I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49763
d) La evaluación de la eficacia de las medidas de seguridad aplicadas hasta la
aprobación de cada análisis de riesgos nacional para mitigar los riesgos puestos de
manifiesto por tal análisis.
e) La determinación de una jerarquía de riesgos en función de los análisis de
riesgos llevados a cabo por los sujetos obligados.
Artículo 14.
Gestión de riesgos a nivel nacional.
1. Los criterios, requisitos, condiciones y plazos para que los sujetos obligados
puedan diseñar e implementar técnicas y medidas de mitigación de riesgos son los que,
al menos, figuran en el anexo III de este real decreto.
2. En la determinación de estos criterios y requisitos de gestión de riesgos se han
tenido en cuenta el análisis de riesgos nacional que incorpora este esquema y la
evaluación de la eficacia de las medidas aplicadas por los sujetos obligados para mitigar
y gestionar los riesgos en las redes y servicios 5G.
CAPÍTULO III
Medidas específicas para garantizar la seguridad de las redes y servicios 5G
Artículo 15. Declaración de suministradores 5G de alto riesgo y de riesgo medio.
a) Los vínculos de los suministradores y de su cadena de suministro, con los
gobiernos de terceros países.
b) La composición de su capital social y la estructura de sus órganos de gobierno.
c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación
de la empresa.
d) Las características de la legislación y la política de ciberdefensa y el respeto al
derecho internacional y a las resoluciones y acuerdos de la Organización de las
Naciones Unidas de ese tercer Estado.
e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos
cibernéticos o protección de datos firmados con el país tercero de que se trate, así como
los tratados internacionales en esas materias de que sea parte dicho Estado.
f) El grado de adecuación de la normativa del tercer Estado sobre protección de
datos personales a la de España, al Reglamento General de Protección de Datos
aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra
normativa aplicable en materia de seguridad de las redes y sistemas de información y de
telecomunicaciones.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, podrá calificar
que determinados suministradores 5G son de alto riesgo.
A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y
operatividad de sus equipos, productos y servicios como su exposición a injerencias
externas.
2. En relación con el análisis de las medidas y las garantías técnicas de
funcionamiento y operatividad de sus equipos, productos y servicios se valorarán
aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación
mediante esquemas de certificación, o la superación de pruebas o auditorías de
seguridad realizadas por entidades independientes.
3. En relación con el análisis de las medidas estratégicas y exposición a injerencias
externas, se valorarán los siguientes aspectos:
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49763
d) La evaluación de la eficacia de las medidas de seguridad aplicadas hasta la
aprobación de cada análisis de riesgos nacional para mitigar los riesgos puestos de
manifiesto por tal análisis.
e) La determinación de una jerarquía de riesgos en función de los análisis de
riesgos llevados a cabo por los sujetos obligados.
Artículo 14.
Gestión de riesgos a nivel nacional.
1. Los criterios, requisitos, condiciones y plazos para que los sujetos obligados
puedan diseñar e implementar técnicas y medidas de mitigación de riesgos son los que,
al menos, figuran en el anexo III de este real decreto.
2. En la determinación de estos criterios y requisitos de gestión de riesgos se han
tenido en cuenta el análisis de riesgos nacional que incorpora este esquema y la
evaluación de la eficacia de las medidas aplicadas por los sujetos obligados para mitigar
y gestionar los riesgos en las redes y servicios 5G.
CAPÍTULO III
Medidas específicas para garantizar la seguridad de las redes y servicios 5G
Artículo 15. Declaración de suministradores 5G de alto riesgo y de riesgo medio.
a) Los vínculos de los suministradores y de su cadena de suministro, con los
gobiernos de terceros países.
b) La composición de su capital social y la estructura de sus órganos de gobierno.
c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación
de la empresa.
d) Las características de la legislación y la política de ciberdefensa y el respeto al
derecho internacional y a las resoluciones y acuerdos de la Organización de las
Naciones Unidas de ese tercer Estado.
e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos
cibernéticos o protección de datos firmados con el país tercero de que se trate, así como
los tratados internacionales en esas materias de que sea parte dicho Estado.
f) El grado de adecuación de la normativa del tercer Estado sobre protección de
datos personales a la de España, al Reglamento General de Protección de Datos
aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo,
de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta
al tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra
normativa aplicable en materia de seguridad de las redes y sistemas de información y de
telecomunicaciones.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, podrá calificar
que determinados suministradores 5G son de alto riesgo.
A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y
operatividad de sus equipos, productos y servicios como su exposición a injerencias
externas.
2. En relación con el análisis de las medidas y las garantías técnicas de
funcionamiento y operatividad de sus equipos, productos y servicios se valorarán
aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación
mediante esquemas de certificación, o la superación de pruebas o auditorías de
seguridad realizadas por entidades independientes.
3. En relación con el análisis de las medidas estratégicas y exposición a injerencias
externas, se valorarán los siguientes aspectos:
