I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49773
mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de
Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la
norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de
la privacidad-controles de seguridad de la información, de no estar comprendidas en el
ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento
Específico que resultara de aplicación.
d) Garantizar la aplicación de medidas de seguridad técnicas y organizativas
estándar a través de un sistema de certificación.
e) Efectuar una auditoría de seguridad de sus equipos, productos y servicios.
En particular, los suministradores 5G deben presentar al Ministerio para la
Transformación Digital y de la Función Pública con una periodicidad bienal una auditoria
sobre la aplicación del esquema de certificación GSMA Network Equipment Security
Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los
elementos de la red 5G que resulte de aplicación y para los restantes elementos
cualquier otro esquema de aseguramiento de la seguridad equiparable, además de la
norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información, el Real
Decreto 311/2022, de 3 de mayo, por el que se regula Esquema Nacional de Seguridad,
o en el Perfil de Cumplimiento Específico que resultara de aplicación, en la categoría de
seguridad Alta, en caso de fabricar, importar, distribuir o prestar cualesquiera otros
servicios, en redes públicas 5G.
Además, deberán someterse, a su costa, a una auditoría de seguridad ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.
Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se
produzcan modificaciones sustanciales que puedan repercutir en las medidas de
seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha
de cómputo para el cálculo de los dos años, establecidos para la realización de la
siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este
real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance
y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
El resultado de esta auditoría será presentado al Ministerio para la Transformación
Digital y de la Función Pública con una periodicidad bienal.
f) Proporcionar información sobre posibles injerencias de terceros en el diseño,
operación y funcionamiento de sus equipos, productos y servicios.
g) Proporcionar a los operadores 5G y usuarios corporativos 5G la información y
acreditar el cumplimiento de estándares de seguridad de equipos, productos y servicios
que suministren. Colaborar para realizar una correcta monitorización o detección de la
ciberseguridad por parte de los Centros de Operaciones de Seguridad 5G que puedan
crear los sujetos obligados.
3. Los suministradores 5G deberán aportar al Ministerio para la Transformación
Digital y de la Función Pública una descripción de las medidas técnicas y organizativas
diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, cuando sean
requeridos para ello.
4. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que
hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para
la Transformación Digital y de la Función Pública un informe de las medidas técnicas y
organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos en el plazo de
seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.
5. Los suministradores 5G de alto riesgo y de riesgo medio deberán remitir al
Ministerio para la Transformación Digital y de la Función Pública cada dos años una
descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar,
gestionar y mitigar los riesgos, o cuando le sea requerido para ello por el Ministerio para
la Transformación Digital y de la Función Pública siempre que se hayan producido
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49773
mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de
Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la
norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de
la privacidad-controles de seguridad de la información, de no estar comprendidas en el
ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento
Específico que resultara de aplicación.
d) Garantizar la aplicación de medidas de seguridad técnicas y organizativas
estándar a través de un sistema de certificación.
e) Efectuar una auditoría de seguridad de sus equipos, productos y servicios.
En particular, los suministradores 5G deben presentar al Ministerio para la
Transformación Digital y de la Función Pública con una periodicidad bienal una auditoria
sobre la aplicación del esquema de certificación GSMA Network Equipment Security
Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los
elementos de la red 5G que resulte de aplicación y para los restantes elementos
cualquier otro esquema de aseguramiento de la seguridad equiparable, además de la
norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información, el Real
Decreto 311/2022, de 3 de mayo, por el que se regula Esquema Nacional de Seguridad,
o en el Perfil de Cumplimiento Específico que resultara de aplicación, en la categoría de
seguridad Alta, en caso de fabricar, importar, distribuir o prestar cualesquiera otros
servicios, en redes públicas 5G.
Además, deberán someterse, a su costa, a una auditoría de seguridad ordinaria, al
menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.
Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se
produzcan modificaciones sustanciales que puedan repercutir en las medidas de
seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha
de cómputo para el cálculo de los dos años, establecidos para la realización de la
siguiente auditoría regular ordinaria, indicados en el párrafo anterior.
El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este
real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados.
Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance
y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las
conclusiones formuladas.
El resultado de esta auditoría será presentado al Ministerio para la Transformación
Digital y de la Función Pública con una periodicidad bienal.
f) Proporcionar información sobre posibles injerencias de terceros en el diseño,
operación y funcionamiento de sus equipos, productos y servicios.
g) Proporcionar a los operadores 5G y usuarios corporativos 5G la información y
acreditar el cumplimiento de estándares de seguridad de equipos, productos y servicios
que suministren. Colaborar para realizar una correcta monitorización o detección de la
ciberseguridad por parte de los Centros de Operaciones de Seguridad 5G que puedan
crear los sujetos obligados.
3. Los suministradores 5G deberán aportar al Ministerio para la Transformación
Digital y de la Función Pública una descripción de las medidas técnicas y organizativas
diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, cuando sean
requeridos para ello.
4. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que
hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para
la Transformación Digital y de la Función Pública un informe de las medidas técnicas y
organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos en el plazo de
seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.
5. Los suministradores 5G de alto riesgo y de riesgo medio deberán remitir al
Ministerio para la Transformación Digital y de la Función Pública cada dos años una
descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar,
gestionar y mitigar los riesgos, o cuando le sea requerido para ello por el Ministerio para
la Transformación Digital y de la Función Pública siempre que se hayan producido
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
