Tres marcos normativos convergen sobre los mismos sujetos obligados. Comprender su interacción es el primer paso para construir una gobernanza regulatoria sólida.
Los operadores de telecomunicaciones que despliegan redes 5G en España se encuentran ante un escenario regulatorio de notable complejidad. No se trata de una sola norma, sino de tres cuerpos normativos que confluyen sobre los mismos sujetos obligados con exigencias que, en muchos casos, se solapan sin que existan todavía mecanismos plenamente articulados de coordinación.
La Directiva NIS2, la Ley de Ciberseguridad 5G, el Real Decreto-ley 7/2022 (LC5G) y el Esquema Nacional de Seguridad 5G (ENS5G) configuran una arquitectura regulatoria de triple capa. Para los responsables de cumplimiento, comprender cómo interactúan estas tres normas resulta esencial para diseñar una estrategia eficiente que proteja a la organización y optimice los recursos dedicados al cumplimiento.
Tres normas, un mismo operador: el contexto de la convergencia normativa
La Directiva NIS2 clasifica a los operadores de redes públicas de comunicaciones electrónicas como entidades esenciales. Esta clasificación conlleva obligaciones en materia de gestión de riesgos de ciberseguridad, notificación de incidentes y supervisión activa por las autoridades competentes, además de un régimen de ejecución que puede incluir la suspensión temporal de autorizaciones o certificaciones.
Sobre ese mismo operador recaen, de forma simultánea, la LC5G (Real Decreto-ley 7/2022) y su desarrollo reglamentario, el ENS5G (Real Decreto 443/2024). Ambas normas establecen obligaciones específicas de análisis de riesgos, gestión de la seguridad, estrategia de diversificación de suministradores, auditorías bienales y colaboración con el Centro de Operaciones de Seguridad 5G de referencia (SOC5G).
El resultado es un escenario en el que el operador 5G debe dar respuesta, de forma coordinada, a exigencias que proceden de marcos normativos distintos y obedecen a lógicas regulatorias diferentes. Abordar este reto de forma fragmentada incrementa tanto los costes, como la exposición a posibles deficiencias de cumplimiento.
Las principales áreas de solapamiento normativo
Análisis de riesgos: tres enfoques que conviene armonizar
La Directiva NIS2 exige, en su artículo 21.2.a), un enfoque basado en análisis de riesgos que abarque el entorno físico de los sistemas. La LC5G, por su parte, establece en sus artículos 6 y 7 obligaciones específicas de análisis de riesgos para operadores y suministradores 5G. El ENS5G concreta esas exigencias en sus artículos 18 y 19, diferenciando según el operador sea titular de una red pública 5G o preste servicios en régimen de autoprestación.
Un operador que explote elementos críticos de red 5G deberá, además, incorporar a su análisis, las amenazas específicas del Anexo I del ENS5G, conforme a la metodología de su Anexo II. Todo ello sin perjuicio del análisis de riesgos que exige la Directiva NIS2 de forma general.
Articular estos tres análisis en un proceso único y coherente permite evitar duplicidades y garantizar que todas las exigencias quedan cubiertas de manera eficiente.
Certificación múltiple: un reto operativo relevante
La investigación que sustenta este análisis identifica una cuestión que preocupa tanto a operadores como a supervisores: la certificación múltiple. Un operador 5G puede necesitar acreditar el cumplimiento del Esquema Nacional de Seguridad (categoría Alta, conforme al RD 311/2022), la norma ISO/IEC 27001, la certificación GSMA NESAS y SCAS, los esquemas europeos de certificación bajo el Reglamento 2019/881 (ENISA) y, potencialmente, los esquemas derivados de eIDAS 2 y la Directiva NIS2.
La coordinación entre estos esquemas es una necesidad reconocida por el propio regulador. No existe todavía un marco unificado que evite la duplicidad de esfuerzos, costes y tiempos de auditoría, lo que hace especialmente recomendable planificar los procesos de certificación con visión de conjunto.
Supervisión y ejecución: interlocución con múltiples autoridades
Mientras la Directiva NIS2 otorga a las autoridades competentes facultades de inspección, auditoría de seguridad y medidas de ejecución, la normativa 5G atribuye competencias específicas al Ministerio para la Transformación Digital y al SOC5G de referencia. Para los operadores, esto implica mantener una interlocución regulatoria en varios frentes y prepararse para posibles actuaciones de supervisión concurrentes.
