Procedimiento : 2019/2575(RSP)
Ciclo de vida en sesión
Ciclo relativo al documento : B8-0160/2019

Textos presentados :

B8-0160/2019

Debates :

Votaciones :

PV 12/03/2019 - 9.22

Textos aprobados :

P8_TA(2019)0156

<Date>{06/03/2019}6.3.2019</Date>
<NoDocSe>B8‑0160/2019</NoDocSe>
PDF 142kWORD 54k

<TitreType>PROPUESTA DE RESOLUCIÓN</TitreType>

<TitreSuite>tras las declaraciones del Consejo y de la Comisión</TitreSuite>

<TitreRecueil>presentada de conformidad con el artículo 123, apartado 2, del Reglamento interno</TitreRecueil>


<Titre>sobre las amenazas en materia de seguridad relacionadas con la creciente presencia tecnológica de China en la Unión y posible acción a escala de la Unión para reducirlas</Titre>

<DocRef>(2019/2575(RSP))</DocRef>


<RepeatBlock-By><Depute>Reinhard Bütikofer</Depute>

<Commission>{Verts/ALE}en nombre del Grupo Verts/ALE</Commission>

</RepeatBlock-By>

Véase también la propuesta de resolución común RC-B8-0154/2019

B8‑0160/2019

Resolución del Parlamento Europeo sobre las amenazas en materia de seguridad relacionadas con la creciente presencia tecnológica de China en la Unión y posible acción a escala de la Unión para reducirlas

(2019/2575(RSP))

El Parlamento Europeo,

 Vista la Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas[1],

 Vista la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión[2],

 Vista la Directiva 2013/40/UE del Parlamento Europeo y del Consejo, de 12 de agosto de 2013, relativa a los ataques contra los sistemas de información y por la que se sustituye la Decisión marco 2005/222/JAI del Consejo[3],

 Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 13 de septiembre de 2017, relativo a ENISA, la «Agencia de Ciberseguridad de la UE», y por el que se deroga el Reglamento (UE) n.º 526/2013, y relativo a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación («Reglamento de Ciberseguridad»), presentada por la Comisión (COM(2017)0477),

 Vista la propuesta de Reglamento del Parlamento Europeo y del Consejo, de 12 de septiembre de 2018, por el que se establecen el Centro Europeo de Competencia Industrial, Tecnológica y de Investigación en Ciberseguridad y la Red de Centros Nacionales de Coordinación presentada por la Comisión Europea (COM(2018)0630),

 Vistas las leyes chinas de inteligencia nacional, de 28 de junio de 2017, y de seguridad del Estado, de 1 de julio de 2015,

 Vistas las declaraciones del Consejo y de la Comisión, de 13 de febrero de 2019, sobre las amenazas en materia de seguridad relacionadas con la creciente presencia tecnológica de China en la Unión y posible acción a escala de la Unión para reducirlas,

 Vista la aprobación, por parte del gobierno australiano, de las reformas del sector de las telecomunicaciones del gobierno, en vigor desde el 18 de septiembre de 2018,

 Vista su posición, adoptada en primera lectura el 14 de febrero de 2019, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo por el que se establece un marco para el control de las inversiones extranjeras directas en la Unión Europea[4],

 Vistas sus resoluciones sobre las relaciones entre la Unión y China, en especial la de 12 de septiembre de 2018 sobre el estado de las relaciones UE-China[5],

 Vista la Comunicación de la Comisión, de 14 de septiembre de 2016, titulada «La 5G para Europa: un plan de acción» (COM(2016)0588),

 Vista su Resolución, de 1 de junio de 2017, sobre la conectividad a internet para el crecimiento, la competitividad y la cohesión: la sociedad europea del gigabit y 5G[6],

 Visto el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)[7],

 Visto el Reglamento (UE) n.º 1316/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, por el que se crea el Mecanismo «Conectar Europa», por el que se modifica el Reglamento (UE) n.º 913/2010 y por el que se derogan los Reglamentos (CE) n.º 680/2007 y (CE) n.º 67/2010[8],

 Visto el programa Europa Digital,

 Visto el artículo 123, apartado 2, de su Reglamento interno,

A. Considerando que la Unión ha promovido la digitalización de su industria y el despliegue de redes y equipos de nueva generación, y que ha adoptado medidas activas para ser quien fije las normas en materia de 5G;

B. Considerando que podrían aprovecharse las vulnerabilidades de las redes 5G para poner en peligro los sistemas informáticos, lo que podría provocar graves daños a las economías a escala europea y nacional; que es necesario un enfoque basado en el análisis de riesgos en toda la cadena de valor a fin de minimizarlos;

