I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49767
Antes de aprobar la modificación, se deberá efectuar un trámite de audiencia con el
operador 5G y suministrador o suministradores 5G afectados por un plazo de 15 días
hábiles. La resolución pone fin a la vía administrativa y es directamente recurrible ante la
jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda
interponer contra la misma un recurso de reposición con carácter previo al recurso
contencioso-administrativo.
CAPÍTULO IV
Análisis de riesgos por los sujetos obligados
Artículo 18. Análisis de riesgos por los operadores 5G.
1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G,
detectando vulnerabilidades y amenazas que les afecten, tanto como agente económico,
como por los elementos de red, infraestructuras, recursos, facilidades y servicios que
empleen o provean en la instalación, despliegue y explotación de redes 5G o en la
prestación de servicios 5G.
2. Los operadores 5G que sean titulares o gestionen elementos de red de una red
pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e
individualizado de las amenazas y vulnerabilidades que afecten a los elementos,
infraestructuras y recursos que integran una red 5G y que figuran en el anexo I,
siguiendo la metodología descrita en el anexo II, apartado 1.
3. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta,
al menos, los siguientes factores:
a) Parametrización y configuración de elementos y funciones de red, incluidos los
equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan
en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.
b) Políticas de integridad y actualización de los programas informáticos para
garantizar la seguridad y funcionalidad de la red en todo momento.
c) Estrategias de permisos de acceso a activos físicos y lógicos, garantizando que
sólo el personal autorizado pueda acceder a recursos críticos.
d) Evaluación de las dependencias de determinados proveedores en elementos
críticos de la red 5G, identificando riesgos potenciales asociados con la cadena de
suministro.
e) Identificación y evaluación de amenazas potenciales de agentes externos,
incluyendo grupos organizados con capacidad para atacar la red.
f) Consideración de los equipos terminales y dispositivos conectados a la red, y su
impacto en la seguridad global de la red.
g) Análisis de la interacción y el impacto de la red 5G sobre elementos de usuarios
corporativos y redes externas conectadas.
h) Comprensión de la interrelación de la red 5G con otros servicios esenciales para
la sociedad, evaluando cómo posibles interrupciones del servicio o compromisos de
seguridad pueden afectar a estos servicios esenciales.
i) Priorización y jerarquización de riesgos basados en la afectación a elementos
críticos de la red, el tipo de recurso, infraestructura y servicio afectado, la integridad y
mantenimiento técnico de la red, la capacidad de detección y recuperación, el número y
tipo de usuarios afectados, y el tipo de información comprometida.
j) Implementación de estrategias de resiliencia y recuperación ante desastres, para
asegurar la continuidad del servicio frente a ataques cibernéticos, incidencias técnicas o
desastres naturales, incluyendo la redundancia de sistemas críticos.
k) Realización de análisis de vulnerabilidades de manera regular, para identificar
proactivamente vulnerabilidades de seguridad y resolverlas para mitigar posibles
amenazas antes de que puedan ser explotadas.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49767
Antes de aprobar la modificación, se deberá efectuar un trámite de audiencia con el
operador 5G y suministrador o suministradores 5G afectados por un plazo de 15 días
hábiles. La resolución pone fin a la vía administrativa y es directamente recurrible ante la
jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda
interponer contra la misma un recurso de reposición con carácter previo al recurso
contencioso-administrativo.
CAPÍTULO IV
Análisis de riesgos por los sujetos obligados
Artículo 18. Análisis de riesgos por los operadores 5G.
1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G,
detectando vulnerabilidades y amenazas que les afecten, tanto como agente económico,
como por los elementos de red, infraestructuras, recursos, facilidades y servicios que
empleen o provean en la instalación, despliegue y explotación de redes 5G o en la
prestación de servicios 5G.
2. Los operadores 5G que sean titulares o gestionen elementos de red de una red
pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e
individualizado de las amenazas y vulnerabilidades que afecten a los elementos,
infraestructuras y recursos que integran una red 5G y que figuran en el anexo I,
siguiendo la metodología descrita en el anexo II, apartado 1.
3. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta,
al menos, los siguientes factores:
a) Parametrización y configuración de elementos y funciones de red, incluidos los
equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan
en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.
b) Políticas de integridad y actualización de los programas informáticos para
garantizar la seguridad y funcionalidad de la red en todo momento.
c) Estrategias de permisos de acceso a activos físicos y lógicos, garantizando que
sólo el personal autorizado pueda acceder a recursos críticos.
d) Evaluación de las dependencias de determinados proveedores en elementos
críticos de la red 5G, identificando riesgos potenciales asociados con la cadena de
suministro.
e) Identificación y evaluación de amenazas potenciales de agentes externos,
incluyendo grupos organizados con capacidad para atacar la red.
f) Consideración de los equipos terminales y dispositivos conectados a la red, y su
impacto en la seguridad global de la red.
g) Análisis de la interacción y el impacto de la red 5G sobre elementos de usuarios
corporativos y redes externas conectadas.
h) Comprensión de la interrelación de la red 5G con otros servicios esenciales para
la sociedad, evaluando cómo posibles interrupciones del servicio o compromisos de
seguridad pueden afectar a estos servicios esenciales.
i) Priorización y jerarquización de riesgos basados en la afectación a elementos
críticos de la red, el tipo de recurso, infraestructura y servicio afectado, la integridad y
mantenimiento técnico de la red, la capacidad de detección y recuperación, el número y
tipo de usuarios afectados, y el tipo de información comprometida.
j) Implementación de estrategias de resiliencia y recuperación ante desastres, para
asegurar la continuidad del servicio frente a ataques cibernéticos, incidencias técnicas o
desastres naturales, incluyendo la redundancia de sistemas críticos.
k) Realización de análisis de vulnerabilidades de manera regular, para identificar
proactivamente vulnerabilidades de seguridad y resolverlas para mitigar posibles
amenazas antes de que puedan ser explotadas.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
