En el año 2014, la venta de Alstom Power a la estadounidense General Electric provocó una fuerte polémica en Francia al considerarse una cesión de soberanía industrial en un sector estratégico como la energía. El entonces ministro de Economía, Emmanuel Macron, fue duramente criticado por permitir la operación, percibida como la pérdida de una “joya nacional”. Este episodio llevó al Gobierno francés a reforzar su legislación para proteger empresas estratégicas frente a adquisiciones extranjeras. Años más tarde, ya como presidente, Emmanuel Macron reconoció públicamente que la venta había sido “un error de soberanía” y en 2022 el Estado recompró parte de las actividades energéticas, buscando recuperar el control nacional sobre una infraestructura clave.
El presente análisis aborda de forma integral la reciente estrategia española en materia de ciberseguridad, enmarcada en los anuncios del presidente del Gobierno, Pedro Sánchez, sobre la creación del Centro Nacional de Ciberseguridad y la firma del convenio INCIBE–Telefónica, situando ambos acontecimientos dentro del contexto normativo europeo y de seguridad global. Se examina cómo estas iniciativas refuerzan la cooperación público-privada y la resiliencia nacional, en línea con la Directiva NIS 2 y el Informe Niinistö sobre la preparación civil y militar europea, al tiempo que se subraya el carácter estratégico y soberano de la ciberseguridad y las telecomunicaciones, cuya gestión debe permanecer bajo jurisdicción europea. Finalmente, se analiza el marco jurídico que obliga a operadores como Telefónica España a revisar y revertir posibles externalizaciones de funciones críticas hacia países extracomunitarios, garantizando así la integridad, seguridad y autonomía tecnológica del Estado.
El 16 de octubre el presidente del Gobierno, Pedro Sánchez, afirmó que España es “uno de los
países más comprometidos con la ciberseguridad del mundo”, con
capacidades “por encima de la media europea”, resultado de una estrategia que
combina anticipación y cooperación público-privada. La Moncloa
Durante la clausura de la edición número 19 del Encuentro Internacional de
Seguridad de la Información (ENISE), organizado por el INCIBE en León, Sánchez
anunció la creación de un nuevo Centro Nacional de Ciberseguridad, adscrito a
la Presidencia del Gobierno, con el objetivo de “reforzar la coordinación y
fortaleza de nuestro sistema de ciberseguridad”. La Moncloa+1
El discurso destacó que el Gobierno destinará una parte importante de sus
recursos a la ciberseguridad: en el marco del Plan Industrial y Tecnológico para la Seguridad y la Defensa
ya aprobado, se destina “uno de cada diez euros” al ámbito de la
ciberseguridad. Como dato, se mencionaron 1.157 millones de euros para reforzar
capacidades de ciberseguridad y ciberdefensa, dentro de un empeño más amplio de
elevar el gasto en defensa al 2 % del PIB.
Sánchez identificó cuatro pilares para el sistema de ciberseguridad: 1)
Marco legal y gobernanza robusta; 2) Protección de infraestructuras críticas
(sanidad, energía, agua, administración digital); 3) Defensa del tejido
productivo y asistencia al ciudadano; 4) Fortalecimiento del ecosistema de
innovación tecnológica (fibra, 5G, centros de ciberseguridad, soberanía
tecnológica) . La Moncloa+1
Con ello, el Gobierno sostiene que España está “preparada como el que más” para hacer frente a las amenazas ciber y que el sector genera ya más de 180.000 profesionales y aporta al país más de 3.000 millones de euros anuales.
Una ampliación con datos recientes sobre dicha cuestión son los siguientes:
- El Gobierno aprobó, el 6 de mayo de 2025, un paquete de 1.157 millones de euros para reforzar la ciberseguridad que complementa el Plan Nacional de Ciberseguridad de 2022.
- El Plan Industrial y Tecnológico para la Seguridad y Defensa, aprobado en abril de 2025, contempla una inversión de 10.471 millones de euros, de los cuales aproximadamente el 31 % está dedicado a nuevas tecnologías de telecomunicación y ciberseguridad.
- Según fuentes de defensa, España espera superar los 33.000 millones de euros en gasto en defensa en 2025, lo que implicaría acercarse al 2 % del PIB comprometido.
