Articulo 23 Esquema Nacional de Seguridad de redes y servicios 5G

1. Los operadores 5G deberán garantizar la instalación, despliegue y explotación seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al público mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de la normativa en esta materia.

2. Los operadores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos:

a) Adoptar medidas técnicas y operativas para garantizar la integridad física y lógica de las redes 5G o cualesquiera de sus elementos, infraestructuras y recursos, así como la continuidad en la prestación de servicios 5G.

b) Adoptar planes y medidas de contingencia específicas para asegurar la continuidad de otros servicios esenciales para la sociedad que dependan de las redes y servicios 5G.

c) Seleccionar e identificar a las personas, ya sea personal propio o de empresas contratadas, que puedan acceder a los activos físicos y lógicos de la red, y realizar el mantenimiento de registros de acceso.

d) Mantener las credenciales de usuario para el acceso a la red en posesión del operador.

e) Utilizar únicamente productos, recursos, servicios o sistemas certificados para la operación de las redes 5G, o en alguna de sus partes o elementos.

En particular, exigirán de los suministradores la certificación del esquema GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), de estos productos, recursos, servicios o sistemas certificado.

f) También exigirán de los suministradores los certificados de conformidad de estos elementos con los Esquemas Europeos de Certificación que puedan desarrollarse bajo el Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación, bajo la normativa de requisitos horizontales de ciberseguridad para productos con elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.

g) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de información, de conformidad con las normas nacionales, europeas e internacionales.

Especialmente, se deberán cumplir con las medidas de seguridad aplicables a sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de la privacidad-controles de seguridad de la información, de no estar comprendidas en el ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación.

h) Cumplir con los esquemas europeos de certificación de productos, servicios o sistemas, sean o no específicos de la tecnología 5G, que se empleen en la operación o explotación de redes y servicios 5G.

i) Hacer uso de herramientas y metodologías de análisis y gestión de riesgos reconocidas nacional o internacionalmente.

j) Someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.

El resultado de esta auditoría será presentado al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal.

k) Establecer procedimientos apropiados para abordar las vulnerabilidades cuando se detecten.

l) Exigir a sus suministradores el cumplimiento de estándares de seguridad, desde el diseño de los productos y servicios hasta su puesta en funcionamiento.

m) Controlar su propia cadena de suministro y la estrategia de diversificación que haya diseñado.

n) Colaborar con el Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41 para enviar los datos requeridos para la detección del estado de la ciberseguridad de las redes y servicios 5G en tiempo real.

3. En particular, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G tienen adicionalmente las siguientes obligaciones:

a) Deberán diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red pública 5G que dé cumplimiento a lo dispuesto en el artículo 17.

b) No podrán utilizar en los elementos críticos de red equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo conforme a lo dispuesto en el artículo 15.

c) No podrán utilizar en la red de acceso radio de una red pública 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo, en aquellas estaciones radioeléctricas con las que se proporcione cobertura en las ubicaciones, áreas y centros que se hayan identificado conforme a lo establecido en el artículo 16.

d) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio nacional, sin perjuicio de lo establecido en el artículo 6.

Estas obligaciones se aplican de forma exclusiva a los elementos de la red de acceso radio 5G según la definición del 3GPP mencionada en el anexo I.

4. Los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública una nueva estrategia de diversificación en la cadena de suministro antes del 1 de octubre de 2024.

Asimismo, la estrategia de diversificación en la cadena de suministro deberá ser remitida al Ministerio para la Transformación Digital y de la Función Pública cada vez que sea objeto de modificación.

Igualmente, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública antes del 1 de octubre de cada año información sobre el estado de ejecución de la estrategia de diversificación en la cadena de suministro o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

5. Los operadores 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública una nueva descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos antes del 1 de octubre de 2024 y, a continuación, cada dos años o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.