Bruselas impulsa una ley para excluir a Huawei y ZTE de las infraestructuras críticas de la UE que tendría implicaciones directas para España
La Comisión Europea ha presentado una propuesta de reforma de la Ley de Ciberseguridad de la Unión Europea que allana el camino para la exclusión gradual de proveedores considerados de “alto riesgo” de las infraestructuras digitales críticas en los Estados miembros, apuntando directamente a empresas como Huawei Technologies y ZTE, que desde hace años figuran en el punto de mira de Bruselas por riesgos de ciberseguridad y dependencia tecnológica.
El texto, que deberá ser negociado con el Consejo de la UE y el Parlamento Europeo antes de convertirse en ley, prevé que la presencia de estos proveedores en sectores estratégicos —redes de telecomunicaciones móvil y fija, dispositivos médicos, semiconductores, drones o servicios espaciales— quede limitada en un plazo máximo de tres años, bajo la justificación de reforzar la soberanía tecnológica y la resiliencia de las cadenas de suministro de tecnologías de la información y comunicación (TIC) frente a amenazas sofisticadas.
La medida representa una transición desde las recomendaciones voluntarias existentes hasta un marco obligatorio, que obligará a los Estados miembros a adaptar sus políticas de contratación pública y despliegue de redes para eliminar o reemplazar progresivamente componentes y equipos de proveedores catalogados como de alto riesgo. Aunque la Comisión no nombra expresamente a Huawei o ZTE en el texto de la norma, la referencia a “proveedores de alto riesgo” se alinea con evaluaciones previas de la UE, incluidas las contenidas en la caja de herramientas de ciberseguridad 5G de 2020, que identifican a estas dos multinacionales chinas como riesgos sustancialmente mayores que otros proveedores, especialmente en redes 5G.
El enfoque comunitario se apoya en la percepción de que la dependencia de infraestructuras TIC externas puede ser explotada en contextos de presión geopolítica o de ataques cibernéticos sofisticados, algo que los defensores de la propuesta consideran incompatible con la protección de datos críticos y la seguridad de comunicaciones estatales y civiles. La propuesta contempla que, una vez publicado un listado formal de proveedores de alto riesgo, los operadores que utilicen equipos o componentes de estos ficarán obligados a eliminarlos de sus redes en un plazo que variará según el sector crítico al que pertenezcan, con límites específicos para telecomunicaciones, servicios en la nube y sistemas conectados a redes de seguridad nacional.
Contratos de España con Huawei
El anuncio europeo tiene implicaciones directas para España, uno de los Estados miembros que más ha resistido la implementación estricta de restricciones voluntarias contra estos proveedores, lo que ha generado tensiones con Bruselas. La Comisión ya advirtió formalmente a Madrid sobre ciertos contratos adjudicados a Huawei en sectores sensibles, en particular uno adjudicado por el Ministerio del Interior para suministrar equipamiento de almacenamiento para sistemas de intercepción judicial, enfocado en equipos de almacenamiento de comunicaciones legales, señalando que podría crear una dependencia en un proveedor de alto riesgo, potencialmente vulnerando criterios de seguridad comunitarios y generando preocupaciones sobre injerencia extranjera.
Además, la propuesta europea se conoce en un contexto en el que España ha adjudicado contratos públicos a Huawei y otros proveedores chinos, pese a que en el ámbito de las redes de telecomunicaciones 5G la empresa está excluida de las nuevas instalaciones por políticas de seguridad nacional. En 2025, por ejemplo, el Ministerio de Transformación Digital incluyó a Huawei en el Centro de Operaciones de Seguridad 5G para supervisión de seguridad, una decisión que ya fue objeto de debate político y técnico en España y que contrasta con los mensajes comunitarios sobre mitigación de riesgos.
Los sectores afectados por el anuncio de la Comisión son amplios y van más allá de las redes móviles de próxima generación. Las propuestas actuales de la UE incluyen 18 sectores críticos que podrían verse obligados a eliminar o no contratar a proveedores de alto riesgo, desde infraestructura de telecomunicaciones móvil y fija hasta dispositivos conectados en ámbitos sensibles como la salud, la energía o la gestión de datos públicos. Esto significa que, de aprobarse la reforma, España y otros países de la UE, tendrían que revisar y reconfigurar sus actuales y futuros contratos en estos campos, lo que podría implicar renegociaciones, repliegues tecnológicos y búsqueda de alternativas en proveedores europeos o aliados en 5G, 6G y otros sistemas críticos.
La reacción de Beijing a las noticias ha sido de rechazo, calificando las medidas de proteccionistas y discriminatorias, argumentando que decisiones basadas en el origen de las empresas, en lugar de sus méritos técnicos, podrían violar normas multilaterales de comercio y afectar inversiones. La Comisión ha defendido, por su parte, que los riesgos estratégicos para la seguridad, la democracia y las infraestructuras críticas justifican el enfoque preventivo.
Para que la reforma se convierta en ley vinculante, ahora debe superar el proceso legislativo europeo, que incluye negociaciones entre el Parlamento Europeo y el Consejo, así como posibles impact assessments sectoriales que evalúen los costes y plazos de eliminación de tecnologías de alto riesgo. El avance de esta norma podría redefinir el ecosistema tecnológico europeo, acelerando la transición hacia proveedores percibidos como más seguros y obligando a los Estados miembros a reconsiderar su dependencia de tecnologías de terceros no alineados con los estándares de confianza y seguridad comunitarios.
En el plano técnico, muchos de los debates giran alrededor de las evaluaciones de riesgo de la cadena de suministro de tecnologías críticas, la interoperabilidad de equipos en redes heterogéneas, la compatibilidad con arquitecturas Open RAN y la disponibilidad de proveedores alternativos con capacidades equiparables en términos de rendimiento y coste. La medida, si se aprueba, supondrá un cambio paradigmático en la ciberseguridad europea, donde la evaluación de riesgos y la soberanía tecnológica pasarán a ser criterios esenciales en la contratación pública y en la planificación de infraestructuras críticas de telecomunicaciones e infraestructuras digitales avanzadas.
