I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49760
2. Los elementos críticos de una red 5G pública deberán ubicarse dentro del
territorio nacional, de acuerdo con el artículo 12.3, apartado e), del Real Decretoley 7/2022, de 29 de marzo.
3. No obstante, determinados elementos, funciones y sistemas tanto del núcleo de
la red como de los sistemas de control y gestión y los servicios de apoyo podrán
ubicarse fuera del territorio nacional, siempre y cuando el Ministerio para la
Transformación Digital y de la Función Pública pueda ejercer las facultades que le
atribuye el Real Decreto-ley 7/2022, de 29 de marzo, en particular, las facultades de
inspección y régimen sancionador previstas en su capítulo V, de manera que pueda
efectuar una verificación integral sobre el funcionamiento, operatividad y condiciones de
uso de dichos elementos críticos de una red 5G y, en su caso, poder adoptar medidas,
cautelares o definitivas, sobre dichos elementos, funciones y sistemas o el equipamiento
utilizado en el ejercicio de las potestades que al Ministerio para la Transformación Digital
y de la Función Pública le atribuye el Real Decreto-ley 7/2022, de 29 de marzo y la
Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
4. En el caso de que el Consejo de Ministros, previo informe del Ministerio para la
Transformación Digital y de la Función Pública, llegue a la conclusión de que los
elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de
control y gestión y los servicios de apoyo que estén ubicados fuera del territorio nacional
afecten a la seguridad o integridad de la red 5G teniendo en cuenta el análisis de las
medidas técnicas o las medidas estratégicas relacionadas en los artículos 15.2 y 15.3,
respectivamente, o condiciona sensiblemente el ejercicio de sus facultades de
supervisión y potestades de inspección, podrá requerir al titular de la red 5G que dichos
elementos, funciones y sistemas se ubiquen en territorio nacional. A tal efecto, la
reubicación de los elementos, funciones y sistemas deberá producirse en el plazo que
indique el Consejo de Ministros en su acuerdo, a propuesta del Ministerio para la
Transformación Digital y de la Función Pública, previa audiencia del titular de la red 5G,
si bien este plazo no podrá ser inferior a un año.
Artículo 7. Tratamiento integral de la seguridad.
1. La seguridad se entiende como un proceso integral constituido por todos los
elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con las
redes o servicios 5G de los sujetos obligados afectados por el ámbito de aplicación y
debe incorporarse desde el diseño e implementación de las redes 5G. El ENS5G tiene la
vocación de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G.
2. A tal efecto, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras
actualizaciones o modificaciones la normativa, las recomendaciones y los estándares
técnicos de la Unión Europea, de la Unión Internacional de Telecomunicaciones (UIT) y
de otras organizaciones internacionales.
Asimismo, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras
actualizaciones o modificaciones las aportaciones, análisis de riesgos, planes de
mitigación de riesgos y estrategias de diversificación de la cadena de suministro que se
han ido proporcionando y que deberán proporcionar por los sujetos obligados en
cumplimiento de las obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de
marzo, en este esquema y en el resto de normativa.
3. En este contexto de seguridad integral, los sujetos obligados deberán llevar a
cabo un tratamiento integral y global de la seguridad de las redes, elementos,
infraestructuras, recursos, facilidades y servicios de los que sean responsables, para lo
cual deberán realizar, mediante un método holístico, un análisis de las vulnerabilidades,
amenazas y riesgos que les afecten como agentes económicos y de los componentes
anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos
mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su
mitigación o eliminación y alcanzar el objetivo final de una explotación y operación
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49760
2. Los elementos críticos de una red 5G pública deberán ubicarse dentro del
territorio nacional, de acuerdo con el artículo 12.3, apartado e), del Real Decretoley 7/2022, de 29 de marzo.
3. No obstante, determinados elementos, funciones y sistemas tanto del núcleo de
la red como de los sistemas de control y gestión y los servicios de apoyo podrán
ubicarse fuera del territorio nacional, siempre y cuando el Ministerio para la
Transformación Digital y de la Función Pública pueda ejercer las facultades que le
atribuye el Real Decreto-ley 7/2022, de 29 de marzo, en particular, las facultades de
inspección y régimen sancionador previstas en su capítulo V, de manera que pueda
efectuar una verificación integral sobre el funcionamiento, operatividad y condiciones de
uso de dichos elementos críticos de una red 5G y, en su caso, poder adoptar medidas,
cautelares o definitivas, sobre dichos elementos, funciones y sistemas o el equipamiento
utilizado en el ejercicio de las potestades que al Ministerio para la Transformación Digital
y de la Función Pública le atribuye el Real Decreto-ley 7/2022, de 29 de marzo y la
Ley 11/2022, de 28 de junio, General de Telecomunicaciones.
4. En el caso de que el Consejo de Ministros, previo informe del Ministerio para la
Transformación Digital y de la Función Pública, llegue a la conclusión de que los
elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de
control y gestión y los servicios de apoyo que estén ubicados fuera del territorio nacional
afecten a la seguridad o integridad de la red 5G teniendo en cuenta el análisis de las
medidas técnicas o las medidas estratégicas relacionadas en los artículos 15.2 y 15.3,
respectivamente, o condiciona sensiblemente el ejercicio de sus facultades de
supervisión y potestades de inspección, podrá requerir al titular de la red 5G que dichos
elementos, funciones y sistemas se ubiquen en territorio nacional. A tal efecto, la
reubicación de los elementos, funciones y sistemas deberá producirse en el plazo que
indique el Consejo de Ministros en su acuerdo, a propuesta del Ministerio para la
Transformación Digital y de la Función Pública, previa audiencia del titular de la red 5G,
si bien este plazo no podrá ser inferior a un año.
Artículo 7. Tratamiento integral de la seguridad.
1. La seguridad se entiende como un proceso integral constituido por todos los
elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con las
redes o servicios 5G de los sujetos obligados afectados por el ámbito de aplicación y
debe incorporarse desde el diseño e implementación de las redes 5G. El ENS5G tiene la
vocación de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G.
2. A tal efecto, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras
actualizaciones o modificaciones la normativa, las recomendaciones y los estándares
técnicos de la Unión Europea, de la Unión Internacional de Telecomunicaciones (UIT) y
de otras organizaciones internacionales.
Asimismo, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras
actualizaciones o modificaciones las aportaciones, análisis de riesgos, planes de
mitigación de riesgos y estrategias de diversificación de la cadena de suministro que se
han ido proporcionando y que deberán proporcionar por los sujetos obligados en
cumplimiento de las obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de
marzo, en este esquema y en el resto de normativa.
3. En este contexto de seguridad integral, los sujetos obligados deberán llevar a
cabo un tratamiento integral y global de la seguridad de las redes, elementos,
infraestructuras, recursos, facilidades y servicios de los que sean responsables, para lo
cual deberán realizar, mediante un método holístico, un análisis de las vulnerabilidades,
amenazas y riesgos que les afecten como agentes económicos y de los componentes
anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos
mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su
mitigación o eliminación y alcanzar el objetivo final de una explotación y operación
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Núm. 106
