Redes y servicios de comunicaciones electrónicas 5G

Equipos de telecomunicaciones.

REAL DECRETO POR EL QUE SE APRUEBA EL ESQUEMA NACIONAL DE SEGURIDAD DE REDES YSERVICIOS 5G

La norma consta de una parte expositiva, un artículo único por el que se aprueba el ENS5G, dosdisposiciones adicionales y cuatro disposiciones finales.

El ENS5G que se aprueba consta de treinta y tres artículos divididos en ocho capítulos y de tres anexos.
La exposición de motivos explica los motivos que impulsan la aprobación de la norma y los artículos del RealDecreto-ley que se desarrollan.
El artículo único aprueba el Esquema Nacional de Seguridad de las redes y servicios 5G.
La disposición adicional primera señala que el Gobierno, mediante real decreto, a propuesta del Ministerio deTransformación Digital, previo informe del Consejo de Seguridad Nacional, revisará el Esquema Nacional deSeguridad de redes y servicios 5G cuando las circunstancias lo aconsejen y, en todo caso, cada cuatro años.
La disposición adicional segunda señala que el Real Decreto-ley 7/2022, de 29 de marzo, y el ENS5G seránde aplicación a generaciones de comunicaciones electrónicas posteriores a la quinta generación mientras noexista norma específica para las mismas.
La disposición final primera sobre título competencial señala que el real decreto y el esquema que aprueba sedictan al amparo de lo previsto en el artículo 149.1.21ª y en el artículo 149.1.29ª de la Constitución, queatribuyen al Estado, respectivamente, competencia exclusiva en materia de régimen general detelecomunicaciones y en materia de seguridad pública.
La disposición final segunda declara de aplicación supletoria la Ley 11/2022, de 28 de junio, General deTelecomunicaciones, y su normativa de desarrollo y señala que en lo no regulado en dicha normativa, seráaplicación supletoria el Real decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemasde información y la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de lasinfraestructuras críticas, así como su respectiva normativa de desarrollo.
La disposición final tercera sobre desarrollo reglamentario habilita a la persona titular del Ministerio deTransformación Digital para desarrollar lo previsto en este real decreto y el esquema que aprueba y paramodificar mediante orden el contenido de los anexos en función de la evolución del avance tecnológico, de laaprobación de nuevos estándares técnicos y esquemas de certificación de equipos de telecomunicación yproductos conectados y del desarrollo de diferentes configuraciones y parámetros técnicos de redes yservicios 5G y de venideras generaciones de comunicaciones electrónicas.
La disposición final cuarta dispone que la norma entrará en vigor el día siguiente al de su publicación en el«Boletín Oficial del Estado».
En cuanto al contenido del ENS5G, que se aprueba:
El artículo 1 señala que la norma se dicta en desarrollo del Real Decreto-ley ley 7/2022, de 29 de marzo, enparticular, en aplicación de su capítulo IV.
El artículo 2 se refiere a los objetivos de la norma, ya analizados.
El artículo 3 señala que se utilizarán las definiciones establecidas en el Real Decreto-ley 7/2022, de 29 demarzo, en la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, y en el Código Europeo de lasComunicaciones Electrónicas.
El artículo 4 determina que la norma aplicará a operadores 5G, suministradores 5G y usuarios corporativos5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar oexplotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación.
El artículo 5 señala los elementos, infraestructuras y recursos mínimos que integran una red decomunicaciones electrónicas 5G, remitiendo su descripción detallada al Anexo I. Asimismo, establece cuálesson los elementos críticos de una red 5G, que deberán situarse, como norma general, en territorio nacional(recogiendo las posibles excepciones).
El artículo 6 se refiere al tratamiento integral de la seguridad conforme a la normativa internacionalcomunitaria y nacional aprobada o que pueda aprobarse, obligando a lo sujetos obligados a llevar a cabo,mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten comoagentes económicos y de los distintos componentes, así como una gestión adecuada e integral de dichos riesgos mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación oeliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G.
El artículo 7 destaca que el análisis y la gestión de los riesgos es parte esencial del proceso de seguridad,debiendo constituir una actividad continua y permanentemente actualizada
El artículo 8 se refiere a la vigilancia continua y a la reevaluación periódica.
El artículo 9 señala que el análisis de riesgos a nivel nacional es el que figura en el anexo II y que se harealizado teniendo en cuenta diversos elementos como la información recabada de los sujetos obligados, elexamen de las vulnerabilidades ligadas a la cadena de suministro de las redes y servicios 5G, la evaluacióndel grado de dependencia de los suministradores, el riesgo de interrupción del suministro por circunstanciaseconómicas, societarias o comerciales que afecten a los suministradores o la evaluación de la eficacia de lasmedidas de seguridad aplicadas.
El artículo 10, sobre gestión de riesgos a nivel nacional, señala que los criterios, requisitos, condiciones yplazos para que los sujetos obligados puedan diseñar e implementar técnicas y medidas de mitigación deriesgos son los que figuran en el anexo III.
