I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Artículo 20.
Sec. I. Pág. 49769
Análisis de riesgos por los usuarios corporativos 5G.
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio
público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar
servicios 5G para fines profesionales o en autoprestación deberán analizar los riesgos de
las redes y servicios 5G, detectando vulnerabilidades y amenazas que afecten a los
elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o
provean en la instalación, despliegue y explotación de redes privadas 5G o en la
prestación de servicios 5G en autoprestación.
2. Los usuarios corporativos 5G mencionados en el apartado anterior deberán
aportar este análisis de riesgos al Ministerio para la Transformación Digital y de la
Función Pública, cuando sean requeridos para ello.
Artículo 21. Confidencialidad de la información sobre análisis de riesgos.
1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar
de los sujetos obligados la información necesaria para el análisis de riesgos.
2. Los sujetos obligados deben proporcionar la información en el plazo de quince
días hábiles a contar desde el día siguiente al de la notificación del requerimiento de
información.
3. El incumplimiento de los requerimientos de información formulados conforme a lo
indicado en el apartado anterior cuando haya pasado un mes desde la finalización del
plazo dado para su cumplimiento es calificado como infracción grave.
4. Se garantizará la confidencialidad de la información que los sujetos obligados
proporcionen sobre el análisis de riesgos y que no podrá ser utilizada para una finalidad
distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
CAPÍTULO V
Gestión de los riesgos por los sujetos obligados
Artículo 22.
Medidas comunes para la gestión de seguridad.
a) Las políticas de seguridad de los sistemas, redes y servicios 5G.
b) Análisis de riesgos.
c) La gestión de incidentes.
d) La continuidad de las actividades, como la gestión de copias de seguridad y la
recuperación en caso de catástrofe, y la gestión de crisis.
e) La seguridad de la cadena de suministro y, en su caso, la estrategia de
diversificación, cuando proceda.
f) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas y
redes 5G.
g) Las políticas y procedimientos relativos a la utilización de la criptografía y, en su
caso, de cifrado.
h) La seguridad de los recursos humanos, las políticas de control de acceso y la
gestión de activos.
i) El uso de soluciones de autenticación, comunicaciones de voz, vídeo y texto
seguras y sistemas seguros de comunicaciones de emergencia, cuando proceda.
j) El uso de componentes certificados.
k) La protección de servicios y datos en la nube.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. Las medidas a las que se hace referencia en este esquema se fundamentan en
un enfoque basado en compendiar los riesgos cuya prevención, detección y mitigación o
eliminación tenga por objeto proteger los sistemas, redes y servicios 5G, e incluirán al
menos los siguientes elementos:
Núm. 106
Miércoles 1 de mayo de 2024
Artículo 20.
Sec. I. Pág. 49769
Análisis de riesgos por los usuarios corporativos 5G.
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio
público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar
servicios 5G para fines profesionales o en autoprestación deberán analizar los riesgos de
las redes y servicios 5G, detectando vulnerabilidades y amenazas que afecten a los
elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o
provean en la instalación, despliegue y explotación de redes privadas 5G o en la
prestación de servicios 5G en autoprestación.
2. Los usuarios corporativos 5G mencionados en el apartado anterior deberán
aportar este análisis de riesgos al Ministerio para la Transformación Digital y de la
Función Pública, cuando sean requeridos para ello.
Artículo 21. Confidencialidad de la información sobre análisis de riesgos.
1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar
de los sujetos obligados la información necesaria para el análisis de riesgos.
2. Los sujetos obligados deben proporcionar la información en el plazo de quince
días hábiles a contar desde el día siguiente al de la notificación del requerimiento de
información.
3. El incumplimiento de los requerimientos de información formulados conforme a lo
indicado en el apartado anterior cuando haya pasado un mes desde la finalización del
plazo dado para su cumplimiento es calificado como infracción grave.
4. Se garantizará la confidencialidad de la información que los sujetos obligados
proporcionen sobre el análisis de riesgos y que no podrá ser utilizada para una finalidad
distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
CAPÍTULO V
Gestión de los riesgos por los sujetos obligados
Artículo 22.
Medidas comunes para la gestión de seguridad.
a) Las políticas de seguridad de los sistemas, redes y servicios 5G.
b) Análisis de riesgos.
c) La gestión de incidentes.
d) La continuidad de las actividades, como la gestión de copias de seguridad y la
recuperación en caso de catástrofe, y la gestión de crisis.
e) La seguridad de la cadena de suministro y, en su caso, la estrategia de
diversificación, cuando proceda.
f) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas y
redes 5G.
g) Las políticas y procedimientos relativos a la utilización de la criptografía y, en su
caso, de cifrado.
h) La seguridad de los recursos humanos, las políticas de control de acceso y la
gestión de activos.
i) El uso de soluciones de autenticación, comunicaciones de voz, vídeo y texto
seguras y sistemas seguros de comunicaciones de emergencia, cuando proceda.
j) El uso de componentes certificados.
k) La protección de servicios y datos en la nube.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. Las medidas a las que se hace referencia en este esquema se fundamentan en
un enfoque basado en compendiar los riesgos cuya prevención, detección y mitigación o
eliminación tenga por objeto proteger los sistemas, redes y servicios 5G, e incluirán al
menos los siguientes elementos:
