Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.

01/05/2024
Gobierno Central
Boletín Oficial del Estado

Leer en fuente oficial

Las comunicaciones móviles de quinta generación o 5G constituyen un nuevo paradigma de las comunicaciones electrónicas con un gran potencial transformador en beneficio de la sociedad y la economía, pues se abre la posibilidad a la incorporación de nuevas funcionalidades que van a tener un gran impacto, como la computación en la red y su virtualización y segmentación o sus funciones, lo que permitirá la creación de redes virtuales, flexibles e inteligentes, ofreciendo baja latencia, conectividad ininterrumpida y la prestación de servicios de gran valor añadido para la sociedad y la economía en ámbitos como la medicina, el transporte, la logística y la energía. Por todo ello, la Unión Europea y España, directamente y a través del Mecanismo de Recuperación y Resiliencia, impulsan el rápido despliegue de redes 5G y la realización de proyectos demostrativos de su utilidad para distintos sectores mediante la prestación de servicios 5G.

Pese a las ventajas que aportan, la utilización confiable de las redes y servicios 5G exige disponer de un elevado nivel de protección puesto que presentan riesgos específicos derivados, por ejemplo, de una arquitectura de red más compleja, basada en servicios y distribuida, con una banda ancha móvil mejorada, de mayor capacidad, para el transporte y transmisión de grandes volúmenes de datos a alta velocidad, fiabilidad y capacidad para conectar un número masivo de dispositivos a la red o la provisión de servicios específicos para determinados usos o aplicaciones. La naturaleza interconectada de su infraestructura, así como su carácter transnacional y la dimensión transfronteriza de las amenazas, comporta que cualquier vulnerabilidad o incidente de seguridad importante pueda tener implicaciones en funciones esenciales para la economía y la sociedad, llegando incluso a afectar a la Unión Europea en su conjunto.

Estos nuevos riesgos específicos de seguridad de las comunicaciones móviles 5G se abordaron regulatoriamente a través del Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, que incorpora en toda su extensión la Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la ciberseguridad de las redes 5G, el análisis coordinado de los Estados miembros y la «caja de herramientas», incluyéndose las recomendaciones de la Comunicación de 29 de enero de 2020 de la Comisión Europea «Despliegue seguro de la 5G en la UE-Aplicación de la caja de herramientas de la UE» (COM/2020/50 final).

El Real Decreto-ley 7/2022, de 29 de marzo, se ha visto modificado recientemente por la disposición final quinta del Real Decreto-ley 6/2023, de 19 de diciembre, por el que se aprueban medidas urgentes para la ejecución del Plan de Recuperación, Transformación y Resiliencia en materia de servicio público de justicia, función pública, régimen local y mecenazgo, con el objetivo de reforzar los controles a efectuar por el Gobierno y el Ministerio para la Transformación Digital y de la Función Pública sobre las condiciones en las que se vienen efectuando la instalación de los distintos equipos, elementos, funciones y sistemas propios de la tecnología 5G, el despliegue de las redes 5G y la prestación de servicios de comunicaciones electrónicas 5G, en aras de alcanzar el objetivo último que persigue el Real Decreto-ley 7/2022, de 29 de marzo, que, como indica en su artículo 1, es el de establecer requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (5G).

La disposición final tercera del citado Real Decreto-ley 7/2022, de 29 de marzo, habilita al Gobierno para desarrollar reglamentariamente y aprobar el Esquema Nacional de Seguridad de redes y servicios 5G, lo que deberá realizarse mediante real decreto, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, previo informe del Consejo de Seguridad Nacional, de acuerdo con el artículo 21 del Real Decreto-ley 7/2022, de 29 de marzo.

A su vez, los artículos 20 y 5.3 del Real Decreto-ley 7/2022, de 29 de marzo, establecen que el Esquema Nacional de Seguridad de redes y servicios 5G llevará a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G para garantizar un funcionamiento continuado y seguro de la red y los servicios 5G, así como la normativa, las recomendaciones y los estándares técnicos de la Unión Europea, de la Unión Internacional de Telecomunicaciones (UIT) y de otras organizaciones internacionales, con el fin de garantizar el objetivo último de una explotación y operación seguras de las redes y servicios 5G en nuestro país. A tal efecto, en el Esquema Nacional de Seguridad de redes y servicios 5G se efectuará un análisis de riesgos a nivel nacional sobre la seguridad de las redes y servicios 5G y se identificarán, concretarán y desarrollarán medidas a nivel nacional para mitigar y gestionar los riesgos analizados.

