I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49770
l) La monitorización de sistemas, redes y servicios.
m) La seguridad física.
n) La protección de la información.
ñ) La realización de evaluaciones periódicas de vulnerabilidades y pruebas de
penetración para identificar y resolver o mitigar estas vulnerabilidades antes de que
puedan ser explotadas.
2. Los sujetos obligados deberán adoptar medidas técnicas y de organización
adecuadas para gestionar los riesgos existentes en la instalación, despliegue y
explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido
en el Real decreto-ley 7/2022, de 29 de marzo, en este Esquema y en los actos que se
dicten en ejecución de ambas disposiciones.
Artículo 23.
Gestión de seguridad por los operadores 5G.
a) Adoptar medidas técnicas y operativas para garantizar la integridad física y
lógica de las redes 5G o cualesquiera de sus elementos, infraestructuras y recursos, así
como la continuidad en la prestación de servicios 5G.
b) Adoptar planes y medidas de contingencia específicas para asegurar la
continuidad de otros servicios esenciales para la sociedad que dependan de las redes y
servicios 5G.
c) Seleccionar e identificar a las personas, ya sea personal propio o de empresas
contratadas, que puedan acceder a los activos físicos y lógicos de la red, y realizar el
mantenimiento de registros de acceso.
d) Mantener las credenciales de usuario para el acceso a la red en posesión del
operador.
e) Utilizar únicamente productos, recursos, servicios o sistemas certificados para la
operación de las redes 5G, o en alguna de sus partes o elementos.
En particular, exigirán de los suministradores la certificación del esquema GSMA
Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security
Assurance Specification), de estos productos, recursos, servicios o sistemas certificado.
f) También exigirán de los suministradores los certificados de conformidad de estos
elementos con los Esquemas Europeos de Certificación que puedan desarrollarse bajo el
Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la
certificación de la ciberseguridad de las tecnologías de la información y la comunicación,
bajo la normativa de requisitos horizontales de ciberseguridad para productos con
elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.
g) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de
información, de conformidad con las normas nacionales, europeas e internacionales.
Especialmente, se deberán cumplir con las medidas de seguridad aplicables a
sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022,
de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de
Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la
norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de
la privacidad-controles de seguridad de la información, de no estar comprendidas en el
ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento
Específico que resultara de aplicación.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. Los operadores 5G deberán garantizar la instalación, despliegue y explotación
seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al
público mediante la aplicación de técnicas y procedimientos de operación y supervisión
que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de la
normativa en esta materia.
2. Los operadores 5G tienen las siguientes obligaciones de seguridad dirigidas a
mitigar riesgos:
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49770
l) La monitorización de sistemas, redes y servicios.
m) La seguridad física.
n) La protección de la información.
ñ) La realización de evaluaciones periódicas de vulnerabilidades y pruebas de
penetración para identificar y resolver o mitigar estas vulnerabilidades antes de que
puedan ser explotadas.
2. Los sujetos obligados deberán adoptar medidas técnicas y de organización
adecuadas para gestionar los riesgos existentes en la instalación, despliegue y
explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido
en el Real decreto-ley 7/2022, de 29 de marzo, en este Esquema y en los actos que se
dicten en ejecución de ambas disposiciones.
Artículo 23.
Gestión de seguridad por los operadores 5G.
a) Adoptar medidas técnicas y operativas para garantizar la integridad física y
lógica de las redes 5G o cualesquiera de sus elementos, infraestructuras y recursos, así
como la continuidad en la prestación de servicios 5G.
b) Adoptar planes y medidas de contingencia específicas para asegurar la
continuidad de otros servicios esenciales para la sociedad que dependan de las redes y
servicios 5G.
c) Seleccionar e identificar a las personas, ya sea personal propio o de empresas
contratadas, que puedan acceder a los activos físicos y lógicos de la red, y realizar el
mantenimiento de registros de acceso.
d) Mantener las credenciales de usuario para el acceso a la red en posesión del
operador.
e) Utilizar únicamente productos, recursos, servicios o sistemas certificados para la
operación de las redes 5G, o en alguna de sus partes o elementos.
En particular, exigirán de los suministradores la certificación del esquema GSMA
Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security
Assurance Specification), de estos productos, recursos, servicios o sistemas certificado.
f) También exigirán de los suministradores los certificados de conformidad de estos
elementos con los Esquemas Europeos de Certificación que puedan desarrollarse bajo el
Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la
certificación de la ciberseguridad de las tecnologías de la información y la comunicación,
bajo la normativa de requisitos horizontales de ciberseguridad para productos con
elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.
g) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de
información, de conformidad con las normas nacionales, europeas e internacionales.
Especialmente, se deberán cumplir con las medidas de seguridad aplicables a
sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022,
de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de
Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la
norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de
la privacidad-controles de seguridad de la información, de no estar comprendidas en el
ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento
Específico que resultara de aplicación.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. Los operadores 5G deberán garantizar la instalación, despliegue y explotación
seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al
público mediante la aplicación de técnicas y procedimientos de operación y supervisión
que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de la
normativa en esta materia.
2. Los operadores 5G tienen las siguientes obligaciones de seguridad dirigidas a
mitigar riesgos:
