I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49772
Asimismo, la estrategia de diversificación en la cadena de suministro deberá ser
remitida al Ministerio para la Transformación Digital y de la Función Pública cada vez que
sea objeto de modificación.
Igualmente, los operadores 5G que sean titulares o exploten elementos críticos de
una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la
Función Pública antes del 1 de octubre de cada año información sobre el estado de
ejecución de la estrategia de diversificación en la cadena de suministro o cuando le sea
requerido para ello por el Ministerio para la Transformación Digital y de la Función
Pública siempre que se hayan producido cambios significativos en las
infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las
medidas de seguridad adoptadas pudieran haber perdido eficacia.
5. Los operadores 5G deberán remitir al Ministerio para la Transformación Digital y
de la Función Pública una nueva descripción de las medidas técnicas y organizativas
diseñadas y aplicadas para gestionar y mitigar los riesgos antes del 1 de octubre
de 2024 y, a continuación, cada dos años o cuando le sea requerido para ello por el
Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan
producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G
prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran
haber perdido eficacia.
Artículo 24. Gestión de seguridad por los suministradores 5G.
1. Los suministradores 5G deberán garantizar la seguridad de los equipos de
telecomunicación, hardware, software o servicios auxiliares que proporcionen y que sean
objeto de uso por las redes y servicios 5G.
2. Los suministradores 5G tienen las siguientes obligaciones de seguridad dirigidas
a mitigar riesgos:
a) Cumplir estándares de seguridad desde el diseño de los equipos, productos y
servicios hasta su puesta en funcionamiento.
En particular, es de aplicación la norma técnica ISO/IEC 27001: Gestión de
Seguridad de la Información.
b) Reforzar la integridad del software, actualización y gestión de parches. Las
partes implicadas acordarán los mecanismos para las actualizaciones periódicas de
software y para dar respuesta a las vulnerabilidades de seguridad considerando el ciclo
de vida de los equipos y el nivel de exposición a vulnerabilidades y los criterios de
evaluación ajustados del mismo.
Acreditar la certificación de los productos, recursos, servicios o sistemas para la
operación de las redes 5G, o en alguna de sus partes o elementos. En particular,
deberán cumplir con la certificación del esquema GSMA Network Equipment Security
Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los
elementos de la red 5G que resulte de aplicación y para los restantes cualquier otro
esquema de aseguramiento de la seguridad equiparable.
También deberán disponer, en su caso, de las certificaciones recogidas en los
Esquemas Europeos de Certificación que puedan desarrollarse bajo el
Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad), bajo la
normativa de requisitos horizontales de ciberseguridad para productos con elementos
digitales o bajo cualquier otra legislación relacionada de la UE o nacional.
Estas certificaciones deberán ser aportadas a los operadores para que den
cumplimiento a lo establecido en el artículo 23, así como al Ministerio para la
Transformación Digital y de la Función Pública.
c) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de
información, de conformidad con las normas nacionales, europeas e internacionales.
Especialmente, se deberán cumplir las medidas de seguridad aplicables a sistemas
de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49772
Asimismo, la estrategia de diversificación en la cadena de suministro deberá ser
remitida al Ministerio para la Transformación Digital y de la Función Pública cada vez que
sea objeto de modificación.
Igualmente, los operadores 5G que sean titulares o exploten elementos críticos de
una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la
Función Pública antes del 1 de octubre de cada año información sobre el estado de
ejecución de la estrategia de diversificación en la cadena de suministro o cuando le sea
requerido para ello por el Ministerio para la Transformación Digital y de la Función
Pública siempre que se hayan producido cambios significativos en las
infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las
medidas de seguridad adoptadas pudieran haber perdido eficacia.
5. Los operadores 5G deberán remitir al Ministerio para la Transformación Digital y
de la Función Pública una nueva descripción de las medidas técnicas y organizativas
diseñadas y aplicadas para gestionar y mitigar los riesgos antes del 1 de octubre
de 2024 y, a continuación, cada dos años o cuando le sea requerido para ello por el
Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan
producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G
prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran
haber perdido eficacia.
Artículo 24. Gestión de seguridad por los suministradores 5G.
1. Los suministradores 5G deberán garantizar la seguridad de los equipos de
telecomunicación, hardware, software o servicios auxiliares que proporcionen y que sean
objeto de uso por las redes y servicios 5G.
2. Los suministradores 5G tienen las siguientes obligaciones de seguridad dirigidas
a mitigar riesgos:
a) Cumplir estándares de seguridad desde el diseño de los equipos, productos y
servicios hasta su puesta en funcionamiento.
En particular, es de aplicación la norma técnica ISO/IEC 27001: Gestión de
Seguridad de la Información.
b) Reforzar la integridad del software, actualización y gestión de parches. Las
partes implicadas acordarán los mecanismos para las actualizaciones periódicas de
software y para dar respuesta a las vulnerabilidades de seguridad considerando el ciclo
de vida de los equipos y el nivel de exposición a vulnerabilidades y los criterios de
evaluación ajustados del mismo.
Acreditar la certificación de los productos, recursos, servicios o sistemas para la
operación de las redes 5G, o en alguna de sus partes o elementos. En particular,
deberán cumplir con la certificación del esquema GSMA Network Equipment Security
Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los
elementos de la red 5G que resulte de aplicación y para los restantes cualquier otro
esquema de aseguramiento de la seguridad equiparable.
También deberán disponer, en su caso, de las certificaciones recogidas en los
Esquemas Europeos de Certificación que puedan desarrollarse bajo el
Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019,
relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad), bajo la
normativa de requisitos horizontales de ciberseguridad para productos con elementos
digitales o bajo cualquier otra legislación relacionada de la UE o nacional.
Estas certificaciones deberán ser aportadas a los operadores para que den
cumplimiento a lo establecido en el artículo 23, así como al Ministerio para la
Transformación Digital y de la Función Pública.
c) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de
información, de conformidad con las normas nacionales, europeas e internacionales.
Especialmente, se deberán cumplir las medidas de seguridad aplicables a sistemas
de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
