I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49776
A tal efecto, en el ejercicio de este cometido, CCN-CERT ejercerá las funciones e
implementará los procedimientos oportunos en los términos indicados en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información.
4. El ESPDEF-CERT, del Mando Conjunto del Ciberespacio, cooperará con el CCNCERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los
operadores 5G y, necesariamente, en aquellos operadores que tengan incidencia en la
Defensa Nacional.
5. La cooperación y coordinación oportunas entre INCIBE-CERT, CCN-CERT y
ESPDEF-CERT se llevará a cabo conforme a lo indicado en el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real
Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información.
6. Mediante orden del Ministerio para la Transformación Digital y de la Función
Pública se establecen la tipología de incidentes y los protocolos de actuación y
comunicación para que el Ministerio para la Transformación Digital y de la Función
Pública, a través del Centro de Operaciones de Seguridad 5G de referencia, conozca de
los incidentes de seguridad que se produzcan en los sistemas, redes y servicios 5G de
los sujetos obligados.
Artículo 29. Condiciones de cumplimiento de las obligaciones.
En el cumplimiento de las obligaciones establecidas en los artículos anteriores, los
sujetos obligados tendrán en cuenta y aplicarán lo establecido en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
Artículo 30. Confidencialidad de la información sobre gestión de riesgos.
1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar
de los sujetos obligados la información necesaria para la gestión de riesgos.
2. Los sujetos obligados deben proporcionar la información en el plazo de quince días
hábiles a contar desde el día siguiente al de la notificación del requerimiento de información.
3. El incumplimiento de los requerimientos de información formulados conforme a lo
indicado en el apartado anterior, cuando haya pasado un mes desde la finalización del
plazo dado para su cumplimiento, es calificado como infracción grave.
4. Se garantizará la confidencialidad de la información que los sujetos obligados
proporcionen sobre el análisis de riesgos y que no podrá ser utilizada para una finalidad
distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
CAPÍTULO VI
Otras medidas de cumplimiento en materia de la seguridad de las redes
y servicios 5G
Artículo 31. Deber de colaboración en la modificación y ejecución del ENS5G.
Todos los sujetos obligados, así como las Administraciones públicas, los fabricantes,
importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos
terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G,
deberán prestar la colaboración y remitir la información que le sea requerida para la
modificación y ejecución del ENS5G.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49776
A tal efecto, en el ejercicio de este cometido, CCN-CERT ejercerá las funciones e
implementará los procedimientos oportunos en los términos indicados en el Real Decretoley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el
Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información.
4. El ESPDEF-CERT, del Mando Conjunto del Ciberespacio, cooperará con el CCNCERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los
operadores 5G y, necesariamente, en aquellos operadores que tengan incidencia en la
Defensa Nacional.
5. La cooperación y coordinación oportunas entre INCIBE-CERT, CCN-CERT y
ESPDEF-CERT se llevará a cabo conforme a lo indicado en el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real
Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018,
de 7 de septiembre, de seguridad de las redes y sistemas de información.
6. Mediante orden del Ministerio para la Transformación Digital y de la Función
Pública se establecen la tipología de incidentes y los protocolos de actuación y
comunicación para que el Ministerio para la Transformación Digital y de la Función
Pública, a través del Centro de Operaciones de Seguridad 5G de referencia, conozca de
los incidentes de seguridad que se produzcan en los sistemas, redes y servicios 5G de
los sujetos obligados.
Artículo 29. Condiciones de cumplimiento de las obligaciones.
En el cumplimiento de las obligaciones establecidas en los artículos anteriores, los
sujetos obligados tendrán en cuenta y aplicarán lo establecido en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
Artículo 30. Confidencialidad de la información sobre gestión de riesgos.
1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar
de los sujetos obligados la información necesaria para la gestión de riesgos.
2. Los sujetos obligados deben proporcionar la información en el plazo de quince días
hábiles a contar desde el día siguiente al de la notificación del requerimiento de información.
3. El incumplimiento de los requerimientos de información formulados conforme a lo
indicado en el apartado anterior, cuando haya pasado un mes desde la finalización del
plazo dado para su cumplimiento, es calificado como infracción grave.
4. Se garantizará la confidencialidad de la información que los sujetos obligados
proporcionen sobre el análisis de riesgos y que no podrá ser utilizada para una finalidad
distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real Decretoley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución
de ambas disposiciones.
CAPÍTULO VI
Otras medidas de cumplimiento en materia de la seguridad de las redes
y servicios 5G
Artículo 31. Deber de colaboración en la modificación y ejecución del ENS5G.
Todos los sujetos obligados, así como las Administraciones públicas, los fabricantes,
importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos
terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G,
deberán prestar la colaboración y remitir la información que le sea requerida para la
modificación y ejecución del ENS5G.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