En la búsqueda de este tratamiento integral de la seguridad de las redes y servicios 5G, el Esquema Nacional de Seguridad de redes y servicios 5G que se aprueba en este real decreto reconoce la existencia del Centro de Operaciones de Seguridad 5G de referencia, que depende del Ministerio para la Transformación Digital y de la Función Pública y que se encargará, entre otras tareas, de contribuir y apoyar al ejercicio de las facultades que al Ministerio para la Transformación Digital y de la Función Pública, y se le asignan en este ámbito funciones para proporcionar apoyo operativo a los sujetos obligados en actividades vinculadas a la prevención, protección, detección y respuesta frente a amenazas, incidentes y ciberataques a los sistemas, redes y servicios 5G, así como en la certificación y normalización de los mismos.

Para dar cumplimiento al mandato previsto en el artículo 21 y en la disposición final tercera del Real Decreto-ley 7/2022, de 29 de marzo, la presente norma aprueba el Esquema Nacional de Seguridad de las redes y servicios 5G.

Se cumple el principio de necesidad, pues este real decreto se dicta para garantizar un bien de interés general, como es la seguridad y confianza en las comunicaciones electrónicas. Es conforme con el principio de proporcionalidad ya que las medidas son adecuadas a los riesgos identificados en cada caso. Se ajusta al principio de seguridad jurídica porque se reconoce el marco normativo vigente en materia de seguridad y solo se añaden requisitos y controles adecuados a la singularidad de las redes y servicios 5G y sus riesgos. Se respeta el principio de transparencia, ya que los interesados han podido participar en el procedimiento de elaboración de la norma. Por último, cumple el principio de eficiencia pues se han limitado las cargas administrativas al mínimo imprescindible para conseguir el fin perseguido de garantizar la seguridad de las redes y servicios 5G.

Este real decreto ha sido sometido al procedimiento de información en materia de normas y reglamentaciones técnicas y de reglamentos relativos a los servicios de la sociedad de la información previsto en la Directiva (UE) 2015/1535 del Parlamento Europeo y del Consejo, de 9 de septiembre de 2015, por la que se establece un procedimiento de información en materia de reglamentaciones técnicas y de reglas relativas a los servicios de la sociedad de la información.

Este real decreto se dicta al amparo de lo dispuesto en el artículo 149.1. 21.ª y en el artículo 149.1. 29.ª de la Constitución, que atribuyen al Estado, respectivamente, competencia exclusiva en materia de régimen general de telecomunicaciones y en materia de seguridad pública.

En la tramitación de este real decreto se ha emitido informe por el Consejo de Seguridad Nacional.

En su virtud, a propuesta del Ministro para la Transformación Digital y de la Función Pública, de acuerdo con el Consejo de Estado, y previa deliberación del Consejo de Ministros en su reunión del día 30 de abril de 2024,

DISPONGO:

Artículo único. Aprobación del Esquema Nacional de Seguridad de las redes y servicios 5G.

Se aprueba el Esquema Nacional de Seguridad de las redes y servicios 5G, que se inserta a continuación.

Disposición adicional primera. Revisión del Esquema Nacional de Seguridad de las redes y servicios 5G.

El Gobierno, mediante real decreto, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, previo informe del Consejo de Seguridad Nacional, revisará el Esquema Nacional de Seguridad de redes y servicios 5G cuando las circunstancias lo aconsejen y, en todo caso, cada cuatro años.

Disposición adicional segunda. Aplicación del Real Decreto-ley 7/2022, de 29 de marzo, y el Esquema Nacional de Seguridad de las redes y servicios 5G a las sucesivas generaciones de comunicaciones electrónicas.

El Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación y el Esquema Nacional de Seguridad de las redes y servicios 5G que se aprueba, serán de aplicación a generaciones de comunicaciones electrónicas posteriores a la quinta generación mientras no exista norma específica para las mismas.

Disposición adicional tercera. El Centro de Operaciones de Seguridad 5G de referencia en el marco del Plan de Recuperación, Transformación y Resiliencia.

La creación del Centro de Operaciones de Seguridad 5G de referencia por el artículo 41 del Esquema Nacional de Seguridad de las redes y servicios 5G contribuye al cumplimiento de los hitos CID# 243 y 244 de la componente 15, inversión 6 (C15.I6) del Plan de Recuperación, Transformación y Resiliencia.

Disposición final primera. Título competencial.

Este real decreto y el esquema que aprueba se dictan al amparo de lo previsto en el artículo 149.1. 21.ª y en el artículo 149.1. 29.ª de la Constitución, que atribuyen al Estado, respectivamente, competencia exclusiva en materia de régimen general de telecomunicaciones y en materia de seguridad pública.

Disposición final segunda. Aplicación supletoria de la normativa sobre seguridad e integridad de las redes de comunicaciones electrónicas.

1. En todo lo que no esté regulado en este real decreto y el esquema que aprueba, será de aplicación supletoria lo dispuesto en la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, y su normativa de desarrollo.

2. En lo no regulado en la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, y su normativa de desarrollo, será aplicación supletoria el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, así como su respectiva normativa de desarrollo.

Disposición final tercera. Habilitación para el desarrollo reglamentario y modificación de anexos.

1. Se habilita a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para desarrollar lo previsto en este real decreto y el esquema que aprueba, incluida la aprobación de instrucciones técnicas de seguridad.

2. Se habilita a la persona titular del Ministerio para la Transformación Digital y de la Función Pública para modificar mediante orden el contenido de los anexos del Esquema Nacional de Seguridad de las redes y servicios 5G en función de la evolución del avance tecnológico, de la aprobación de nuevos estándares técnicos y esquemas de certificación de equipos de telecomunicación y productos conectados y del desarrollo de diferentes configuraciones y parámetros técnicos de redes y servicios 5G y de venideras generaciones de comunicaciones electrónicas.

Disposición final cuarta. Entrada en vigor.

Este real decreto y el esquema que aprueba entrarán en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».

Dado en Madrid, el 30 de abril de 2024.

FELIPE R.

El Ministro para la Transformación Digital
y de la Función Pública,

JOSÉ LUIS ESCRIVÁ BELMONTE

ESQUEMA NACIONAL DE SEGURIDAD DE LAS REDES Y SERVICIOS 5G

CAPÍTULO I

Disposiciones generales

Artículo 1. Esquema Nacional de Seguridad de las redes y servicios 5G.

El Esquema Nacional de Seguridad de las redes y servicios 5G (en adelante, ENS5G) se aprueba en desarrollo de lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, en particular, en aplicación de su capítulo IV.

Artículo 2. Objetivos.

El ENS5G tiene los siguientes objetivos:

a) Reforzar la protección de la seguridad nacional.

b) Garantizar un funcionamiento continuado y seguro de las redes y servicios 5G.

c) Llevar a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G.

d) Reforzar la seguridad en la instalación y operación de las redes de comunicaciones electrónicas 5G y en la prestación de los servicios de comunicaciones móviles e inalámbricas que se apoyen en las redes 5G.

e) Impulsar una seguridad integral del ecosistema generado por la tecnología 5G.

f) Promover un mercado de suministradores en las redes y servicios de comunicaciones electrónicas 5G suficientemente diversificado en aras de garantizar la seguridad basada en razones técnicas, estratégicas y operativas y evitar, por dichas razones, la presencia de suministradores con una calificación de alto riesgo o de riesgo medio en determinados elementos de red o ámbitos.

g) Fortalecer la industria y fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G.

h) Impulsar la formación y la concienciación en ciberseguridad 5G.

Artículo 3. Definiciones.

A los efectos del ENS5G, se utilizarán las definiciones establecidas en el Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, así como las definiciones establecidas en la Ley 11/2022, de 28 de junio, General de Telecomunicaciones, y en la Directiva 2018/1972, de 11 de diciembre de 2018, del Parlamento Europeo y del Consejo, por la que se establece el Código Europeo de las Comunicaciones Electrónicas.

El concepto de Seguridad Integral recogido en el ENS5G, se refiere a que la seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos, dentro del ámbito y el marco de la seguridad de las redes y servicios 5G regulada por el Real Decreto-ley 7/2022, de 29 de marzo.

Artículo 4. Ámbito de aplicación.

1. El ENS5G, en el marco de la seguridad de redes y servicios 5G regulada en el Real Decreto-ley 7/2022, de 29 de marzo, se aplica a los siguientes sujetos obligados:

a) Operadores 5G, definidos en el artículo 3.1, apartado a) del Real Decreto-ley 7/2022, de 29 de marzo.

b) Suministradores 5G, definidos en el artículo 3.1, apartado f) del Real Decreto-ley 7/2022, de 29 de marzo.

c) Usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación, definidos en el artículo 3.1, apartado g) del Real Decreto-ley 7/2022, de 29 de marzo.

