Articulo 24 Esquema Nacional de Seguridad de redes y servicios 5G

1. Los suministradores 5G deberán garantizar la seguridad de los equipos de telecomunicación, hardware, software o servicios auxiliares que proporcionen y que sean objeto de uso por las redes y servicios 5G.

2. Los suministradores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos:

a) Cumplir estándares de seguridad desde el diseño de los equipos, productos y servicios hasta su puesta en funcionamiento.

En particular, es de aplicación la norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información.

b) Reforzar la integridad del software, actualización y gestión de parches. Las partes implicadas acordarán los mecanismos para las actualizaciones periódicas de software y para dar respuesta a las vulnerabilidades de seguridad considerando el ciclo de vida de los equipos y el nivel de exposición a vulnerabilidades y los criterios de evaluación ajustados del mismo.

Acreditar la certificación de los productos, recursos, servicios o sistemas para la operación de las redes 5G, o en alguna de sus partes o elementos. En particular, deberán cumplir con la certificación del esquema GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los elementos de la red 5G que resulte de aplicación y para los restantes cualquier otro esquema de aseguramiento de la seguridad equiparable.

También deberán disponer, en su caso, de las certificaciones recogidas en los Esquemas Europeos de Certificación que puedan desarrollarse bajo el Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad), bajo la normativa de requisitos horizontales de ciberseguridad para productos con elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.

Estas certificaciones deberán ser aportadas a los operadores para que den cumplimiento a lo establecido en el artículo 23, así como al Ministerio para la Transformación Digital y de la Función Pública.

c) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de información, de conformidad con las normas nacionales, europeas e internacionales.

Especialmente, se deberán cumplir las medidas de seguridad aplicables a sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de la privacidad-controles de seguridad de la información, de no estar comprendidas en el ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación.

d) Garantizar la aplicación de medidas de seguridad técnicas y organizativas estándar a través de un sistema de certificación.

e) Efectuar una auditoría de seguridad de sus equipos, productos y servicios.

En particular, los suministradores 5G deben presentar al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal una auditoria sobre la aplicación del esquema de certificación GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los elementos de la red 5G que resulte de aplicación y para los restantes elementos cualquier otro esquema de aseguramiento de la seguridad equiparable, además de la norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información, el Real Decreto 311/2022, de 3 de mayo, por el que se regula Esquema Nacional de Seguridad, o en el Perfil de Cumplimiento Específico que resultara de aplicación, en la categoría de seguridad Alta, en caso de fabricar, importar, distribuir o prestar cualesquiera otros servicios, en redes públicas 5G.

Además, deberán someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.

El resultado de esta auditoría será presentado al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal.

f) Proporcionar información sobre posibles injerencias de terceros en el diseño, operación y funcionamiento de sus equipos, productos y servicios.

g) Proporcionar a los operadores 5G y usuarios corporativos 5G la información y acreditar el cumplimiento de estándares de seguridad de equipos, productos y servicios que suministren. Colaborar para realizar una correcta monitorización o detección de la ciberseguridad por parte de los Centros de Operaciones de Seguridad 5G que puedan crear los sujetos obligados.

3. Los suministradores 5G deberán aportar al Ministerio para la Transformación Digital y de la Función Pública una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, cuando sean requeridos para ello.

4. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública un informe de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.

5. Los suministradores 5G de alto riesgo y de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública cada dos años una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

6. Los suministradores 5G son los responsables de la definición y ejecución de las medidas de mitigación de riesgos que lleven a cabo y del cumplimiento de las obligaciones de información y remisión de documentación establecidos en este artículo.