Articulo 18 Esquema Nacional de Seguridad de redes y servicios 5G

1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten, tanto como agente económico, como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G.

2. Los operadores 5G que sean titulares o gestionen elementos de red de una red pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e individualizado de las amenazas y vulnerabilidades que afecten a los elementos, infraestructuras y recursos que integran una red 5G y que figuran en el anexo I, siguiendo la metodología descrita en el anexo II, apartado 1.

3. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta, al menos, los siguientes factores:

a) Parametrización y configuración de elementos y funciones de red, incluidos los equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.

b) Políticas de integridad y actualización de los programas informáticos para garantizar la seguridad y funcionalidad de la red en todo momento.

c) Estrategias de permisos de acceso a activos físicos y lógicos, garantizando que sólo el personal autorizado pueda acceder a recursos críticos.

d) Evaluación de las dependencias de determinados proveedores en elementos críticos de la red 5G, identificando riesgos potenciales asociados con la cadena de suministro.

e) Identificación y evaluación de amenazas potenciales de agentes externos, incluyendo grupos organizados con capacidad para atacar la red.

f) Consideración de los equipos terminales y dispositivos conectados a la red, y su impacto en la seguridad global de la red.

g) Análisis de la interacción y el impacto de la red 5G sobre elementos de usuarios corporativos y redes externas conectadas.

h) Comprensión de la interrelación de la red 5G con otros servicios esenciales para la sociedad, evaluando cómo posibles interrupciones del servicio o compromisos de seguridad pueden afectar a estos servicios esenciales.

i) Priorización y jerarquización de riesgos basados en la afectación a elementos críticos de la red, el tipo de recurso, infraestructura y servicio afectado, la integridad y mantenimiento técnico de la red, la capacidad de detección y recuperación, el número y tipo de usuarios afectados, y el tipo de información comprometida.

j) Implementación de estrategias de resiliencia y recuperación ante desastres, para asegurar la continuidad del servicio frente a ataques cibernéticos, incidencias técnicas o desastres naturales, incluyendo la redundancia de sistemas críticos.

k) Realización de análisis de vulnerabilidades de manera regular, para identificar proactivamente vulnerabilidades de seguridad y resolverlas para mitigar posibles amenazas antes de que puedan ser explotadas.

4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G, el suministrador deberá proporcionar a los operadores 5G a los que suministre las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que han suministrado, teniendo en cuenta los factores de riesgo indicados en este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser recibida por los operadores 5G y su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio para la Transformación Digital y de la Función Pública y los demás organismos públicos competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022, de 29 de marzo y en este esquema a los exclusivos fines de los mismos.

5. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía de los riesgos en función de los siguientes parámetros:

a) Afectación a un elemento crítico de la red pública 5G.

b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.

c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad del servicio.

d) Capacidad de detección y recuperación.

e) Número y tipo de usuarios afectados.

f) Tipo de información cuya integridad haya podido verse comprometida.

6. Un nuevo análisis de riesgos por el operador 5G debe ser llevado a cabo y ser remitido al Ministerio para la Transformación Digital y de la Función Pública antes del 1 de octubre de 2024, y, a continuación, cada dos años o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.