2. El ENS5G también se aplica a las entidades de las Administraciones públicas que instalen, desplieguen y exploten redes 5G, ya sean públicas o privadas, o presten servicios 5G, disponibles al público o en autoprestación, cuando sus actividades no se lleven a cabo principalmente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa nacional o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de infracciones penales. Adicionalmente por su carácter excepcional, no se aplica en el ámbito de la defensa nacional a nivel general y, en particular, en las actividades de preparación y participación en operaciones militares por parte de las Fuerzas Armadas.

Artículo 5. Red 5G.

1. Una red de comunicaciones electrónicas 5G está integrada, al menos, por los siguientes elementos, infraestructuras y recursos:

a) Los relativos a las funciones del núcleo de la red.

b) Las funciones de transporte y transmisión.

c) La red de acceso.

d) Los sistemas de control y gestión y los servicios de apoyo.

e) Las funciones de computación en el borde, virtualización de red y gestión de sus componentes.

f) Los relativos a intercambios de tráfico o interconexión con redes externas e Internet.

g) Otros componentes y funciones a los que se refiere el anexo I.

2. Forman parte de la red 5G la totalidad de los elementos de red, infraestructuras, recursos y funciones de las redes empleadas para ofrecer servicios 5G, aun cuando también sean usados en las redes y servicios de comunicaciones electrónicas de generaciones móviles precedentes, de acuerdo con el artículo 3.1, apartado b) del Real Decreto-ley 7/2022, de 29 de marzo.

3. La descripción detallada de los elementos, infraestructuras y recursos que integran una red 5G figura en el anexo I.

4. Dentro de cada una de las partes o elementos de una red 5G, sean partes o elementos críticos o no de la red 5G en los términos indicados en el artículo 6, apartados 2 y 3, del Real Decreto-ley 7/2022, de 29 de marzo, y en este artículo y en el siguiente, existirán diferentes activos que pueden presentar diferente grado de criticidad (alta, media, baja) en el análisis de riesgos en los términos indicados en el anexo II.

Artículo 6. Elementos críticos de una red 5G.

1. Son elementos críticos de una red 5G:

a) Los relativos a las funciones del núcleo de la red.

b) Los sistemas de control y gestión y los servicios de apoyo.

c) La red de acceso en aquellas zonas geográficas y ubicaciones que se determine.

2. Los elementos críticos de una red 5G pública deberán ubicarse dentro del territorio nacional, de acuerdo con el artículo 12.3, apartado e), del Real Decreto-ley 7/2022, de 29 de marzo.

3. No obstante, determinados elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de control y gestión y los servicios de apoyo podrán ubicarse fuera del territorio nacional, siempre y cuando el Ministerio para la Transformación Digital y de la Función Pública pueda ejercer las facultades que le atribuye el Real Decreto-ley 7/2022, de 29 de marzo, en particular, las facultades de inspección y régimen sancionador previstas en su capítulo V, de manera que pueda efectuar una verificación integral sobre el funcionamiento, operatividad y condiciones de uso de dichos elementos críticos de una red 5G y, en su caso, poder adoptar medidas, cautelares o definitivas, sobre dichos elementos, funciones y sistemas o el equipamiento utilizado en el ejercicio de las potestades que al Ministerio para la Transformación Digital y de la Función Pública le atribuye el Real Decreto-ley 7/2022, de 29 de marzo y la Ley 11/2022, de 28 de junio, General de Telecomunicaciones.

4. En el caso de que el Consejo de Ministros, previo informe del Ministerio para la Transformación Digital y de la Función Pública, llegue a la conclusión de que los elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de control y gestión y los servicios de apoyo que estén ubicados fuera del territorio nacional afecten a la seguridad o integridad de la red 5G teniendo en cuenta el análisis de las medidas técnicas o las medidas estratégicas relacionadas en los artículos 15.2 y 15.3, respectivamente, o condiciona sensiblemente el ejercicio de sus facultades de supervisión y potestades de inspección, podrá requerir al titular de la red 5G que dichos elementos, funciones y sistemas se ubiquen en territorio nacional. A tal efecto, la reubicación de los elementos, funciones y sistemas deberá producirse en el plazo que indique el Consejo de Ministros en su acuerdo, a propuesta del Ministerio para la Transformación Digital y de la Función Pública, previa audiencia del titular de la red 5G, si bien este plazo no podrá ser inferior a un año.

Artículo 7. Tratamiento integral de la seguridad.

1. La seguridad se entiende como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con las redes o servicios 5G de los sujetos obligados afectados por el ámbito de aplicación y debe incorporarse desde el diseño e implementación de las redes 5G. El ENS5G tiene la vocación de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G.

2. A tal efecto, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras actualizaciones o modificaciones la normativa, las recomendaciones y los estándares técnicos de la Unión Europea, de la Unión Internacional de Telecomunicaciones (UIT) y de otras organizaciones internacionales.