C. Considerando que la red 5G será la columna vertebral de nuestra infraestructura digital, ampliará la posibilidad de conectar varios dispositivos a las redes (internet de las cosas, etc.), y aportará nuevos beneficios y oportunidades a la sociedad y a las empresas en muchos ámbitos, incluidos sectores vitales de la economía como el transporte, la energía, las finanzas, las telecomunicaciones, la defensa, el espacio y la seguridad;

D. Considerando que el Parlamento ha pedido en repetidas ocasiones que se desarrolle una estrategia europea para una mayor independencia de las TI y de la privacidad en línea que impulse a la industria de las tecnologías de la información en la Unión;

E. Considerando la preocupación por los vendedores de equipos de terceros países que pueden presentar un riesgo para la seguridad de la Unión debido a las leyes de su país de origen, en especial tras la entrada en vigor de la Ley china de seguridad del Estado, que prevé una definición muy amplia de la seguridad nacional y las obligaciones para todos los ciudadanos, las empresas y otras entidades de cooperar con el Estado para salvaguardar la seguridad estatal; que no hay ninguna garantía de que estas obligaciones no tengan una aplicación extraterritorial; que la respuesta a la normativa china varía entre países como los Estados Unidos, Australia y Nueva Zelanda, y van desde las evaluaciones de seguridad a una prohibición absoluta;

F. Considerando que el acceso al mercado ya está condicionado al cumplimiento de las normas europeas para un gran número de productos, pero que la ciberseguridad todavía no es un requisito y los sistemas de certificación previstos en el Reglamento de Ciberseguridad no prevén una respuesta adecuada a la urgencia de la situación, en especial en el caso de la omnipresencia de las conexiones de los consumidores y los dispositivos conectados;

G. Considerando que ya se han producido incidentes de seguridad dentro de la Unión por causa de vulnerabilidades en las redes de comunicaciones, incluido el acceso no autorizado al operador belga de telecomunicaciones que presta servicios a las instituciones europeas;

H. Considerando que es necesaria una investigación exhaustiva para aclarar si los dispositivos implicados en tales incidentes, o bien otros dispositivos o proveedores, plantean riesgos para la seguridad debido a características tales como las puertas traseras a los sistemas;

I. Considerando que deben coordinarse las soluciones y tratarse en el ámbito de la Unión a fin de evitar distintos niveles de seguridad y posibles lagunas en materia de ciberseguridad; que la coordinación también es necesaria en el ámbito mundial a fin de ofrecer una respuesta firme;

J. Considerando que los beneficios del mercado único se acompañan de la obligación de cumplir las normas de la Unión y su marco jurídico, y que los proveedores no deben recibir un trato diferente según su país de origen;

K. Considerando que el futuro Reglamento de la Unión por el que se establece un marco para el control de las inversiones extranjeras directas en la Unión Europea prevé una lista de factores que se consideran relacionados con la seguridad y el orden público, que incluyen infraestructuras críticas tales como las infraestructuras de comunicación, las tecnologías vitales, la ciberseguridad, el acceso a información sensible y la libertad de controlar tal información; que deben considerarse pertinentes para la seguridad y el orden público factores tales como el hecho de que un inversor extranjero esté controlado por el gobierno del país de origen; que el Reglamento también cubre los proyectos y programas de interés para la Unión, tales como las redes transeuropeas de telecomunicaciones y Horizonte 2020; que el Reglamento establece un mecanismo que permite a la Comisión y a los Estados miembros cooperar en la evaluación de los riesgos para la seguridad que plantean las inversiones extranjeras directas;

1. Estima que la Unión debe asumir el liderazgo en materia de ciberseguridad mediante un enfoque común basado en el uso eficaz y eficiente de los conocimientos especializados de la Unión, los Estados miembros y el sector, dado que un mosaico de decisiones nacionales divergentes perjudicaría al mercado único digital;

2. Destaca la importancia de desarrollar rápidamente un enfoque de la Unión para la seguridad de las infraestructuras a la luz del despliegue de la tecnología 5G, teniendo en cuenta los riesgos para la seguridad y el orden público mediante interferencias e influencia por parte de terceros países; subraya que se trata de una cuestión de la propia seguridad de la Unión y de interés fundamental;

