La UE afronta críticas legales por su enfoque en ciberseguridad

La Justicia europea contradice la propuesta del Reglamento de Ciberseguridad de la UE

La controversia sobre la restricción de proveedores de alto riesgo en las redes de telecomunicaciones de la Unión Europea ha dado un giro debido a un reciente dictamen de la Abogada General del Tribunal de Justicia de la UE, Tamara Ćapeta.
Según la opinión emitida en el caso C-354/24, Ćapeta ha subrayado que, aunque los gobiernos pueden restringir el uso de proveedores “de alto riesgo”, estas decisiones deben basarse en evidencia concreta, no en preocupaciones generales sobre la seguridad nacional, como el país de origen del proveedor.

La resolución se refiere al caso de Elisa Eesti AS, empresa parte del grupo finlandés Elisa Corporation, que en 2022 solicitó autorización a las autoridades estonias para usar equipos y programas de Huawei en sus redes 2G-4G y 5G. Las autoridades estonias consideraron que estos equipos suponían un riesgo para la seguridad nacional y los clasificaron como “de alto riesgo”. Esta decisión fue impugnada, y el Tribunal de lo Contencioso-Administrativo de Tallin planteó una petición de decisión prejudicial ante el Tribunal de Justicia de la UE.

En sus conclusiones, Tamara Ćapeta propuso que, si bien los Estados miembros pueden excluir equipos por motivos de seguridad nacional, toda decisión debe estar sujeta a control judicial y cumplir con los principios de proporcionalidad. La evaluación del riesgo de proveedores de fuera de la UE debe ser específica, no basada en sospechas generales. Este punto pone en cuestión la propuesta del Reglamento de Ciberseguridad de la UE (CSA2), que en su exposición de motivos menciona la necesidad de “reducir el riesgo de las cadenas de suministro de TIC críticas que incluyen a entidades de países terceros que plantean preocupaciones de ciberseguridad”.

Ćapeta también ha señalado que, aunque los gobiernos pueden usar autorización previa para bloquear equipos de alto riesgo, estas medidas representan, en principio, una restricción al mercado interior y pueden dificultar el acceso y uso de servicios de telecomunicaciones, haciéndolos menos atractivos o más difíciles de utilizar. “Las preocupaciones de seguridad deben ser genuinas y basadas en un riesgo específico, no en sospechas generales ni en temores geopolíticos”, afirmó.

En referencia a este caso, el medio especializado en temas legales ‘Courthouse News Service’ recoge el testimonio de Andre Savin, profesor de Derecho en la Copenhagen Business School, quien destacó que el dictamen establece barreras de seguridad, ya que los gobiernos pueden invocar motivos de seguridad, pero “no pueden eludir el escrutinio de la UE calificando algo como seguridad nacional” sin cumplir con los requisitos de proporcionalidad de la legislación europea.

Por su parte, Scott Marcus, economista y experto en telecomunicaciones del Centro de Estudios Políticos Europeos, comentó que el dictamen es significativo porque confirma que las autoridades deben evaluar si un equipo específico supone un riesgo real para la seguridad de la red, y advirtió que “el coste adicional de las estrategias de sustitución total” de equipos podría ser “mucho mayor de lo que la mayoría de los expertos han previsto”.

Se espera una sentencia definitiva en los próximos meses, que determinará si las restricciones al uso de equipos de Huawei por parte de Elisa son compatibles con la legislación de la UE.