Contar con una estructura interna de cumplimiento bien definida facilita esta interlocución y transmite solidez ante los distintos organismos supervisores.
El régimen sancionador: referencias cuantitativas clave
Conocer el alcance del régimen sancionador ayuda a dimensionar adecuadamente los recursos dedicados al cumplimiento. El artículo 30.3 LC5G tipifica como infracción muy grave el incumplimiento de las obligaciones del artículo 12.3 LC5G por operadores que sean titulares o exploten elementos críticos de una red pública 5G. Esto incluye, entre otros supuestos, carecer de una estrategia de diversificación en la cadena de suministro o utilizar equipos de suministradores calificados de alto riesgo en elementos críticos.
La Ley General de Telecomunicaciones vigente (Ley 11/2022) prevé para infracciones muy graves multas de hasta 20 millones de euros y la posibilidad de inhabilitación del operador durante un máximo de cinco años. Las infracciones graves son sancionables con multas de hasta 2 millones de euros y los cumplimientos defectuosos o parciales, tipificados como infracciones leves, con sanciones de hasta 100.000 euros.
Administraciones Públicas: también sujetas al régimen de cumplimiento
Un aspecto relevante que conviene tener presente: ni la LC5G ni el ENS5G prevén excepción alguna respecto de la imposición de sanciones a Administraciones Públicas que instalen, desplieguen o exploten redes o servicios 5G. Esto supone que cualquier entidad pública que gestione redes 5G, ya sea para uso público o privado, queda sujeta al mismo régimen de cumplimiento aplicable al resto de sujetos obligados.
Cadena de suministro: el área que requiere mayor atención
La gestión de la cadena de suministro es probablemente el ámbito donde la convergencia normativa genera mayor complejidad operativa. La Directiva NIS2 exige, en su artículo 21.2.d), evaluar las vulnerabilidades de cada proveedor directo y la calidad de sus prácticas de ciberseguridad. La LC5G y el ENS5G profundizan en esta exigencia: imponen la obligación de diseñar y documentar una estrategia de diversificación, evitar el uso de equipos de suministradores de alto riesgo en elementos críticos y ubicar dichos elementos dentro del territorio nacional.
Los operadores que explotan redes públicas 5G debieron remitir al Ministerio para la Transformación Digital una nueva estrategia de diversificación antes del 1 de octubre de 2024, con obligación de reportar su estado de ejecución anualmente.
Además, los suministradores calificados de alto riesgo o riesgo medio deben remitir informes sobre medidas técnicas y organizativas cada seis meses, así como análisis de sus equipos y productos en el plazo de seis meses desde su calificación. La relación operador-suministrador genera, en estos entornos, obligaciones recíprocas de información, certificación y análisis de riesgos que conviene gestionar de forma coordinada.
Del cumplimiento fragmentado a la gobernanza integrada
Los operadores y suministradores 5G que adopten una visión integrada del cumplimiento —articulando las exigencias de NIS 2, LC5G y ENS5G en un sistema de gestión unificado— reducirán su exposición regulatoria y, al mismo tiempo, se posicionarán ante el regulador, los inversores y el mercado como organizaciones con una gobernanza sólida.
El propio ENS5G ofrece herramientas que facilitan este enfoque. Los Perfiles de Cumplimiento Específico (artículo 24.2.c) permiten adaptar los criterios de auditoría y certificación al tipo de servicio prestado. Las Instrucciones Técnicas de Seguridad (artículo 33.2) pueden establecer criterios concretos que contribuyan a reducir la dispersión normativa. Aprovechar estas herramientas de forma estratégica requiere un conocimiento profundo del marco regulatorio y de sus implicaciones prácticas.
La gobernanza del triple cumplimiento es, en definitiva, una decisión estratégica. Afecta a la continuidad operativa, a la posición de la organización ante las autoridades competentes y a su capacidad de generar confianza en un mercado de creciente exigencia normativa.
En EVOLVERS Business & Legal acompañamos a operadores, suministradores, usuarios corporativos 5G y entidades públicas en el diseño de estrategias integradas de cumplimiento normativo 5G.
Consulta con nuestro equipo sobre tu estrategia de cumplimiento 5G →
EVOLVERS Business & Legal SLP · Asesoría jurídico-estratégica en regulación y ciberseguridad 5G.