3. Acoge con satisfacción la próxima entrada en vigor de un Reglamento por el que se establece un marco para el análisis de las inversiones extranjeras directas por motivos de seguridad y orden público, y subraya que este establece, por primera vez, una lista de ámbitos y factores pertinentes para la seguridad y el orden público a escala de la Unión;

4. Expresa su profunda preocupación por las recientes acusaciones de que los equipos 5G desarrollados por empresas chinas podrían incluir puertas traseras que permitan a los fabricantes y a las autoridades acceder sin autorización a los datos y las telecomunicaciones de ciudadanos y empresas de la Unión; manifiesta igualmente su inquietud ante la presencia potencial de importantes vulnerabilidades en los equipos 5G desarrollados por dichos fabricantes si se instalaran en el despliegue de las redes 5G en los próximos años; pide a la Comisión y a los Estados miembros que consideren la posibilidad de prohibir los proveedores de equipos 5G que no puedan ofrecer garantías de seguridad adecuadas;

5. Subraya que las implicaciones para la seguridad de redes y equipos son similares en todo el mundo, y pide a la Unión que extraiga enseñanzas de la experiencia de que dispone a fin de garantizar los niveles más elevados de ciberseguridad; opina que, cuando no pueda garantizarse el cumplimiento de los requisitos de seguridad, deben aplicarse medidas adecuadas; observa que, como parte de la evaluación de la adecuación de la seguridad, la Unión debe exigir garantías sustanciales y creíbles, en especial en los casos en los que la negociación de una empresa no sea pública, sus estructuras organizativas sean opacas y su financiación y toma de decisiones no sean transparentes;

6. Pide a los Estados miembros que informen a la Comisión de toda medida nacional pertinente que tengan intención de adoptar con miras a coordinar la respuesta de la Unión con el objetivo de poder garantizar el nivel máximo de seguridad en toda la Unión;

7. Reitera que toda entidad que suministre equipos o servicios en la Unión, independientemente de su país de origen, debe respetar las obligaciones en materia de derechos fundamentales y las legislaciones de la Unión y de los Estados miembros, incluido el marco jurídico en materia de privacidad, protección de datos y ciberseguridad;

8. Pide a la Comisión que evalúe la solidez del marco jurídico de la Unión a fin de abordar la preocupación por la presencia de equipos vulnerables en sectores estratégicos e infraestructuras troncales; insta a la Comisión a que presente iniciativas, incluidas propuestas legislativas cuando proceda, a fin de abordar a su debido tiempo las deficiencias detectadas, ya que la Unión se encuentra en un proceso constante para determinar y corregir los desafíos en materia de ciberseguridad y para mejorar la resiliencia de la ciberseguridad en la Unión;

9. Insta a aquellos Estados miembros que aún no hayan incorporado a su legislación la Directiva sobre ciberseguridad a que lo hagan sin demora, y pide a la Comisión que supervise estrechamente esta transposición a fin de garantizar que sus disposiciones se aplican y se ejecutan correctamente y que los ciudadanos europeos están mejor protegidos frente a las amenazas para la seguridad externas e internas;

10. Celebra y apoya el acuerdo alcanzado en relación con el Reglamento de Ciberseguridad y el fortalecimiento del mandato de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea (ENISA), con vistas a brindar un mejor apoyo a los Estados miembros en la lucha contra las amenazas para la ciberseguridad y los ataques;

11. Recuerda que la ciberseguridad exige unos requisitos de seguridad muy estrictos; aboga por redes y productos seguros desde el punto de vista del diseño y por defecto; insta a la Comisión a que encargue a la ENISA que dé prioridad a trabajar sobre un sistema de certificación para los equipos 5G a fin de garantizar que el despliegue de la 5G en la Unión respete las normas de seguridad más estrictas y sea resistente a las puertas traseras y otras vulnerabilidades importantes que puedan poner en peligro la seguridad de las redes de telecomunicaciones de la Unión y de los servicios dependientes; recomienda dedicar especial atención a los procesos, productos y programas informáticos de uso común que, por su magnitud, tienen un impacto importante en la vida cotidiana de los ciudadanos y la economía;

12. Acoge con gran satisfacción las propuestas sobre los centros de competencias en materia de ciberseguridad y una red de centros nacionales de coordinación, concebida para ayudar a la Unión a conservar y desarrollar las capacidades tecnológicas e industriales en materia de ciberseguridad necesarias para la seguridad de su mercado único digital;

13. Acoge con satisfacción el programa Europa Digital, que impone requisitos de seguridad y la supervisión de la Comisión en entidades establecidas en la Unión pero controladas desde terceros países, en especial en acciones relacionadas con la ciberseguridad; subraya la importancia de excluir las interferencias en la seguridad generadas por las solicitudes ejecutivas de cooperación en materia de inteligencia por parte de autoridades de terceros países;

14. Pide a los Estados miembros que garanticen que las instituciones públicas y las empresas privadas que trabajan para garantizar el correcto funcionamiento de redes de infraestructuras críticas, tales como las telecomunicaciones, la energía y los sistemas sanitarios y sociales, efectúen evaluaciones pertinentes de riesgos teniendo en cuenta las amenazas para la seguridad vinculadas con las características técnicas del sistema respectivo o la dependencia de proveedores externos de tecnologías de equipos y programas informáticos;

15. Recuerda que el marco jurídico actual relativo a las telecomunicaciones obliga a los Estados miembros a garantizar que los operadores de telecomunicaciones cumplen con la integridad y disponibilidad de las redes públicas de comunicaciones electrónicas y que el cifrado, preferentemente de extremo a extremo, es una manera de abordar algunas preocupaciones en materia de seguridad; hace hincapié en que, con arreglo al Código Europeo de las Comunicaciones Electrónicas, los Estados miembros disponen de todas las competencias necesarias para investigar y aplicar una amplia gama de soluciones en caso de productos no conformes presentes en el mercado de la Unión;

16. Pide a la Comisión y a los Estados miembros que hagan de la seguridad un aspecto obligatorio en todos los procedimientos de contratación pública relativos a infraestructuras pertinentes, tanto en el ámbito nacional como de la Unión, también, cuando proceda, el uso de normas europeas y requisitos técnicos destinados a aumentar la resistencia y hacer frente a los riesgos para la seguridad;

17. Espera que las autoridades nacionales de protección de datos y el Supervisor Europeo de Protección de Datos investiguen a fondo los indicios de violación de la seguridad de los datos por parte de proveedores externos e impongan multas y sanciones adecuadas en consonancia con la legislación europea en materia de protección de datos;

18. Reitera que la Unión debe apoyar la ciberseguridad en toda la cadena de valor, desde la investigación hasta el despliegue y la adopción de tecnologías clave, difundir información pertinente y promover un plan de estudios sobre ciberseguridad, y considera que, entre otras medidas, el programa Europa Digital será una herramienta eficiente para ello;

19. Insta a la Comisión y a los Estados miembros a que adopten las medidas necesarias para crear en la UE un entorno favorable a la innovación, que debe ser accesible a todas las empresas de la economía digital de la Unión, incluidas las pymes, y debe permitir a los proveedores de servicios europeos desarrollar nuevos productos, servicios y tecnologías, que les permitan recuperar la cuota de mercado de sus competidores procedentes de terceros países;

20. Pide a la Comisión que evalúe el aspecto de la ciberseguridad de la vigilancia y el control del mercado y que proponga medidas para aborden los riesgos de ciberseguridad de manera eficiente; recuerda que los agentes de la industria de la Unión, especialmente las pymes, son vulnerables a la competencia desleal de los actores con patrocinio estatal, la adquisición estratégica y el acceso no autorizado a sus datos; afirma que estos actores industriales deben participar en la elaboración de posibles medidas legislativas;

21. Pide a la Comisión que incluya los requisitos de seguridad informática en la revisión del nuevo marco legislativo para la seguridad de los productos;

22. Pide al Consejo que acelere su trabajo sobre la propuesta de Reglamento sobre la privacidad y las comunicaciones electrónicas, y que tenga en cuenta el cifrado obligatorio de extremo a extremo y la prohibición de puertas traseras autorizadas por gobiernos que propuso el Parlamento en su posición adoptada en primera lectura;

23. Pide al Consejo Europeo que, en su próxima reunión del 21 de marzo de 2019, tome en consideración la posibilidad de adoptar acciones acordes con las recomendaciones formuladas en la presente Resolución;

24. Encarga a su presidente que transmita la presente Resolución al Consejo y a la Comisión.

 

[1] DO L 321 de 17.12.2018, p. 36.

[2] DO L 194 de 19.7.2016, p. 1.

[3] DO L 218 de 14.8.2013, p. 8.

[4] Textos Aprobados, P8_TA(2019)0121.

[5] Textos Aprobados, P8_TA(2018)0343.

[6] DO C 307 de 30.8.2018, p. 144.

[7] DO L 119 de 4.5.2016, p. 1.

[8] DO L 348 de 20.12.2013, p. 129.

Última actualización: 8 de marzo de 2019Aviso jurídico