I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49761
seguras de las redes y servicios 5G, considerando también las aportaciones de cada
agente de la cadena de valor de 5G.
4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G, el operador 5G deberá recabar de sus suministradores 5G las prácticas y
medidas de seguridad que hubieren adoptado en los productos y servicios
suministrados. Esta información deberá ser proporcionada por los suministradores 5G y
su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los
operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio para la
Transformación Digital y de la Función Pública y los demás organismos públicos
competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022, de 29 de
marzo y este esquema.
5. Los sujetos obligados podrán enviar al Centro de Operaciones de Seguridad 5G
de referencia a que se refiere el artículo 41 los datos requeridos para la detección del
estado de la ciberseguridad de las redes y servicios 5G en tiempo real.
6. El Ministerio para la Transformación Digital y de la Función Pública, directamente
o a través del Centro de Operaciones de Seguridad 5G de referencia a que se refiere el
artículo 41, podrá formular los requerimientos de información necesarios a los sujetos
obligados, que deberán ser respondidos en el plazo de 15 días hábiles a contar desde el
día siguiente al de su notificación, a efecto de poder ejercer las funciones que le asigna
el Real Decreto-ley 7/2022, de 29 de marzo.
Artículo 8.
Gestión de la seguridad basada en los riesgos.
1. El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad,
debiendo constituir una actividad continua y permanentemente actualizada.
2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado en la
red o servicio 5G, minimizando los riesgos a niveles aceptables. La reducción a estos
niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de
manera equilibrada y proporcionada a la naturaleza y características de la red, de los
servicios a prestar y de los riesgos a los que estén expuestos, que deberán reflejarse en
el análisis de riesgos.
1. La seguridad de los sistemas, redes y servicios 5G debe contemplar las acciones
relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus
vulnerabilidades y lograr que las amenazas no se materialicen o que, en el caso de
hacerlo, no afecten gravemente a los datos tratados, a la operatividad e integridad de las
redes 5G o a la prestación de un servicio 5G.
2. Las medidas de prevención, para ampliar el conocimiento de las
vulnerabilidades, que podrán incorporar componentes orientados a la disuasión o a la
reducción de la superficie de exposición, deben eliminar o reducir la probabilidad de que
las amenazas lleguen a materializarse.
3. Las medidas de detección irán dirigidas a descubrir la presencia de un
ciberincidente, una ciberamenaza o vulnerabilidad.
4. Las medidas de respuesta, orientadas a minimizar el impacto de los
ciberincidentes y, en su caso, aplicando medidas de bloqueo, así como posteriormente la
restauración del sistema, red o servicio 5G que pudiera haberse visto afectado por un
incidente de seguridad.
5. Sin merma de los restantes principios básicos y requisitos mínimos establecidos,
el sistema de información garantizará la conservación de los datos e información en
soporte electrónico.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Artículo 9. Prevención, detección, respuesta y conservación.
Núm. 106
Miércoles 1 de mayo de 2024
Sec. I. Pág. 49761
seguras de las redes y servicios 5G, considerando también las aportaciones de cada
agente de la cadena de valor de 5G.
4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y
servicios 5G, el operador 5G deberá recabar de sus suministradores 5G las prácticas y
medidas de seguridad que hubieren adoptado en los productos y servicios
suministrados. Esta información deberá ser proporcionada por los suministradores 5G y
su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los
operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio para la
Transformación Digital y de la Función Pública y los demás organismos públicos
competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022, de 29 de
marzo y este esquema.
5. Los sujetos obligados podrán enviar al Centro de Operaciones de Seguridad 5G
de referencia a que se refiere el artículo 41 los datos requeridos para la detección del
estado de la ciberseguridad de las redes y servicios 5G en tiempo real.
6. El Ministerio para la Transformación Digital y de la Función Pública, directamente
o a través del Centro de Operaciones de Seguridad 5G de referencia a que se refiere el
artículo 41, podrá formular los requerimientos de información necesarios a los sujetos
obligados, que deberán ser respondidos en el plazo de 15 días hábiles a contar desde el
día siguiente al de su notificación, a efecto de poder ejercer las funciones que le asigna
el Real Decreto-ley 7/2022, de 29 de marzo.
Artículo 8.
Gestión de la seguridad basada en los riesgos.
1. El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad,
debiendo constituir una actividad continua y permanentemente actualizada.
2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado en la
red o servicio 5G, minimizando los riesgos a niveles aceptables. La reducción a estos
niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de
manera equilibrada y proporcionada a la naturaleza y características de la red, de los
servicios a prestar y de los riesgos a los que estén expuestos, que deberán reflejarse en
el análisis de riesgos.
1. La seguridad de los sistemas, redes y servicios 5G debe contemplar las acciones
relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus
vulnerabilidades y lograr que las amenazas no se materialicen o que, en el caso de
hacerlo, no afecten gravemente a los datos tratados, a la operatividad e integridad de las
redes 5G o a la prestación de un servicio 5G.
2. Las medidas de prevención, para ampliar el conocimiento de las
vulnerabilidades, que podrán incorporar componentes orientados a la disuasión o a la
reducción de la superficie de exposición, deben eliminar o reducir la probabilidad de que
las amenazas lleguen a materializarse.
3. Las medidas de detección irán dirigidas a descubrir la presencia de un
ciberincidente, una ciberamenaza o vulnerabilidad.
4. Las medidas de respuesta, orientadas a minimizar el impacto de los
ciberincidentes y, en su caso, aplicando medidas de bloqueo, así como posteriormente la
restauración del sistema, red o servicio 5G que pudiera haberse visto afectado por un
incidente de seguridad.
5. Sin merma de los restantes principios básicos y requisitos mínimos establecidos,
el sistema de información garantizará la conservación de los datos e información en
soporte electrónico.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
Artículo 9. Prevención, detección, respuesta y conservación.
