I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49768
4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G, el suministrador deberá proporcionar a los operadores 5G a los que
suministre las prácticas y medidas de seguridad que se han adoptado en los productos y
servicios que han suministrado, teniendo en cuenta los factores de riesgo indicados en
este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser recibida
por los operadores 5G y su tratamiento será confidencial, de manera que sólo podrá ser
utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el
Ministerio para la Transformación Digital y de la Función Pública y los demás organismos
públicos competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022,
de 29 de marzo y en este esquema a los exclusivos fines de los mismos.
5. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía
de los riesgos en función de los siguientes parámetros:
a) Afectación a un elemento crítico de la red pública 5G.
b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.
c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad
del servicio.
d) Capacidad de detección y recuperación.
e) Número y tipo de usuarios afectados.
f) Tipo de información cuya integridad haya podido verse comprometida.
6. Un nuevo análisis de riesgos por el operador 5G debe ser llevado a cabo y ser
remitido al Ministerio para la Transformación Digital y de la Función Pública antes del 1
de octubre de 2024, y, a continuación, cada dos años o cuando le sea requerido para ello
por el Ministerio para la Transformación Digital y de la Función Pública siempre que se
hayan producido cambios significativos en las infraestructuras 5G utilizadas o
servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas
pudieran haber perdido eficacia.
Artículo 19. Análisis de riesgos por los suministradores 5G.
1. Los suministradores 5G deben analizar los riesgos de los equipos de
telecomunicación, hardware y software y servicios auxiliares que intervengan en el
funcionamiento u operación de redes 5G o en la prestación de servicios 5G, detectando
vulnerabilidades y amenazas que le afecten tanto a la gestión de la empresa como a
dichos equipos, hardware, software y servicios.
2. Los suministradores 5G deberán aportar este análisis de riesgos al Ministerio
para la Transformación Digital y de la Función Pública, cuando sea requeridos para ello.
Asimismo, los suministradores 5G deberán aportar los análisis de riesgos a los
operadores 5G a los que suministre de conformidad con lo dispuesto en el artículo 18.4.
3. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que
hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para
la Transformación Digital y de la Función Pública un análisis de riesgos de sus equipos,
productos o servicios involucrados en las redes y servicios 5G en el plazo de seis meses
a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.
4. Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio
deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio para la
Transformación Digital y de la Función Pública o cuando le sea requerido para ello por el
Ministerio para la Transformación Digital y de la Función Pública o siempre que se hayan
producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G
prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran
haber perdido eficacia.
5. Los suministradores 5G son los responsables de los análisis de riesgos que
efectúen y del cumplimiento de las obligaciones de información y remisión de
documentación establecidos en este artículo.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49768
4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G, el suministrador deberá proporcionar a los operadores 5G a los que
suministre las prácticas y medidas de seguridad que se han adoptado en los productos y
servicios que han suministrado, teniendo en cuenta los factores de riesgo indicados en
este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser recibida
por los operadores 5G y su tratamiento será confidencial, de manera que sólo podrá ser
utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el
Ministerio para la Transformación Digital y de la Función Pública y los demás organismos
públicos competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022,
de 29 de marzo y en este esquema a los exclusivos fines de los mismos.
5. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía
de los riesgos en función de los siguientes parámetros:
a) Afectación a un elemento crítico de la red pública 5G.
b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.
c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad
del servicio.
d) Capacidad de detección y recuperación.
e) Número y tipo de usuarios afectados.
f) Tipo de información cuya integridad haya podido verse comprometida.
6. Un nuevo análisis de riesgos por el operador 5G debe ser llevado a cabo y ser
remitido al Ministerio para la Transformación Digital y de la Función Pública antes del 1
de octubre de 2024, y, a continuación, cada dos años o cuando le sea requerido para ello
por el Ministerio para la Transformación Digital y de la Función Pública siempre que se
hayan producido cambios significativos en las infraestructuras 5G utilizadas o
servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas
pudieran haber perdido eficacia.
Artículo 19. Análisis de riesgos por los suministradores 5G.
1. Los suministradores 5G deben analizar los riesgos de los equipos de
telecomunicación, hardware y software y servicios auxiliares que intervengan en el
funcionamiento u operación de redes 5G o en la prestación de servicios 5G, detectando
vulnerabilidades y amenazas que le afecten tanto a la gestión de la empresa como a
dichos equipos, hardware, software y servicios.
2. Los suministradores 5G deberán aportar este análisis de riesgos al Ministerio
para la Transformación Digital y de la Función Pública, cuando sea requeridos para ello.
Asimismo, los suministradores 5G deberán aportar los análisis de riesgos a los
operadores 5G a los que suministre de conformidad con lo dispuesto en el artículo 18.4.
3. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que
hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para
la Transformación Digital y de la Función Pública un análisis de riesgos de sus equipos,
productos o servicios involucrados en las redes y servicios 5G en el plazo de seis meses
a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.
4. Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio
deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio para la
Transformación Digital y de la Función Pública o cuando le sea requerido para ello por el
Ministerio para la Transformación Digital y de la Función Pública o siempre que se hayan
producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G
prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran
haber perdido eficacia.
5. Los suministradores 5G son los responsables de los análisis de riesgos que
efectúen y del cumplimiento de las obligaciones de información y remisión de
documentación establecidos en este artículo.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
