Articulo 15 Esquema Nacional de Seguridad de redes y servicios 5G

1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, podrá calificar que determinados suministradores 5G son de alto riesgo.

A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios como su exposición a injerencias externas.

2. En relación con el análisis de las medidas y las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios se valorarán aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación mediante esquemas de certificación, o la superación de pruebas o auditorías de seguridad realizadas por entidades independientes.

3. En relación con el análisis de las medidas estratégicas y exposición a injerencias externas, se valorarán los siguientes aspectos:

a) Los vínculos de los suministradores y de su cadena de suministro, con los gobiernos de terceros países.

b) La composición de su capital social y la estructura de sus órganos de gobierno.

c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

d) Las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas de ese tercer Estado.

e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado.

f) El grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra normativa aplicable en materia de seguridad de las redes y sistemas de información y de telecomunicaciones.

4. El procedimiento para la calificación de determinados suministradores 5G como de alto riesgo se iniciará de oficio mediante acuerdo adoptado por el Ministerio para la Transformación Digital y de la Función Pública.

En la tramitación del expediente se solicitará informe a la Comisión Nacional de los Mercados y la Competencia, al Ministerio del Interior, al Ministerio de Defensa, al Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, al Centro Nacional de Inteligencia del Ministerio de Defensa y al Instituto Nacional de Ciberseguridad de España.

En la propuesta de resolución, el Ministerio para la Transformación Digital y de la Función Pública concretará en relación con el suministrador 5G afectado las garantías técnicas de funcionamiento y operatividad de los equipos, productos y servicios suministrados así como su exposición a injerencias externas conforme a lo indicado en los apartados anteriores que justifican la decisión propuesta, así como las consecuencias que de dicha decisión se derivan y, en caso de que se declare suministrador de alto riesgo, el plazo en que los operadores 5G deberán llevar a cabo la sustitución de los equipos, productos y servicios proporcionados por dicho suministrador.

De la propuesta de resolución se dará audiencia a los operadores 5G y suministradores 5G afectados por un plazo de 15 días hábiles.

Una vez efectuados estos trámites, el Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional, adoptará una decisión en el plazo de seis meses a contar desde la incoación del procedimiento.

5. El acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo determinará el plazo en que los operadores 5G deberán llevar a cabo la sustitución de los equipos, productos y servicios proporcionados por dicho suministrador en la red y servicios del operador 5G, cuando ello fuera necesario, para lo cual deberá tener en cuenta las amenazas detectadas y los motivos que han justificado la declaración de un suministrador 5G como suministrador de alto riesgo, la situación del mercado de los suministradores, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G y en función de cuáles son en concreto los elementos críticos afectados, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, la migración de las redes 5G no autónomas a autónomas, así como su impacto económico.

En la determinación del plazo de sustitución, el acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo podrá establecer un plazo diferente para los distintos elementos críticos de la red pública 5G en función de las amenazas detectadas y los motivos que han justificado la declaración de un suministrador 5G como suministrador de alto riesgo, la criticidad de dicho elemento o parte de él, de su afectación al funcionamiento y operatividad de la red y de la disponibilidad de equipos en ese momento en el mercado de equipos de telecomunicación, si bien, en ningún caso, este plazo podrá ser inferior a un año para cualquier elemento crítico de la red pública 5G.

El acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo podrá determinar un plazo diferente para la sustitución de los equipos, productos y servicios para los distintos operadores 5G afectados en función de la repercusión que dicha sustitución tiene en la red de cada operador, de la afectación de la sustitución a los distintos elementos o partes de la red 5G, de la capacidad competitiva del operador, de los contratos de suministro de equipamiento suscritos y de la capacidad de suministro existente en el mercado de equipos de telecomunicación, si bien, en ningún caso, ese plazo podrá ser inferior a un año para cualquier elemento crítico de la red pública 5G.

6. El acuerdo del Consejo de Ministros por el que se califique que determinados suministradores 5G son de alto riesgo pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo.

7. Los suministradores de alto riesgo cuyos equipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única y exclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación son calificados como suministradores de riesgo medio.