Asimismo, el ENS5G ha tenido en cuenta y deberá tener en cuenta en futuras actualizaciones o modificaciones las aportaciones, análisis de riesgos, planes de mitigación de riesgos y estrategias de diversificación de la cadena de suministro que se han ido proporcionando y que deberán proporcionar por los sujetos obligados en cumplimiento de las obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de marzo, en este esquema y en el resto de normativa.

3. En este contexto de seguridad integral, los sujetos obligados deberán llevar a cabo un tratamiento integral y global de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables, para lo cual deberán realizar, mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y de los componentes anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G, considerando también las aportaciones de cada agente de la cadena de valor de 5G.

4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G, el operador 5G deberá recabar de sus suministradores 5G las prácticas y medidas de seguridad que hubieren adoptado en los productos y servicios suministrados. Esta información deberá ser proporcionada por los suministradores 5G y su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio para la Transformación Digital y de la Función Pública y los demás organismos públicos competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022, de 29 de marzo y este esquema.

5. Los sujetos obligados podrán enviar al Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41 los datos requeridos para la detección del estado de la ciberseguridad de las redes y servicios 5G en tiempo real.

6. El Ministerio para la Transformación Digital y de la Función Pública, directamente o a través del Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41, podrá formular los requerimientos de información necesarios a los sujetos obligados, que deberán ser respondidos en el plazo de 15 días hábiles a contar desde el día siguiente al de su notificación, a efecto de poder ejercer las funciones que le asigna el Real Decreto-ley 7/2022, de 29 de marzo.

Artículo 8. Gestión de la seguridad basada en los riesgos.

1. El análisis y la gestión de los riesgos es parte esencial del proceso de seguridad, debiendo constituir una actividad continua y permanentemente actualizada.

2. La gestión de riesgos permitirá el mantenimiento de un entorno controlado en la red o servicio 5G, minimizando los riesgos a niveles aceptables. La reducción a estos niveles se realizará mediante una apropiada aplicación de medidas de seguridad, de manera equilibrada y proporcionada a la naturaleza y características de la red, de los servicios a prestar y de los riesgos a los que estén expuestos, que deberán reflejarse en el análisis de riesgos.

Artículo 9. Prevención, detección, respuesta y conservación.

1. La seguridad de los sistemas, redes y servicios 5G debe contemplar las acciones relativas a los aspectos de prevención, detección y respuesta, al objeto de minimizar sus vulnerabilidades y lograr que las amenazas no se materialicen o que, en el caso de hacerlo, no afecten gravemente a los datos tratados, a la operatividad e integridad de las redes 5G o a la prestación de un servicio 5G.

2. Las medidas de prevención, para ampliar el conocimiento de las vulnerabilidades, que podrán incorporar componentes orientados a la disuasión o a la reducción de la superficie de exposición, deben eliminar o reducir la probabilidad de que las amenazas lleguen a materializarse.

3. Las medidas de detección irán dirigidas a descubrir la presencia de un ciberincidente, una ciberamenaza o vulnerabilidad.

4. Las medidas de respuesta, orientadas a minimizar el impacto de los ciberincidentes y, en su caso, aplicando medidas de bloqueo, así como posteriormente la restauración del sistema, red o servicio 5G que pudiera haberse visto afectado por un incidente de seguridad.

5. Sin merma de los restantes principios básicos y requisitos mínimos establecidos, el sistema de información garantizará la conservación de los datos e información en soporte electrónico.

Artículo 10. Existencia de líneas de defensa.

1. Las redes, elementos, infraestructuras, recursos, facilidades y servicios 5G han de disponer de una estrategia de protección y diversificación adecuada y proporcionada a los riesgos de cada elemento y capa de servicios 5G, de tal forma que, cuando uno de ellos se pueda ver comprometida, dicha estrategia permita:

a) Una reacción adecuada frente a los incidentes que no han podido evitarse, reduciendo la probabilidad de que el sistema sea comprometido en su conjunto.

b) Minimizar el impacto final del incidente.

2. La estrategia de protección y las líneas de defensa estarán constituidas por medidas de naturaleza organizativa, física y lógica. Se determinarán en las correspondientes instrucciones técnicas de seguridad.

Artículo 11. Vigilancia continua y reevaluación periódica.

1. La vigilancia continua permitirá la detección de actividades o comportamientos anómalos y su oportuna respuesta.

2. La evaluación permanente del estado de la seguridad de las redes y servicios 5G permitirán medir su evolución, detectando vulnerabilidades e identificando deficiencias de configuración.

