I. Disposiciones generales. MINISTERIO PARA LA TRANSFORMACIÓN DIGITAL Y DE LA FUNCIÓN PÚBLICA. Esquema Nacional de Seguridad. (BOE-A-2024-8715)
Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.
48 páginas totales
Página
BOLETÍN OFICIAL DEL ESTADO
Núm. 106
Miércoles 1 de mayo de 2024
Artículo 10.
Sec. I. Pág. 49762
Existencia de líneas de defensa.
1. Las redes, elementos, infraestructuras, recursos, facilidades y servicios 5G han
de disponer de una estrategia de protección y diversificación adecuada y proporcionada
a los riesgos de cada elemento y capa de servicios 5G, de tal forma que, cuando uno de
ellos se pueda ver comprometida, dicha estrategia permita:
a) Una reacción adecuada frente a los incidentes que no han podido evitarse,
reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.
b) Minimizar el impacto final del incidente.
2. La estrategia de protección y las líneas de defensa estarán constituidas por
medidas de naturaleza organizativa, física y lógica. Se determinarán en las
correspondientes instrucciones técnicas de seguridad.
Artículo 11. Vigilancia continua y reevaluación periódica.
1. La vigilancia continua permitirá la detección de actividades o comportamientos
anómalos y su oportuna respuesta.
2. La evaluación permanente del estado de la seguridad de las redes y servicios 5G
permitirán medir su evolución, detectando vulnerabilidades e identificando deficiencias
de configuración.
3. Las medidas de seguridad se reevaluarán y actualizarán periódicamente,
adecuando su eficacia a la evolución de los riesgos y los sistemas de protección,
pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
Artículo 12.
Sistemas, redes y servicios 5G que traten datos personales.
Cuando un sistema, red o servicio 5G trate datos personales le será de aplicación lo
dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo que respecto al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales, o en su caso, el resto de normativa de aplicación, así como los
criterios que se establezcan por la Agencia Española de Protección de Datos o en su
ámbito competencial, por las autoridades autonómicas de protección de datos, sin
perjuicio de los requisitos establecidos en el presente real decreto.
CAPÍTULO II
Análisis y gestión de riesgos a nivel nacional
Artículo 13. Análisis de riesgos a nivel nacional.
a) El análisis general de los riesgos de las redes y servicios 5G, tomando en
consideración la información recabada de los sujetos obligados.
b) El examen de las vulnerabilidades ligadas a la cadena de suministro de las redes
y servicios 5G.
c) La evaluación del grado de dependencia de los suministradores del conjunto de
las redes y servicios 5G en España teniendo en cuenta los análisis de riesgos y las
estrategias de diversificación de suministradores remitidos por los operadores 5G, así
como el riesgo de interrupción del suministro por circunstancias económicas, societarias
o comerciales que afecten a los suministradores.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. El análisis de riesgos a nivel nacional que se ha realizado en el marco del
ENS5G es el que figura en el anexo II de este real decreto.
2. En la realización de este análisis, se ha tenido en cuenta:
Núm. 106
Miércoles 1 de mayo de 2024
Artículo 10.
Sec. I. Pág. 49762
Existencia de líneas de defensa.
1. Las redes, elementos, infraestructuras, recursos, facilidades y servicios 5G han
de disponer de una estrategia de protección y diversificación adecuada y proporcionada
a los riesgos de cada elemento y capa de servicios 5G, de tal forma que, cuando uno de
ellos se pueda ver comprometida, dicha estrategia permita:
a) Una reacción adecuada frente a los incidentes que no han podido evitarse,
reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.
b) Minimizar el impacto final del incidente.
2. La estrategia de protección y las líneas de defensa estarán constituidas por
medidas de naturaleza organizativa, física y lógica. Se determinarán en las
correspondientes instrucciones técnicas de seguridad.
Artículo 11. Vigilancia continua y reevaluación periódica.
1. La vigilancia continua permitirá la detección de actividades o comportamientos
anómalos y su oportuna respuesta.
2. La evaluación permanente del estado de la seguridad de las redes y servicios 5G
permitirán medir su evolución, detectando vulnerabilidades e identificando deficiencias
de configuración.
3. Las medidas de seguridad se reevaluarán y actualizarán periódicamente,
adecuando su eficacia a la evolución de los riesgos y los sistemas de protección,
pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.
Artículo 12.
Sistemas, redes y servicios 5G que traten datos personales.
Cuando un sistema, red o servicio 5G trate datos personales le será de aplicación lo
dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27
de abril de 2016, relativo a la protección de las personas físicas en lo que respecto al
tratamiento de datos personales y a la libre circulación de estos datos y por el que se
deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales, o en su caso, el resto de normativa de aplicación, así como los
criterios que se establezcan por la Agencia Española de Protección de Datos o en su
ámbito competencial, por las autoridades autonómicas de protección de datos, sin
perjuicio de los requisitos establecidos en el presente real decreto.
CAPÍTULO II
Análisis y gestión de riesgos a nivel nacional
Artículo 13. Análisis de riesgos a nivel nacional.
a) El análisis general de los riesgos de las redes y servicios 5G, tomando en
consideración la información recabada de los sujetos obligados.
b) El examen de las vulnerabilidades ligadas a la cadena de suministro de las redes
y servicios 5G.
c) La evaluación del grado de dependencia de los suministradores del conjunto de
las redes y servicios 5G en España teniendo en cuenta los análisis de riesgos y las
estrategias de diversificación de suministradores remitidos por los operadores 5G, así
como el riesgo de interrupción del suministro por circunstancias económicas, societarias
o comerciales que afecten a los suministradores.
cve: BOE-A-2024-8715
Verificable en https://www.boe.es
1. El análisis de riesgos a nivel nacional que se ha realizado en el marco del
ENS5G es el que figura en el anexo II de este real decreto.
2. En la realización de este análisis, se ha tenido en cuenta:
