Articulo 27 Esquema Nacional de Seguridad de redes y servicios 5G

1. Los sujetos obligados podrán constituir Centros de Operaciones de Seguridad 5G, que adoptarán medidas técnicas, operativas y de organización adecuadas y proporcionadas para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes, incluida la cooperación entre los sectores público y privado, así como para gestionar los riesgos que se planteen para la seguridad de los sistemas, redes y servicios 5G, para lo que deberán adoptar medidas para gestionar estos riesgos conforme a lo previsto en este esquema.

2. Las medidas a las que se hace referencia en el apartado anterior se fundamentarán en un enfoque holístico de los riesgos, la probabilidad de que produzcan los incidentes y su gravedad, incluidas sus repercusiones sociales y económicas, e incluirán, al menos, los siguientes elementos:

a) Las políticas de seguridad de cada elemento de la red y su correspondiente análisis de riesgos.

b) El procedimiento de gestión en caso de incidentes.

c) El análisis de la continuidad de las actividades, la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.

d) La seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada sujeto obligado y sus proveedores o prestadores de servicios directos.

e) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas, redes y servicios 5G, incluida la gestión y divulgación de las vulnerabilidades.

f) Las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.

g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad.

h) Las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado.

i) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.

j) El uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

k) La monitorización o detección de la ciberseguridad en las redes y servicios 5G y entre sus componentes o su relación con otras redes.

3. Los sujetos obligados y los Centros de Operaciones de Seguridad 5G creados deberán colaborar y cooperar con el Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41 en el desarrollo de sus funciones, a través de, entre otras, de las siguientes actuaciones:

a) Establecer mecanismos seguros de intercambio de información.

b) Llevar a cabo reuniones periódicas para tratar, entre otros asuntos, el estado de situación de la ciberseguridad 5G y estudiar posibles mejoras.

c) Designar una persona que ejercerá como punto de contacto con los responsables de la seguridad de la información nombrados por los sujetos obligados del sector de las telecomunicaciones en virtud del artículo 7 del RD 43/2021, por el que desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.