3. Las medidas de seguridad se reevaluarán y actualizarán periódicamente, adecuando su eficacia a la evolución de los riesgos y los sistemas de protección, pudiendo llegar a un replanteamiento de la seguridad, si fuese necesario.

Artículo 12. Sistemas, redes y servicios 5G que traten datos personales.

Cuando un sistema, red o servicio 5G trate datos personales le será de aplicación lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecto al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, o en su caso, el resto de normativa de aplicación, así como los criterios que se establezcan por la Agencia Española de Protección de Datos o en su ámbito competencial, por las autoridades autonómicas de protección de datos, sin perjuicio de los requisitos establecidos en el presente real decreto.

CAPÍTULO II

Análisis y gestión de riesgos a nivel nacional

Artículo 13. Análisis de riesgos a nivel nacional.

1. El análisis de riesgos a nivel nacional que se ha realizado en el marco del ENS5G es el que figura en el anexo II de este real decreto.

2. En la realización de este análisis, se ha tenido en cuenta:

a) El análisis general de los riesgos de las redes y servicios 5G, tomando en consideración la información recabada de los sujetos obligados.

b) El examen de las vulnerabilidades ligadas a la cadena de suministro de las redes y servicios 5G.

c) La evaluación del grado de dependencia de los suministradores del conjunto de las redes y servicios 5G en España teniendo en cuenta los análisis de riesgos y las estrategias de diversificación de suministradores remitidos por los operadores 5G, así como el riesgo de interrupción del suministro por circunstancias económicas, societarias o comerciales que afecten a los suministradores.

d) La evaluación de la eficacia de las medidas de seguridad aplicadas hasta la aprobación de cada análisis de riesgos nacional para mitigar los riesgos puestos de manifiesto por tal análisis.

e) La determinación de una jerarquía de riesgos en función de los análisis de riesgos llevados a cabo por los sujetos obligados.

Artículo 14. Gestión de riesgos a nivel nacional.

1. Los criterios, requisitos, condiciones y plazos para que los sujetos obligados puedan diseñar e implementar técnicas y medidas de mitigación de riesgos son los que, al menos, figuran en el anexo III de este real decreto.

2. En la determinación de estos criterios y requisitos de gestión de riesgos se han tenido en cuenta el análisis de riesgos nacional que incorpora este esquema y la evaluación de la eficacia de las medidas aplicadas por los sujetos obligados para mitigar y gestionar los riesgos en las redes y servicios 5G.

CAPÍTULO III

Medidas específicas para garantizar la seguridad de las redes y servicios 5G

Artículo 15. Declaración de suministradores 5G de alto riesgo y de riesgo medio.

1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, podrá calificar que determinados suministradores 5G son de alto riesgo.

A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios como su exposición a injerencias externas.

2. En relación con el análisis de las medidas y las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios se valorarán aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación mediante esquemas de certificación, o la superación de pruebas o auditorías de seguridad realizadas por entidades independientes.

3. En relación con el análisis de las medidas estratégicas y exposición a injerencias externas, se valorarán los siguientes aspectos:

a) Los vínculos de los suministradores y de su cadena de suministro, con los gobiernos de terceros países.

b) La composición de su capital social y la estructura de sus órganos de gobierno.

c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

d) Las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas de ese tercer Estado.

e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado.

f) El grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra normativa aplicable en materia de seguridad de las redes y sistemas de información y de telecomunicaciones.

4. El procedimiento para la calificación de determinados suministradores 5G como de alto riesgo se iniciará de oficio mediante acuerdo adoptado por el Ministerio para la Transformación Digital y de la Función Pública.

En la tramitación del expediente se solicitará informe a la Comisión Nacional de los Mercados y la Competencia, al Ministerio del Interior, al Ministerio de Defensa, al Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno, al Centro Nacional de Inteligencia del Ministerio de Defensa y al Instituto Nacional de Ciberseguridad de España.

En la propuesta de resolución, el Ministerio para la Transformación Digital y de la Función Pública concretará en relación con el suministrador 5G afectado las garantías técnicas de funcionamiento y operatividad de los equipos, productos y servicios suministrados así como su exposición a injerencias externas conforme a lo indicado en los apartados anteriores que justifican la decisión propuesta, así como las consecuencias que de dicha decisión se derivan y, en caso de que se declare suministrador de alto riesgo, el plazo en que los operadores 5G deberán llevar a cabo la sustitución de los equipos, productos y servicios proporcionados por dicho suministrador.

