I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49775
d) La seguridad de la cadena de suministro, incluidos los aspectos de seguridad
relativos a las relaciones entre cada sujeto obligado y sus proveedores o prestadores de
servicios directos.
e) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas,
redes y servicios 5G, incluida la gestión y divulgación de las vulnerabilidades.
f) Las políticas y los procedimientos para evaluar la eficacia de las medidas para la
gestión de riesgos de ciberseguridad.
g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad.
h) Las políticas y procedimientos relativos a la utilización de criptografía y, en su
caso, de cifrado.
i) La seguridad de los recursos humanos, las políticas de control de acceso y la
gestión de activos.
j) El uso de soluciones de autenticación multifactorial o de autenticación continua,
comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de
emergencia en la entidad, cuando proceda.
k) La monitorización o detección de la ciberseguridad en las redes y servicios 5G y
entre sus componentes o su relación con otras redes.
3. Los sujetos obligados y los Centros de Operaciones de Seguridad 5G creados
deberán colaborar y cooperar con el Centro de Operaciones de Seguridad 5G de
referencia a que se refiere el artículo 41 en el desarrollo de sus funciones, a través de,
entre otras, de las siguientes actuaciones:
a) Establecer mecanismos seguros de intercambio de información.
b) Llevar a cabo reuniones periódicas para tratar, entre otros asuntos, el estado de
situación de la ciberseguridad 5G y estudiar posibles mejoras.
c) Designar una persona que ejercerá como punto de contacto con los
responsables de la seguridad de la información nombrados por los sujetos obligados del
sector de las telecomunicaciones en virtud del artículo 7 del RD 43/2021, por el que
desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información.
Artículo 28. Prestación de servicios de respuesta a incidentes de seguridad.
1. La notificación de incidentes será llevada a cabo según los términos establecidos
en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se
desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información, o en base a la normativa que pudiera remplazar a esta
regulación fruto de la transposición de la Directiva (UE) 2022/2555 del Parlamento
Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a
garantizar un elevado nivel común de ciberseguridad en toda la Unión.
2. El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, prestará
los servicios de respuesta a incidentes de seguridad que se produzcan en los sistemas,
redes y servicios 5G de los sujetos obligados que no sean entidades del Sector Público
y, en consecuencia, no estén incluidos en el ámbito subjetivo de aplicación de la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
A tal efecto, en el ejercicio de este cometido, INCIBE-CERT ejercerá las funciones e
implementará los procedimientos oportunos en los términos indicados en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en
el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
3. El CCN-CERT prestará los servicios de respuesta a incidentes de seguridad que se
produzcan en los sistemas, redes y servicios 5G de los sujetos obligados que sean
entidades del Sector Público y, en consecuencia, estén incluidos en el ámbito subjetivo de
aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49775
d) La seguridad de la cadena de suministro, incluidos los aspectos de seguridad
relativos a las relaciones entre cada sujeto obligado y sus proveedores o prestadores de
servicios directos.
e) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas,
redes y servicios 5G, incluida la gestión y divulgación de las vulnerabilidades.
f) Las políticas y los procedimientos para evaluar la eficacia de las medidas para la
gestión de riesgos de ciberseguridad.
g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad.
h) Las políticas y procedimientos relativos a la utilización de criptografía y, en su
caso, de cifrado.
i) La seguridad de los recursos humanos, las políticas de control de acceso y la
gestión de activos.
j) El uso de soluciones de autenticación multifactorial o de autenticación continua,
comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de
emergencia en la entidad, cuando proceda.
k) La monitorización o detección de la ciberseguridad en las redes y servicios 5G y
entre sus componentes o su relación con otras redes.
3. Los sujetos obligados y los Centros de Operaciones de Seguridad 5G creados
deberán colaborar y cooperar con el Centro de Operaciones de Seguridad 5G de
referencia a que se refiere el artículo 41 en el desarrollo de sus funciones, a través de,
entre otras, de las siguientes actuaciones:
a) Establecer mecanismos seguros de intercambio de información.
b) Llevar a cabo reuniones periódicas para tratar, entre otros asuntos, el estado de
situación de la ciberseguridad 5G y estudiar posibles mejoras.
c) Designar una persona que ejercerá como punto de contacto con los
responsables de la seguridad de la información nombrados por los sujetos obligados del
sector de las telecomunicaciones en virtud del artículo 7 del RD 43/2021, por el que
desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información.
Artículo 28. Prestación de servicios de respuesta a incidentes de seguridad.
1. La notificación de incidentes será llevada a cabo según los términos establecidos
en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se
desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y
sistemas de información, o en base a la normativa que pudiera remplazar a esta
regulación fruto de la transposición de la Directiva (UE) 2022/2555 del Parlamento
Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a
garantizar un elevado nivel común de ciberseguridad en toda la Unión.
2. El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, prestará
los servicios de respuesta a incidentes de seguridad que se produzcan en los sistemas,
redes y servicios 5G de los sujetos obligados que no sean entidades del Sector Público
y, en consecuencia, no estén incluidos en el ámbito subjetivo de aplicación de la
Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
A tal efecto, en el ejercicio de este cometido, INCIBE-CERT ejercerá las funciones e
implementará los procedimientos oportunos en los términos indicados en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en
el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.
3. El CCN-CERT prestará los servicios de respuesta a incidentes de seguridad que se
produzcan en los sistemas, redes y servicios 5G de los sujetos obligados que sean
entidades del Sector Público y, en consecuencia, estén incluidos en el ámbito subjetivo de
aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
