I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49774
cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que
induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido
eficacia.
6. Los suministradores 5G son los responsables de la definición y ejecución de las
medidas de mitigación de riesgos que lleven a cabo y del cumplimiento de las
obligaciones de información y remisión de documentación establecidos en este artículo.
Artículo 25.
Gestión de seguridad por los usuarios corporativos 5G.
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio
público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar
servicios 5G para fines profesionales o en autoprestación deberán garantizar la
instalación, despliegue y explotación seguros de redes privadas 5G y prestación segura
de servicios 5G en autoprestación mediante la aplicación de técnicas y procedimientos
de operación y supervisión que garanticen la seguridad de las redes y servicios 5G.
2. Los usuarios corporativos 5G mencionados deberán aportar al Ministerio para la
Transformación Digital y de la Función Pública una descripción de las medidas técnicas y
organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos, cuando sean
requeridos para ello.
Artículo 26.
Gestión de seguridad por las Administraciones públicas.
1. Las Administraciones públicas incluidas en el ámbito de aplicación de este
esquema deberán adoptar medidas técnicas y de organización adecuadas para
gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y
en la prestación de servicios 5G.
2. En particular, las administraciones públicas que quieran llevar a cabo la
instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la
prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por
razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por
suministradores de alto riesgo o riesgo medio.
3. Cada órgano o entidad de la Administración pública incluida en el ámbito de
aplicación de este esquema contará con una política de seguridad referida a los
sistemas, redes y servicios 5G, formalmente aprobada por el órgano competente. Esta
política de seguridad podrá determinar la inclusión de la totalidad o una parte de órganos
administrativos o entidades pertenecientes al sector público institucional en el ámbito de
aplicación de una sola política de seguridad.
Gestión de seguridad por los Centros de Operaciones de Seguridad 5G.
1. Los sujetos obligados podrán constituir Centros de Operaciones de
Seguridad 5G, que adoptarán medidas técnicas, operativas y de organización adecuadas
y proporcionadas para garantizar la preparación, la capacidad de respuesta y la
recuperación frente a incidentes, incluida la cooperación entre los sectores público y
privado, así como para gestionar los riesgos que se planteen para la seguridad de los
sistemas, redes y servicios 5G, para lo que deberán adoptar medidas para gestionar
estos riesgos conforme a lo previsto en este esquema.
2. Las medidas a las que se hace referencia en el apartado anterior se
fundamentarán en un enfoque holístico de los riesgos, la probabilidad de que produzcan
los incidentes y su gravedad, incluidas sus repercusiones sociales y económicas, e
incluirán, al menos, los siguientes elementos:
a) Las políticas de seguridad de cada elemento de la red y su correspondiente
análisis de riesgos.
b) El procedimiento de gestión en caso de incidentes.
c) El análisis de la continuidad de las actividades, la gestión de copias de seguridad
y la recuperación en caso de catástrofe, y la gestión de crisis.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Artículo 27.
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49774
cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que
induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido
eficacia.
6. Los suministradores 5G son los responsables de la definición y ejecución de las
medidas de mitigación de riesgos que lleven a cabo y del cumplimiento de las
obligaciones de información y remisión de documentación establecidos en este artículo.
Artículo 25.
Gestión de seguridad por los usuarios corporativos 5G.
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio
público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar
servicios 5G para fines profesionales o en autoprestación deberán garantizar la
instalación, despliegue y explotación seguros de redes privadas 5G y prestación segura
de servicios 5G en autoprestación mediante la aplicación de técnicas y procedimientos
de operación y supervisión que garanticen la seguridad de las redes y servicios 5G.
2. Los usuarios corporativos 5G mencionados deberán aportar al Ministerio para la
Transformación Digital y de la Función Pública una descripción de las medidas técnicas y
organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos, cuando sean
requeridos para ello.
Artículo 26.
Gestión de seguridad por las Administraciones públicas.
1. Las Administraciones públicas incluidas en el ámbito de aplicación de este
esquema deberán adoptar medidas técnicas y de organización adecuadas para
gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y
en la prestación de servicios 5G.
2. En particular, las administraciones públicas que quieran llevar a cabo la
instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la
prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por
razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por
suministradores de alto riesgo o riesgo medio.
3. Cada órgano o entidad de la Administración pública incluida en el ámbito de
aplicación de este esquema contará con una política de seguridad referida a los
sistemas, redes y servicios 5G, formalmente aprobada por el órgano competente. Esta
política de seguridad podrá determinar la inclusión de la totalidad o una parte de órganos
administrativos o entidades pertenecientes al sector público institucional en el ámbito de
aplicación de una sola política de seguridad.
Gestión de seguridad por los Centros de Operaciones de Seguridad 5G.
1. Los sujetos obligados podrán constituir Centros de Operaciones de
Seguridad 5G, que adoptarán medidas técnicas, operativas y de organización adecuadas
y proporcionadas para garantizar la preparación, la capacidad de respuesta y la
recuperación frente a incidentes, incluida la cooperación entre los sectores público y
privado, así como para gestionar los riesgos que se planteen para la seguridad de los
sistemas, redes y servicios 5G, para lo que deberán adoptar medidas para gestionar
estos riesgos conforme a lo previsto en este esquema.
2. Las medidas a las que se hace referencia en el apartado anterior se
fundamentarán en un enfoque holístico de los riesgos, la probabilidad de que produzcan
los incidentes y su gravedad, incluidas sus repercusiones sociales y económicas, e
incluirán, al menos, los siguientes elementos:
a) Las políticas de seguridad de cada elemento de la red y su correspondiente
análisis de riesgos.
b) El procedimiento de gestión en caso de incidentes.
c) El análisis de la continuidad de las actividades, la gestión de copias de seguridad
y la recuperación en caso de catástrofe, y la gestión de crisis.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Artículo 27.