- En prensa se señala que el anuncio del nuevo Centro Nacional de Ciberseguridad carece hasta ahora de detalles clave: funciones específicas, presupuesto, plantilla, estructura concreta.
- También se ha señalado que la transposición de la directiva europea NIS 2 Directive va “a contrarreloj” en España, lo que genera cierta incertidumbre sobre el grado de madurez del marco legal actual.
- Un medio apunta que algunas Comunidades Autónomas han expresado malestar por la ubicación o falta de concreción del nuevo centro, lo que evidencia tensiones políticas/regionales.
La Directiva (UE) 2022/2555, conocida como NIS 2 Directive (por Network and Information Security), es la nueva norma europea sobre ciberseguridad que todos los Estados miembros deben transponer a su legislación nacional antes del 17 de octubre de 2024. España está en proceso de hacerlo (va con retraso), y su transposición afectará directamente a empresas, administraciones y operadores de servicios esenciales.
Aquí resumo de forma clara qué recoge la NIS 2 y qué cambia respecto a la anterior NIS (2016):
OBJETIVO GENERAL
Fortalecer la ciberresiliencia en toda la Unión Europea, asegurando un nivel común elevado de seguridad de las redes y los sistemas de información, tanto en el sector público como en el privado. Busca que todas las organizaciones críticas y relevantes —no solo las grandes infraestructuras— adopten medidas concretas de prevención, respuesta y notificación ante incidentes.
PRINCIPALES NOVEDADES DE LA NIS 2
1️⃣ Ampliación del ámbito de aplicación
La NIS 2 amplía de forma importante el número de sectores y entidades obligadas:
- Sectores esenciales: energía, transporte, banca, infraestructuras digitales, agua, sanidad, administración pública, espacio, etc.
- Sectores importantes: alimentación, residuos, productos químicos, servicios postales, industria manufacturera (equipos eléctricos, maquinaria, vehículos, etc.), proveedores de servicios digitales (cloud, data centers, etc.).
➡️ En la práctica, miles de empresas que antes no estaban sujetas ahora deberán cumplir obligaciones de ciberseguridad.
2️⃣ Obligaciones de seguridad reforzadas
Las entidades deberán:
- Adoptar medidas técnicas y organizativas apropiadas (gestión de riesgos, cifrado, control de acceso, continuidad, recuperación, auditorías).
- Realizar evaluaciones de riesgo periódicas.
- Implantar planes de respuesta a incidentes y de continuidad de negocio.
- Mantener una formación continua para empleados.
- Asegurar la seguridad de la cadena de suministro (también sus proveedores deben cumplir estándares mínimos).
3️⃣ Notificación de incidentes
Obliga a notificar incidentes significativos de seguridad:
- Primer aviso: en 24 horas desde la detección (alerta temprana).
- Informe completo: en 72 horas.
- Informe final: tras la resolución del incidente.
4️⃣ Sanciones más duras
Introduce un régimen sancionador similar al del RGPD (Reglamento de Protección de Datos):
- Multas de hasta 10 millones de euros o el 2 % del volumen de negocio mundial anual (la cifra mayor prevalece).
- Posible responsabilidad personal de los directivos si incumplen deberes de supervisión o formación en ciberseguridad.
5️⃣ Gobernanza y cooperación europea
- Crea el European Cyber Crises Liaison Organisation Network (EU-CyCLONe) para coordinar crisis cibernéticas transfronterizas.
- Refuerza el papel de ENISA, la Agencia Europea de Ciberseguridad.
- Obliga a los Estados miembros a tener un marco nacional de gobernanza con estrategias actualizadas y puntos de contacto únicos.
EN RESUMEN
|
Aspecto |
NIS (2016) |
NIS 2 (2022) |
|
Alcance |
Solo operadores de servicios esenciales |
Se amplía a sectores “esenciales” y “importantes” |
|
Obligaciones |
Básicas de seguridad y notificación |
Detalladas y armonizadas (riesgos, cadena suministro, continuidad) |
|
Sanciones |
Limitadas, sin armonización |
Elevadas, similares al RGPD |
|
Cooperación |
Voluntaria |
Coordinación obligatoria UE–ENISA–CSIRT |
|
Responsabilidad |
Genérica |
Personal de la alta dirección |
En el caso de España
- La transposición se hará mediante una nueva Ley de Ciberseguridad que sustituirá al Real Decreto-Ley 12/2018.
