I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49771
h) Cumplir con los esquemas europeos de certificación de productos, servicios o
sistemas, sean o no específicos de la tecnología 5G, que se empleen en la operación o
explotación de redes y servicios 5G.
i) Hacer uso de herramientas y metodologías de análisis y gestión de riesgos
reconocidas nacional o internacionalmente.
j) Someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos
años, que verifique el cumplimiento de los requerimientos del ENS 5G.
Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se
produzcan modificaciones sustanciales que puedan repercutir en las medidas de
seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha
de cómputo para el cálculo de los dos años, establecidos para la realización de la
siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este
real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance
y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
El resultado de esta auditoría será presentado al Ministerio para la Transformación
Digital y de la Función Pública con una periodicidad bienal.
k) Establecer procedimientos apropiados para abordar las vulnerabilidades cuando
se detecten.
l) Exigir a sus suministradores el cumplimiento de estándares de seguridad, desde
el diseño de los productos y servicios hasta su puesta en funcionamiento.
m) Controlar su propia cadena de suministro y la estrategia de diversificación que
haya diseñado.
n) Colaborar con el Centro de Operaciones de Seguridad 5G de referencia a que se
refiere el artículo 41 para enviar los datos requeridos para la detección del estado de la
ciberseguridad de las redes y servicios 5G en tiempo real.
3. En particular, los operadores 5G que sean titulares o exploten elementos críticos
de una red pública 5G tienen adicionalmente las siguientes obligaciones:
a) Deberán diseñar una estrategia de diversificación en la cadena de suministro de
los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o
encaminamiento y demás recursos que permitan el transporte de señales en una red
pública 5G que dé cumplimiento a lo dispuesto en el artículo 17.
b) No podrán utilizar en los elementos críticos de red equipos de telecomunicación,
sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos,
que permitan el transporte de señales, hardware, software o servicios auxiliares de
suministradores que hayan sido calificados de alto riesgo conforme a lo dispuesto en el
artículo 15.
c) No podrán utilizar en la red de acceso radio de una red pública 5G equipos de
telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y
demás recursos, que permitan el transporte de señales, hardware, software o servicios
auxiliares de suministradores que hayan sido calificados de alto riesgo, en aquellas
estaciones radioeléctricas con las que se proporcione cobertura en las ubicaciones,
áreas y centros que se hayan identificado conforme a lo establecido en el artículo 16.
d) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio
nacional, sin perjuicio de lo establecido en el artículo 6.
Estas obligaciones se aplican de forma exclusiva a los elementos de la red de
acceso radio 5G según la definición del 3GPP mencionada en el anexo I.
4. Los operadores 5G que sean titulares o exploten elementos críticos de una red
pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función
Pública una nueva estrategia de diversificación en la cadena de suministro antes del 1 de
octubre de 2024.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49771
h) Cumplir con los esquemas europeos de certificación de productos, servicios o
sistemas, sean o no específicos de la tecnología 5G, que se empleen en la operación o
explotación de redes y servicios 5G.
i) Hacer uso de herramientas y metodologías de análisis y gestión de riesgos
reconocidas nacional o internacionalmente.
j) Someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos
años, que verifique el cumplimiento de los requerimientos del ENS 5G.
Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se
produzcan modificaciones sustanciales que puedan repercutir en las medidas de
seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha
de cómputo para el cálculo de los dos años, establecidos para la realización de la
siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este
real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance
y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
El resultado de esta auditoría será presentado al Ministerio para la Transformación
Digital y de la Función Pública con una periodicidad bienal.
k) Establecer procedimientos apropiados para abordar las vulnerabilidades cuando
se detecten.
l) Exigir a sus suministradores el cumplimiento de estándares de seguridad, desde
el diseño de los productos y servicios hasta su puesta en funcionamiento.
m) Controlar su propia cadena de suministro y la estrategia de diversificación que
haya diseñado.
n) Colaborar con el Centro de Operaciones de Seguridad 5G de referencia a que se
refiere el artículo 41 para enviar los datos requeridos para la detección del estado de la
ciberseguridad de las redes y servicios 5G en tiempo real.
3. En particular, los operadores 5G que sean titulares o exploten elementos críticos
de una red pública 5G tienen adicionalmente las siguientes obligaciones:
a) Deberán diseñar una estrategia de diversificación en la cadena de suministro de
los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o
encaminamiento y demás recursos que permitan el transporte de señales en una red
pública 5G que dé cumplimiento a lo dispuesto en el artículo 17.
b) No podrán utilizar en los elementos críticos de red equipos de telecomunicación,
sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos,
que permitan el transporte de señales, hardware, software o servicios auxiliares de
suministradores que hayan sido calificados de alto riesgo conforme a lo dispuesto en el
artículo 15.
c) No podrán utilizar en la red de acceso radio de una red pública 5G equipos de
telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y
demás recursos, que permitan el transporte de señales, hardware, software o servicios
auxiliares de suministradores que hayan sido calificados de alto riesgo, en aquellas
estaciones radioeléctricas con las que se proporcione cobertura en las ubicaciones,
áreas y centros que se hayan identificado conforme a lo establecido en el artículo 16.
d) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio
nacional, sin perjuicio de lo establecido en el artículo 6.
Estas obligaciones se aplican de forma exclusiva a los elementos de la red de
acceso radio 5G según la definición del 3GPP mencionada en el anexo I.
4. Los operadores 5G que sean titulares o exploten elementos críticos de una red
pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función
Pública una nueva estrategia de diversificación en la cadena de suministro antes del 1 de
octubre de 2024.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
