», la Comisión debe verificarlo. Para ello debe tener en cuenta elementos como:

• Las exigencias legales en materia de ciberseguridad en el país analizado.
• La existencia de buenas prácticas a la hora de informar sobre vulnerabilidades de software y hardware descubiertas.
• La ausencia de mecanismos judiciales y controles democráticos para identificar y corregir problemas de ciberseguridad.
• La información sobre incidentes de seguridad provocados por agentes maliciosos del país evaluado y la falta de capacidad o voluntad demostrada por el país para cooperar con la UE en la lucha contra estos agentes maliciosos.
• Cualquier información obtenida a través de evaluaciones de seguridad e informes de la UE, los estados u organizaciones internacionales.

Si la Comisión concluye que el país supone un riesgo grave y estructural para las cadenas de suministro de TIC, puede designarlo como país que plantea problemas de ciberseguridad.

Esta designación tendrá un impacto directo en los proveedores de alto riesgo del país en cuestión. Puesto que no podrán:

• Participar en el desarrollo de normas europeas en el ámbito de la ciberseguridad.
• Solicitar un certificado europeo de ciberseguridad, otra de las medidas incluidas en este reglamento.
• Solicitar la autorización para ser proveedor autorizado de certificados europeos en materia de ciberseguridad.
• Participar en procedimientos de contratación pública relacionados con el suministro de componentes de TIC para su uso en activos clave, así como en las actividades financiadas por la UE con el mismo objetivo.

6. La UE podrá prohibir a las entidades críticas que contraten a proveedores de alto riesgo

Pero, el aspecto más relevante de cara a proteger las cadenas de suministro de TIC críticas frente a proveedores extranjeros de alto riesgo es que la Comisión puede adoptar actos de ejecución para prohibir a las entidades críticas:

Utilizar, instalar o integrar en cualquier forma componentes de TIC o componentes que incluyan componentes de TIC de proveedores de alto riesgo en activos TIC clave.

Es decir, si el reglamento es aprobado, la Comisión Europa podrá prohibir que las compañías que operan en los 18 sectores críticos establecidos en la directiva NIS2 empleen hardware o software de proveedores de alto riesgo.

Habida cuenta de la trascendencia de esta medida, la propuesta de reglamento establece que en los actos de ejecución:

• Se fijará un período transitorio para que la Comisión publique la lista de proveedores de alto riesgo.
• Se establecerán períodos para que las empresas puedan eliminar gradualmente los componentes de TIC de los proveedores de alto riesgo que estén presentes en activos clave.

Igualmente, la Comisión también podrá prohibir a grupos específicos de entidades que operan en sectores críticos usar, instalar e integrar componentes de TIC de un proveedor concreto de un tercer país, si supone un riesgo de ciberseguridad no técnico para al menos tres estados de la UE.

Además, también se establece en el reglamento la prohibición para los proveedores europeos de redes de comunicaciones electrónicas de que utilicen componentes TIC de proveedores de alto riesgo en la explotación de los activos TIC clave.

7. ¿Qué otras medidas podrá aprobar la Comisión para proteger las cadenas de suministro de TIC críticas?

Más allá de prohibir el uso de hardware y software de proveedores de alto riesgo en activos clave, la Comisión puede establecer medidas destinadas a las entidades de sectores críticos:

• Exigir transparencia con respecto a sus proveedores de la cadena de suministro de TIC.
• Prohibir la transferencia de datos a terceros países, así como llevar a cabo el tratamiento remoto de datos desde un país ajeno a la UE.
• Obligar a que pongan en marcha medidas técnicas auditadas por un tercero, tales como segmentación de los sistemas de red, desactivación de cualquier acceso remoto o físico a los activos TIC claves o realización de pruebas de seguridad de hardware y software.
• Establecer restricciones relacionadas con el control operativo, como restringir la externalización de funciones organizativas a proveedores de servicios gestionados.
• Poner en marcha restricciones relativas a las relaciones contractuales entre las compañías y sus proveedores.
• Requerir que el servicio sea operado por personal autorizado por las autoridades nacionales competentes en materia de ciberseguridad.
• Obligar a las empresas a diversificar el suministro de componentes de TIC.

8. ¿Cómo se determinarán los proveedores de alto riesgo?

La Comisión debe elaborar listas de proveedores de alto riesgo a los que les afectan las prohibiciones que detallamos antes.

Para ello, la Comisión debe elaborar un mapa de los proveedores que suministran componentes de TIC e identificar aquellos que están potencialmente establecidos en países designados como estados con problemas de ciberseguridad.

Las listas de proveedores de alto riesgo se deben actualizar periódicamente para añadir y eliminar proveedores en función de las evaluaciones realizadas.

Los proveedores de alto riesgo podrán solicitar a la Comisión que reevalúe su establecimiento, control y estructura de cara a que se pueda comprobar que se han producido cambios relevantes que los desvinculan de países con problemas de ciberseguridad.

Además, el futuro reglamento contempla la posibilidad de que se establezcan excepciones para algunos proveedores de TIC establecidos o controlados por empresas de países con problemas de ciberseguridad.

Para ello, los proveedores deberán demostrar que han implementado medidas de mitigación para hacer frente a los riesgos de seguridad no técnicos y evitar interferencias del país incluido en la lista de estados con problemas de ciberseguridad.

9. ¿Cuáles serán las sanciones para las entidades que no cumplan el reglamento?

La propuesta de reglamento contempla infracciones para las empresas que infrinjan las prohibiciones y la obligatoriedad de implementar medidas de mitigación. ¿A cuánto pueden ascender las sanciones?

• Hasta el 1% del volumen de negocio anual por no cumplir los requisitos de transparencia con respecto a las cadenas de suministro de TIC.
• Hasta el 2% del volumen de negocio anual por no implementar el resto de medidas de mitigación que puede establecer la Comisión.
• Hasta el 7% del volumen de negocio anual por infringir las prohibiciones de emplear componentes de proveedores de alto riesgo en activos clave.

Estamos hablando, por lo tanto, de sanciones que pueden llegar a ser millonarias. De ahí que las compañías de sectores críticos van a tener que cumplir escrupulosamente con el reglamento cuando sea aprobado y entre en vigor.

Más allá del impacto económico inmediato, este régimen sancionador refuerza el mensaje de que la gestión de la cadena de suministro de TIC pasa a ser una responsabilidad estratégica para las entidades que operan en sectores críticos, y no un mero requisito de cumplimiento normativo.

En definitiva, esta propuesta de reglamento fortalece la capacidad de la Comisión para proteger las cadenas de suministro de TIC críticas y establece obligaciones y prohibiciones esenciales para las entidades que operan en los sectores críticos de la UE.

Así, será fundamental que las compañías cuenten con servicios de ciberseguridad avanzados que les permitan hacer frente a las amenazas y gestionar las vulnerabilidades. Además, las empresas tendrán que sustituir los componentes TIC presentes en sus activos claves si los proveedores con los que trabajan son clasificados como proveedores de alto riesgo.

En definitiva, esta propuesta de reglamento refleja una tendencia clara. La Unión Europea avanza hacia un modelo en el que la protección de las cadenas de suministro de TIC críticas forma parte de su estrategia de seguridad y resiliencia frente a un entorno internacional cada vez más tensionado. Comprender esta evolución será clave tanto para las entidades de sectores críticos como para los proveedores tecnológicos que operan en el mercado europeo.