- La coordinación recaerá en INCIBE, CCN-CERT y el Mando Conjunto del Ciberespacio, bajo el marco del Centro Nacional de Ciberseguridad anunciado por el Gobierno.
- Afectará directamente a empresas de energía, transporte, sanidad, banca, agua, tecnología y administración pública, y a pymes proveedoras que formen parte de sus cadenas.
El 17 de octubre se publicaba en la prensa que Telefónica España e INCIBE han firmado un convenio para reforzar la ciberseguridad en la sociedad española mediante el impulso de la formación, la sensibilización y la divulgación digital en todo el país. La operadora se convierte en la primera empresa de telecomunicaciones en colaborar formalmente con INCIBE, organización dependiente del Ministerio para la Transformación Digital. El acuerdo, que tendrá vigencia de cuatro años, abarca campañas audiovisuales, talleres, charlas, cursos personalizados (especialmente para menores de edad y empresas) y acciones de concienciación sobre el uso responsable de la tecnología. Según los datos de INCIBE, en 2024 se gestionaron más de 97.000 incidentes de ciberseguridad (un aumento del 16,6% respecto al año anterior); aproximadamente el 67,6% afectaron a ciudadanos y el 32,4% a empresas, especialmente pymes, micro pymes y autónomos https://tinyurl.com/485y3ste
Lo que se ha publicado en la prensa es lo siguiente:
- El convenio fue publicado por Telefónica el 15 de octubre de 2025.
- De acuerdo con la nota de prensa, las acciones “se pondrán en marcha en los próximos 4 años por todo el territorio” y se enmarcan en el “uso seguro del ecosistema digital dentro del marco normativo europeo vigente”.
- Según el medio Digital Inside, el foco también estará puesto en “ciudadanía y empresas, con especial foco en menores y pymes”.
- En la prensa local de León (Heraldo de León) se destaca que esta colaboración reforzará la “cultura de ciberseguridad” en la población española y se menciona que Telefónica colaborará con INCIBE para difundir los canales de atención a la ciudadanía en materia de ciberseguridad.
- Varias fuentes subrayan que la colaboración no es completamente nueva sino que tiene antecedentes: Telefónica e INCIBE ya habían colaborado hace más de una década en el servicio Antibotnet para la limpieza de conexiones IP comprometidas.
La situación que se describe en ambas noticias (el convenio entre INCIBE y Telefónica España para reforzar la ciberseguridad en España) se alinea muy claramente con varios de los ejes clave del informe Sauli Niinistö — “Safer Together: Strengthening Europe’s Civilian and Military Preparedness and Readiness” — publicado para la European Commission. A continuación explico cómo encaja y dónde podría reforzarse esa alineación:
✅ Cómo encaja
1. Cooperación público-privada (PPP)
El convenio INCIBE-Telefónica es un ejemplo típico de colaboración entre
sector público (INCIBE, dependencia del Ministerio para la Transformación
Digital) y una gran empresa privada (Telefónica). Esta forma de alianza es una
de las recomendaciones centrales del informe Niinistö: “ fortalecimiento de las
asociaciones público-privadas … especialmente contra amenazas híbridas y
cibernéticas”. Esto demuestra que España está aplicando esa orientación: formar
a la ciudadanía, sensibilizar y desarrollar capacidades mediante un actor
privado importante.
2. Preparación, resiliencia y
participación ciudadana
El acuerdo apunta a una mejora de la “cultura de ciberseguridad”, formación,
talleres, campañas, etc. Esto coincide con el enfoque del informe Niinistö
sobre que la seguridad no es únicamente militar o técnico, sino “whole-of-society”
— es decir, también ciudadanos, empresas, cadenas de suministro. La España
señalada en la noticia (más de 97.000 incidentes en 2024, etc.) aparece como
escenario donde esta preparación es urgente.
3. Protección de infraestructuras
críticas y respuesta ante ciber amenazas
El informe Niinistö recalca que los desafíos actuales —guerra en Ucrania,
ciberataques, crisis híbridas— exigen que los Estados miembros y la UE actúen
en materia de ciberseguridad, resiliencia y coordinación civil-militar. En la
noticia, España anuncia recursos, aumento de capacidades, etc., que están en
línea con dicho mandato.
Dónde podría reforzarse la alineación o qué retos quedan:
· Escala de inversión y dedicación: Niinistö advierte que la UE debería dedicar una parte sustancial de presupuesto a seguridad y preparación (menciona cifras como “al menos el 20% del presupuesto común” para seguridad/preparación). foederalist.eu+1 En España, aunque se anuncien importantes recursos, habrá que evaluar su dimensión, continuidad y si cubren todas las áreas recomendadas (ciberseguridad, defensa híbrida, resiliencia).
· Gobernanza europea y coherencia transfronteriza: El informe subraya que la respuesta no puede ser solo nacional sino coordinada a nivel europeo, y que hay que integrar los marcos civiles y militares. European Commission+1 En el caso del convenio, se enfoca a España y a sus empresas / ciudadanos, lo cual es válido, pero una mayor articulación con mecanismos europeos agilizados, intercambio de información internacional o integración en plataformas paneuropeas sería ideal para alinearse plenamente con Niinistö.
· Medición de impactos y eficacia: Niinistö reclama marco de evaluación, ejercicios de crisis, revisión de capacidades frente a amenazas emergentes. pism.pl Para que el convenio tenga efecto real además de simbólico, será importante que España mida el efecto de formación, concienciación, reducción de incidentes y que conecte esos resultados con la estrategia nacional.
El convenio INCIBE-Telefónica es un paso concreto y bien orientado que populariza y expande la lógica del Informe Niinistö en el ámbito de la ciberseguridad. España demuestra que actúa en la “frontera civil” de la seguridad, implicando ciudadanos, empresas y operadores de telecomunicaciones. No obstante, para estar plenamente alineado con el espíritu del informe —que habla de preparación profunda, amplia inversión, cooperación transnacional y evaluación constante— hacen falta: escala de recursos garantizada, integración europea más fuerte y mecanismos de supervisión que aseguren que las medidas no queden en papeles o anuncios.
La ciberseguridad se ha convertido en una competencia estratégica del Estado, pero también está regulada y coordinada a nivel europeo. La acción del Gobierno español —centralizar y coordinar bajo su control político y técnico un Centro Nacional de Ciberseguridad adscrito a la Presidencia del Gobierno— está plenamente amparada por la normativa europea vigente, principalmente por la Directiva NIS 2 (UE) 2022/2555, pero también por otros instrumentos jurídicos de la Unión.
Una explicación detallada es la siguiente paso a paso:
1. Directiva (UE) 2022/2555 — NIS 2 Directive
Es la base legal principal que obliga a todos los Estados miembros a:
- Designar una autoridad nacional competente en materia de ciberseguridad.
- Establecer un punto de contacto único ante incidentes transfronterizos.
- Crear o reforzar un CSIRT nacional (Computer Security Incident Response Team).
- Coordinar todas las políticas públicas de ciberseguridad dentro del territorio del Estado miembro.
*En su artículo 7, la NIS 2 establece que los
Estados deben “garantizar la existencia de un marco nacional de gobernanza”
y “designar una o más autoridades competentes responsables de la aplicación
y cumplimiento de la Directiva”.
*En su artículo 9, obliga a crear una autoridad o centro de
coordinación nacional que funcione como punto de contacto único con
la Comisión Europea y con ENISA (la Agencia Europea de Ciberseguridad).
Por tanto, cuando España crea el Centro Nacional de Ciberseguridad bajo la Presidencia del Gobierno, cumple directamente con esos artículos de la NIS 2:
- refuerza la autoridad nacional,
- concentra la coordinación,
- y garantiza la interlocución única con la UE y con el CSIRT europeo.
2. Reglamento (UE) 2019/881 — Cybersecurity Act
El Cybersecurity Act refuerza las competencias de ENISA (Agencia Europea de Ciberseguridad) y faculta a los Estados miembros a establecer mecanismos nacionales de certificación y control, especialmente sobre:
- redes y servicios digitales esenciales,
- protección de infraestructuras críticas,
- cooperación público-privada en materia de seguridad.
* En su artículo 3, reconoce que cada Estado mantiene la autoridad
soberana sobre su propia seguridad nacional y que puede organizar
internamente sus estructuras de ciberseguridad del modo que estime más
eficaz.
Esto da cobertura jurídica a que el Gobierno central español asuma la
dirección política de un servicio estratégico como la ciberseguridad.
⚙️ 3. Reglamento (UE) 2021/887 — Creación del Centro Europeo de Competencia en Ciberseguridad (ECCC)
Este reglamento promueve la cooperación entre el nivel
europeo y los centros nacionales de coordinación designados por cada
país.
* España debe tener un nodo
nacional que articule esa relación.
El nuevo Centro Nacional de Ciberseguridad anunciado por el Gobierno actuaría
precisamente como ese nodo, alineando recursos y programas europeos de
I+D+i, formación y resiliencia digital.
4. Carta de los Tratados de la UE
En resumen
|
Nivel |
Norma europea |
Qué permite o exige |
|
Directiva NIS 2 (2022/2555) |
Obliga a designar autoridad nacional, punto de contacto y centro de coordinación (art. 7–9). |
|
|
Reglamento Cybersecurity Act (2019/881) |
Autoriza a los Estados a organizar y dirigir sus propios mecanismos de ciberseguridad nacional. |
|
|
Reglamento del Centro Europeo de Competencia (2021/887) |
Fija la cooperación con nodos nacionales (como el futuro Centro Nacional español). |
|
|
Art. 4.2 TUE |
Reserva la seguridad nacional como competencia exclusiva del Estado miembro. |
La conclusión es que la decisión del Gobierno español de situar la ciberseguridad bajo la coordinación directa de la Presidencia está plenamente respaldada por la legislación europea, en especial por la Directiva NIS 2 y el Cybersecurity Act, que reconocen el papel soberano de los Estados en proteger sus infraestructuras críticas y su seguridad nacional, dentro de un marco de cooperación estructurada con la Unión Europea.
La ciberseguridad está considerada en Europa y en España como un servicio estratégico esencial, al mismo nivel que el control y la protección de las comunicaciones electrónicas (móviles y fijas), la energía, el agua o el suministro financiero.
Directiva (UE) 2018/1972 — Código Europeo de las Comunicaciones Electrónicas
Este Código unifica toda la normativa de telecomunicaciones en Europa y establece que:
·
Artículo
2 y Considerando (2):
Las redes y servicios de comunicaciones electrónicas son “infraestructuras
de interés público” y su seguridad y resiliencia son “de interés
estratégico para los Estados miembros y la Unión Europea”.
·
Artículo
40:
Obliga a los Estados a garantizar la integridad y seguridad de las redes
de comunicaciones, permitiendo la intervención de la autoridad nacional
competente (como el Ministerio de Transformación Digital o la Secretaría de
Estado de Telecomunicaciones en España).
➡️ Este artículo ampara el control gubernamental sobre redes móviles, fijas y servicios de internet, pues son esenciales para la seguridad, defensa y orden público.
La externalización de la supervisión de las comunicaciones móviles o fijas a países ajenos a la Unión Europa está sometida a una serie de normas y controles europeos. La legislación europea no prohíbe expresamente la externalización de servicios de telecomunicaciones o de infraestructuras a terceros países ajenos a la UE, pero la condiciona fuertemente a que no se comprometa la seguridad nacional, la integridad de las redes ni la soberanía tecnológica europea.
Voy a desglosarlo para que se entienda correctamente:
1. Lo que dice el Código Europeo de las Comunicaciones Electrónicas (Directiva 2018/1972)
El Artículo 40 es el núcleo de esta cuestión:
Los Estados miembros deberán garantizar la integridad y seguridad de las redes públicas de comunicaciones electrónicas y de los servicios disponibles al público. Los Estados podrán exigir que los operadores adopten medidas técnicas y organizativas adecuadas para gestionar los riesgos que afecten a la seguridad de las redes y servicios.
Esto se interpreta como que la responsabilidad última de la seguridad recae sobre el Estado miembro —incluso si parte del servicio se externaliza o depende de tecnología no comunitaria.
La traducción jurídica práctica es la siguiente:
Si una operadora o administración utiliza infraestructura, software o servicios críticos de un proveedor extracomunitario, el Estado sigue siendo responsable de garantizar que esa relación no compromete la seguridad nacional ni los intereses estratégicos de la UE.
2. Reglas adicionales derivadas de la NIS 2 Directive (2022/2555)
La NIS 2 refuerza este principio.
- Artículos 21 y 23: imponen a las entidades esenciales (como los operadores de telecomunicaciones) la obligación de evaluar los riesgos derivados de la cadena de suministro y de proteger los datos y la infraestructura frente a terceros países.
- Se exige supervisión estatal sobre cualquier proveedor que pueda tener acceso o control sobre componentes críticos de red o datos sensibles.
➡️ Conclusión de la NIS 2:
Las empresas pueden contratar o comprar fuera de la UE, pero el Estado
debe establecer mecanismos de control, evaluación de riesgos y auditorías,
especialmente si se trata de:
- software de red o hardware estratégico,
- servicios en la nube,
- centros de datos,
- o componentes de infraestructura 5G (por ejemplo su supervisión)
3. Marco complementario: autonomía estratégica digital
Tras los debates sobre Huawei y el 5G, la Comisión Europea publicó varias comunicaciones:
- “EU Toolbox for 5G Security” (2020): recomienda limitar o excluir proveedores de alto riesgo (particularmente de terceros países con regímenes autoritarios o sin garantías de independencia judicial).
- Estrategia de Ciberseguridad de la UE (2020–2023): insiste en la necesidad de “reducir dependencias tecnológicas críticas de terceros países” y favorecer proveedores europeos de confianza.
➡️ Esto no es una prohibición formal, pero sí un mandato político y regulatorio de restringir la externalización de servicios “core” a países no pertenecientes al Espacio Económico Europeo (EEE).
4. En España: marco nacional
La Ley 11/2022, General de Telecomunicaciones, incorpora esta obligación:
- Artículo 4: El Gobierno puede intervenir, limitar o prohibir la participación de operadores o proveedores extranjeros si hay riesgo para la seguridad nacional o la defensa.
- Artículo 72: Los operadores deben garantizar la integridad y disponibilidad de las redes, incluso respecto a su cadena de suministro.
5. Por tanto: compatibilidad condicionada
|
Escenario |
¿Compatible con normativa UE? |
Condiciones |
|
Externalización de mantenimiento o software no crítico |
✅ Sí |
Evaluación de riesgos y supervisión estatal |
|
Externalización de red 5G, núcleo de red, routing, seguridad |
⚠️ Muy limitada |
Solo si el proveedor cumple garantías equivalentes y no compromete la soberanía o la defensa |
|
Transferencia de datos o gestión de tráfico a servidores fuera de la UE (sin garantías) |
❌ No |
Infringe RGPD, NIS 2 y Código Europeo |
|
Participación de empresas de terceros países de alto riesgo (ej. control estatal extranjero) |
❌ No compatible |
Puede ser restringido o prohibido por motivos de seguridad nacional |
La conclusión es que la externalización de servicios core de telecomunicaciones o ciberseguridad a países ajenos a la UE no está prohibida, pero solo puede hacerse bajo estrictas garantías de seguridad, control estatal y conformidad con la legislación europea (Directiva 2018/1972, NIS 2, Cybersecurity Act, RGPD y Toolbox 5G). En la práctica, esto significa que los Estados deben mantener el control soberano sobre las infraestructuras estratégicas y evitar dependencias tecnológicas críticas de terceros países.
Telefónica España estaría obligada a revisar y, en su caso, revertir cualquier externalización de funciones críticas de supervisión o control operativo de infraestructuras nacionales hacia países extracomunitarios, las normas en que se apoya esta exigencia son las siguientes:
1. Fundamento legal en la UE
a) Directiva (UE) 2018/1972 — Código Europeo de las Comunicaciones Electrónicas
· Artículo 40.1 y 40.2: los Estados miembros deben garantizar que las redes públicas y servicios de comunicaciones electrónicas mantengan su integridad y seguridad.
· Los operadores (como Telefónica) están obligados a gestionar los riesgos de seguridad y notificar incidentes, pero además el Estado puede imponer medidas específicas si se detecta un riesgo para la seguridad nacional o la defensa.
➡️ En este contexto, la externalización de la supervisión o monitorización de centros nacionales de red fuera del territorio de la UE se considera un riesgo de soberanía tecnológica y, por tanto, contraria al espíritu del artículo 40.
b) Directiva (UE) 2022/2555 — NIS 2
· Artículos 21 y 23: las entidades esenciales (como los operadores de telecomunicaciones) deben controlar los riesgos derivados de la cadena de suministro, incluyendo proveedores y terceros países.
· Se establece que los Estados miembros pueden imponer restricciones o prohibiciones a relaciones contractuales con terceros que representen un riesgo para la seguridad o el orden público.
➡️ Esto significa que Telefónica España no puede mantener servicios de supervisión o control técnico que estén bajo jurisdicción de países fuera de la UE (por ejemplo, gestión remota desde Latinoamérica o Asia) si esos servicios afectan al núcleo de operación o seguridad de las redes nacionales.
c) EU Toolbox on 5G Security (2020)
Este documento, aunque no legislativo, es vinculante como guía de actuación política y técnica en materia de redes y proveedores de riesgo.
· Recomienda explícitamente “reducir la dependencia de proveedores de terceros países en elementos críticos de red”.
· Insta a los Estados miembros a “mantener el control sobre la gestión y supervisión de infraestructuras esenciales dentro de la jurisdicción europea”.
➡️ Telefónica, como operador principal en España, debe garantizar que los servicios críticos se gestionen dentro del territorio nacional o europeo, bajo normativa y supervisión comunitaria.
2. Fundamento legal en España
a) Ley 11/2022, General de Telecomunicaciones
·
Art.
4 (Principios de orden público y seguridad nacional):
El Gobierno puede intervenir o prohibir operaciones o externalizaciones
si existe un riesgo para la seguridad o defensa del Estado.
·
Art.
72:
Los operadores deben asegurar la integridad y seguridad de las redes
incluso respecto a su cadena de suministro y subcontrataciones.
➡️ Si Telefónica externaliza tareas de supervisión o gestión de red fuera de la UE, estaría en el límite de esa prohibición, al perder control directo y jurisdiccional sobre sistemas sensibles.
b) Real Decreto-Ley 12/2018 (Seguridad de las redes y sistemas de información)
·
Art.
5 y 6:
Las entidades esenciales deben garantizar que su infraestructura crítica permanezca
bajo control operativo dentro del territorio nacional o de la UE. Las
transferencias a terceros países se consideran “riesgo de seguridad” y
deben ser notificadas y aprobadas.
Telefónica España está obligada a revisar y, si procede, revertir las
externalizaciones que hayan desplazado áreas de supervisión, operación o
control de centros nacionales a países extracomunitarios. No se trata
de una decisión política, sino de cumplir con los marcos jurídicos de
seguridad europea y nacional, que exigen:
· Control soberano sobre la gestión operativa de las redes.
· Cumplimiento de las directivas NIS 2 y del Código de Comunicaciones.
· Protección de los datos, tráfico y sistemas críticos bajo jurisdicción europea.
Conforme al marco normativo establecido por la Directiva (UE) 2018/1972 (Código Europeo de las Comunicaciones Electrónicas), la Directiva (UE) 2022/2555 (NIS 2), el Reglamento (UE) 2019/881 (Cybersecurity Act) y la Ley 11/2022 de Telecomunicaciones, la supervisión y control de las infraestructuras críticas de comunicaciones debe mantenerse bajo jurisdicción europea. En consecuencia, las externalizaciones efectuadas por Telefónica España que afecten al área de Operaciones o a los Centros Nacionales y que trasladen dichas funciones a países extracomunitarios deben ser revisadas y, en su caso, revertidas, a fin de garantizar la integridad, seguridad y soberanía tecnológica exigidas por la normativa europea y española vigente.
El caso de Alstom en Francia sirve como una lección clara sobre los riesgos de ceder el control de sectores estratégicos a intereses ajenos al país: una decisión que, años después, fue reconocida como un error de soberanía y que obligó a una rectificación política e industrial. España se encuentra ahora ante un desafío similar con Telefónica y la necesidad de revisar y revertir las externalizaciones que afectan a la supervisión de sus infraestructuras críticas. En un contexto donde la ciberseguridad y las telecomunicaciones son pilares de la seguridad nacional, mantener su gestión bajo jurisdicción europea no es solo una cuestión técnica, sino un acto de defensa estratégica. Aprender de Alstom significa comprender que la soberanía no se recupera sin coste y que prevenir la dependencia tecnológica es hoy tan vital como proteger el propio territorio.
Ya lo dijo Aristóteles: “Es preciso preferir la soberanía de la ley a la de uno de los ciudadanos”.
No hay comentarios:
Publicar un comentario