El artículo 11 desarrolla lo establecido en el artículo 14 del Real Decreto-ley 7/2022, de 29 de marzo, enrelación con el procedimiento y los aspectos a valorar por el Consejo de Ministros para la calificación desuministradores como de alto riesgo y los elementos a tener en cuenta a la hora de ordenar la posiblesustitución de los equipos, productos y servicios proporcionados por dichos suministradores. Asimismo,conforme a lo dispuesto en el citado Real Decreto-ley se señala que los suministradores de alto riesgo cuyosequipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única yexclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación soncalificados como suministradores de riesgo medio.
El artículo 12 sobre determinación de ubicaciones en las que no se podrá instalar equipos de suministradorescalificados de alto riesgo señala que el Consejo de Seguridad Nacional, previo informe del Ministerio deTransformación Digital, podrá determinar las ubicaciones, áreas y centros en las que no se podrá instalarequipos de suministradores calificados de alto riesgo. Para la instalación, modificación o adaptación deestaciones radioeléctricas que proporcionen cobertura a estas ubicaciones, áreas y centros, los operadores5G deberán solicitar autorización al Ministerio de Transformación Digital.
El artículo 13 obliga a los operadores 5G a diseñar una estrategia de diversificación en la cadena desuministro y a contar en la red de acceso, con equipos de transmisión que sean proporcionados, comomínimo, por dos suministradores diferentes. Se proporcionan, asimismo, criterios a tener en cuenta por elConsejo de Ministros, para decidir si resulta posible mantener un suministrador único si como consecuenciade operaciones de concentración empresarial se redujera el número de suministradores. Asimismo, seseñalan los supuestos y el procedimiento mediante el que el que el Ministerio de Transformación Digital,puede modificar la estrategia de diversificación en la cadena de suministro de un operador 5G.
El artículo 14 se centra en el análisis de riesgos que han de llevar a cabo los operadores 5G en relación contodos los elementos, infraestructuras y recursos de la red que figuran en el Anexo I, se listan los factores quehan de tenerse en cuenta, se obliga a los operadores a recabar de sus suministradores las prácticas ymedidas de seguridad adoptadas en los productos y servicios que les han suministrado y a incluir unapriorización y jerarquía de los riesgos en función de determinados parámetros que también se listan. Antes deldía 1 de octubre de 2024 los operadores 5G han de presentar un análisis de riesgos, y, a continuación, cadados años.
El artículo 15 sobre análisis de riesgos por los suministradores 5G obliga a analizar los riesgos de los equiposde telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento uoperación de redes 5G o en la prestación de servicios 5G, y a aportar dicho análisis al Ministerio cuando asíse requiera. En el caso de suministradores calificados como de alto riesgo o de riesgo medio, el análisis de seremitirá en el plazo de seis meses a contar desde dicha calificación y posteriormente cada dos años.
El artículo 16 sobre análisis de riesgos por los usuarios corporativos 5G obliga a aportar este análisis deriesgos al Ministerio Transformación Digital, cuando dichos usuarios sean requeridos para ello.
El artículo 17 permite al Ministerio de Transformación Digital recabar de los sujetos obligados la informaciónnecesaria para el análisis de riesgo y califica como infracción grave la no aportación de dicha información enun plazo de 15 días hábiles. La información tiene la consideración de confidencial y no podrá ser utilizadapara una finalidad distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real decreto-ley7/2022, de 29 de marzo, en el ENS5G y en los actos que se dicten en ejecución de ambas disposiciones.
El artículo 18 proclama el deber general de todos los sujetos obligados de gestionar los riesgos de seguridad.
El artículo 19 se centra en la gestión de seguridad por los operadores 5G, listando obligaciones para todos losoperadores (como las de adoptar planes y medidas de contingencia, cumplir las normas o especificacionestécnicas y esquemas europeos de certificación, someterse, a su costa, a una auditoría de seguridad o exigir asus suministradores el cumplimiento de estándares de seguridad) y otras adicionales para aquellosoperadores que sean titulares o exploten elementos críticos de una red pública 5G (como las prohibiciones deutilización de equipamiento de suministradores de alto riesgo en los elementos críticos de red o endeterminadas ubicaciones, áreas y centros). Los operadores 5G deben remitir al Ministerio de TransformaciónDigital una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigarlos riesgos antes del día 1 de octubre de 2024 y, a continuación, cada dos años. Además, los operadores 5Gque sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio deTransformación Digital una estrategia de diversificación en la cadena de suministro antes del día 1 de octubrede 2024 y después cada vez que ésta sea objeto de modificación. Antes del día 1 de octubre de cada añodeberán remitir información sobre el estado de ejecución de dicha estrategia.
El artículo 20 sobre gestión de seguridad por los suministradores 5G, recoge un listado de obligaciones entrelas que se encuentran el efectuar una auditoría de seguridad de sus equipos, productos y servicios,proporcionar información sobre posibles injerencias de terceros en el diseño, operación y funcionamiento desus equipos, productos y servicios o colaborar con los operadores 5G y usuarios corporativos 5Gproporcionando información y acreditando el cumplimiento de estándares y certificaciones. Lossuministradores 5G deben elaborar un informe de las medidas técnicas y organizativas diseñadas y aplicadaspara gestionar y mitigar los riesgos y aportar dicho informe al Ministerio cuando así se requiera. En el caso desuministradores calificados como de alto riesgo o de riesgo medio, el informe se remitirá en el plazo de seismeses a contar desde dicha calificación y posteriormente cada dos años.
El artículo 21, sobre gestión de seguridad por usuarios corporativos 5G, señala que éstos no podrán utilizar enlos elementos críticos de red equipos de telecomunicación sistemas de transmisión, equipos de conmutacióno encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o serviciosauxiliares de suministradores que hayan sido calificados de riesgo medio y que deberán aportar al Ministeriode Transformación Digital, cuando sean requeridos para ello, una descripción de las medidas técnicas yorganizativas diseñadas y aplicadas para gestionar y mitigar los riesgos.
El artículo 22, sobre gestión de seguridad por las Administraciones públicas, señala que, por razones deseguridad nacional, en la instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o laprestación de servicios 5G, disponibles al público o en autoprestación, las AP no podrán, utilizar equipos,productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.
El artículo 23 señala que, en el cumplimiento de las obligaciones establecidas en los artículos anteriores, lossujetos obligados tendrán en cuenta y aplicarán lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo,en el ENS5G y en los actos que se dicten en ejecución de ambas disposiciones.
El artículo 24 permite al Ministerio de Transformación Digital recabar de los sujetos obligados la informaciónnecesaria para la gestión de riesgos y califica como infracción grave la no aportación de dicha información enun plazo de 15 días hábiles. La información tiene la consideración de confidencial y no podrá ser utilizadapara una finalidad distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real decreto-ley7/2022, de 29 de marzo, en el ENS5G y en los actos que se dicten en ejecución de ambas disposiciones.
El artículo 25 señala que todos los sujetos obligados, así como las Administraciones públicas, los fabricantes,importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos terminales ydispositivos para conectarse a una red 5G y poder prestar servicios 5G deberán prestar la colaboración yremitir la información que les sea requerida para la modificación y ejecución del ENS5G.
El artículo 26 señala que mediante orden de la persona titular del Ministerio de Transformación Digital sepodrá supeditar la utilización de un equipo, sistema, programa o servicio en concreto por los sujetos obligadosa la previa obtención de una certificación establecida en virtud del Reglamento (UE) 2019/881, del Parlamentoeuropeo y del Consejo, de 17 de abril de 2019, sobre la ciberseguridad, o de los esquemas de certificación ynormas técnicas de certificación de equipos y productos 5G que a nivel europeo o internacional puedanaprobarse.
El artículo 27 señala que la norma se aplica sin perjuicio de la normativa sobre inversiones extranjeras y sobrecompetencia.
El artículo 28 sobre equipos terminales dispone que la fabricación, importación, distribución, puesta en elmercado y comercialización de equipos terminales y dispositivos para conectarse a una red 5G y poderprestar servicios 5G, estará condicionado al cumplimiento de los requisitos de seguridad para los productos digitales y de los requisitos esenciales aplicables relacionados con la ciberseguridad, adoptados conforme a lanormativa europea, en particular, en relación con la protección de los datos personales, la privacidad, y laprotección contra el fraude.
El artículo 29 se refiere a la cooperación internacional a desarrollar por el Ministerio de Transformación Digital,en especial en el ámbito de la Unión europea
El artículo 30 se refiere a la competencia del Ministerio de Transformación Digital para la aplicación delENS5G, debiendo coordinarse con los demás órganos competentes en materia de ciberseguridad einfraestructuras críticas para garantizar una aplicación coherente del ENS5G.
El artículo 31 desglosa las facultades para la aplicación del ENS5G que corresponden al Ministerio deTransformación Digital, entre las que se encuentran, por ejemplo, el desarrollo, concreción y detalle delcontenido del ENS5G, la realización de auditorías para verificar y controlar el cumplimiento de lasobligaciones impuestas o la concesión de ayudas públicas.
El artículo 32 atribuye Ministerio de Transformación Digital todas las potestades de la función inspectora.
El artículo 33 relativo al régimen sancionador remite a lo dispuesto en los artículos 30 y 31 del Real Decreto-ley 7/2022, de 29 de marzo.
El Anexo I describe los elementos, infraestructuras y recursos que integran una red 5G.
El Anexo II contiene el análisis de riesgos a nivel nacional.
El Anexo III recoge la gestión de riesgos a nivel nacional.