De la propuesta de resolución se dará audiencia a los operadores 5G y suministradores 5G afectados por un plazo de 15 días hábiles.

Una vez efectuados estos trámites, el Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional, adoptará una decisión en el plazo de seis meses a contar desde la incoación del procedimiento.

5. El acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo determinará el plazo en que los operadores 5G deberán llevar a cabo la sustitución de los equipos, productos y servicios proporcionados por dicho suministrador en la red y servicios del operador 5G, cuando ello fuera necesario, para lo cual deberá tener en cuenta las amenazas detectadas y los motivos que han justificado la declaración de un suministrador 5G como suministrador de alto riesgo, la situación del mercado de los suministradores, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G y en función de cuáles son en concreto los elementos críticos afectados, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, la migración de las redes 5G no autónomas a autónomas, así como su impacto económico.

En la determinación del plazo de sustitución, el acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo podrá establecer un plazo diferente para los distintos elementos críticos de la red pública 5G en función de las amenazas detectadas y los motivos que han justificado la declaración de un suministrador 5G como suministrador de alto riesgo, la criticidad de dicho elemento o parte de él, de su afectación al funcionamiento y operatividad de la red y de la disponibilidad de equipos en ese momento en el mercado de equipos de telecomunicación, si bien, en ningún caso, este plazo podrá ser inferior a un año para cualquier elemento crítico de la red pública 5G.

El acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo podrá determinar un plazo diferente para la sustitución de los equipos, productos y servicios para los distintos operadores 5G afectados en función de la repercusión que dicha sustitución tiene en la red de cada operador, de la afectación de la sustitución a los distintos elementos o partes de la red 5G, de la capacidad competitiva del operador, de los contratos de suministro de equipamiento suscritos y de la capacidad de suministro existente en el mercado de equipos de telecomunicación, si bien, en ningún caso, ese plazo podrá ser inferior a un año para cualquier elemento crítico de la red pública 5G.

6. El acuerdo del Consejo de Ministros por el que se califique que determinados suministradores 5G son de alto riesgo pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo.

7. Los suministradores de alto riesgo cuyos equipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única y exclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación son calificados como suministradores de riesgo medio.

Artículo 16. Determinación de ubicaciones en las que no se podrá instalar equipos de suministradores calificados de alto riesgo.

1. El Consejo de Seguridad Nacional, previo informe del Ministerio para la Transformación Digital y de la Función Pública, podrá determinar las ubicaciones, áreas y centros en las que no se podrá instalar equipos de suministradores calificados de alto riesgo. En la emisión de su informe, el Ministerio para la Transformación Digital y de la Función Pública tendrá en cuenta las propuestas que le remitan el Ministerio del Interior, el Ministerio de Defensa, el Departamento de Seguridad Nacional del Gabinete de la Presidencia del Gobierno y el Centro Nacional de Inteligencia del Ministerio de Defensa.

2. En la determinación de estas ubicaciones, áreas y centros se incluirán las centrales nucleares, centros vinculados a la Defensa Nacional y las ubicaciones, áreas y centros que, por su vinculación a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, sean determinados por Consejo de Seguridad Nacional.

3. En las estaciones radioeléctricas con las que se proporcione cobertura a estas ubicaciones, áreas y centros, los operadores 5G no podrán utilizar en la red de acceso radio de una red pública 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo.

4. Asimismo, para la instalación, modificación o adaptación de estaciones radioeléctricas que proporcionen cobertura a estas ubicaciones, áreas y centros previamente declarados, habida cuenta de su vinculación con la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, los operadores 5G deberán solicitar autorización a la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, en cuyo otorgamiento se tendrán en cuenta los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares a instalar, las condiciones técnicas en el uso del dominio público radioeléctrico y las características intrínsecas y fines a proteger en esas ubicaciones, áreas y centros previamente declarados.

La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales, en el otorgamiento de estas autorizaciones, podrá valorar los planes que los operadores 5G puedan presentar para la renovación tecnológica o la sustitución de equipos de transmisión radio y en la red de acceso que afecten a las ubicaciones, áreas y centros previamente declarados para las que se solicita autorización.

El plazo para el otorgamiento de estas autorizaciones es de tres meses, entendiéndose desestimada la solicitud en caso de ausencia de resolución expresa. La resolución, expresa o presunta, pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo.

Queda exceptuado de la necesidad de obtener la autorización a que se refiere este apartado las operaciones de ampliación, adaptación, reparación y mantenimiento de estaciones radioeléctricas que proporcionen cobertura a estas ubicaciones, áreas y centros siempre y cuando dicha estación ya esté previamente instalada y autorizada y no implique ningún cambio de suministrador en ninguno de los elementos, hardware, software o capas en los sistemas que configuran la estación.

Quedan exceptuados de la solicitud de autorización la ampliación del equipamiento radioeléctrico ubicado en un nodo de un mismo suministrador por razones de capacidad, que ya se encuentre previamente instalado y autorizado conforme a los párrafos anteriores, así como cualquier operación de mantenimiento y reparación.

5. Las obligaciones establecidas en los apartados 3 y 4 de este artículo se aplican de forma exclusiva a los elementos de la red de acceso radio 5G según la definición del 3GPP mencionada en el anexo I.

6. La determinación y difusión de estas ubicaciones tendrán la calificación de materia reservada conforme a la regulación establecida en la Ley 9/1968, de 5 de abril, sobre secretos oficiales.

Artículo 17. Diversificación en la cadena de suministro.

1. De acuerdo con lo previsto en el artículo 12.3.a) del Real Decreto-ley 7/2022, de 29 de marzo, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red pública 5G.

2. En la red de acceso, los operadores 5G deberán contar con equipos de transmisión radio que sean proporcionados, como mínimo, por dos suministradores diferentes a efecto de favorecer la continuidad de los servicios 5G, la más fácil sustituibilidad de los equipos y evitar la dependencia exclusiva de un suministrador único.

A estos efectos, se considera que los suministradores no son diferentes si todos ellos pertenecen al mismo grupo de empresas, conforme a los criterios establecidos en el artículo 42 del Código de Comercio.

3. En el núcleo de la red y en los sistemas de control y gestión y los servicios de apoyo, el suministrador podrá ser único.

4. En el caso de que como consecuencia de operaciones de concentración empresarial, se redujera el número de suministradores incluidos en la estrategia de diversificación en la cadena de suministro que implicara que no se cumpliera el límite mínimo de dos suministradores diferentes establecido en el apartado 2, el operador 5G deberá comunicárselo al Ministerio para la Transformación Digital y de la Función Pública, que impulsará que el Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previa audiencia de los operadores 5G y suministradores 5G afectados, decida si resulta posible mantener un suministrador único, teniendo en cuenta las condiciones concretas de la operación de concentración empresarial, la situación del mercado de los suministradores, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G, la calificación del suministrador como de alto riesgo, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, la migración de las redes 5G no autónomas a autónomas, así como su impacto económico.

5. El Ministerio para la Transformación Digital y de la Función Pública, si considera que no queda garantizada la continuidad en la prestación de los servicios 5G, la integridad física o lógica de la red 5G, que existe una amplia exposición al equipamiento instalado por un suministrador que en determinadas circunstancias puede poner en peligro la funcionalidad y operatividad de la red 5G o para garantizar la seguridad en la provisión de servicios utilizados por los servicios de Seguridad Nacional, Defensa Nacional o por distintas Administraciones Públicas, y teniendo en cuenta si existe calificación de suministradores de alto riesgo, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G, y los ciclos de actualización de equipos, podrá modificar la estrategia de diversificación en la cadena de suministro de un operador 5G.

Antes de aprobar la modificación, se deberá efectuar un trámite de audiencia con el operador 5G y suministrador o suministradores 5G afectados por un plazo de 15 días hábiles. La resolución pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra la misma un recurso de reposición con carácter previo al recurso contencioso-administrativo.

CAPÍTULO IV

Análisis de riesgos por los sujetos obligados

Artículo 18. Análisis de riesgos por los operadores 5G.

1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten, tanto como agente económico, como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G.

2. Los operadores 5G que sean titulares o gestionen elementos de red de una red pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e individualizado de las amenazas y vulnerabilidades que afecten a los elementos, infraestructuras y recursos que integran una red 5G y que figuran en el anexo I, siguiendo la metodología descrita en el anexo II, apartado 1.

3. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta, al menos, los siguientes factores:

a) Parametrización y configuración de elementos y funciones de red, incluidos los equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G.

b) Políticas de integridad y actualización de los programas informáticos para garantizar la seguridad y funcionalidad de la red en todo momento.

c) Estrategias de permisos de acceso a activos físicos y lógicos, garantizando que sólo el personal autorizado pueda acceder a recursos críticos.

d) Evaluación de las dependencias de determinados proveedores en elementos críticos de la red 5G, identificando riesgos potenciales asociados con la cadena de suministro.

e) Identificación y evaluación de amenazas potenciales de agentes externos, incluyendo grupos organizados con capacidad para atacar la red.

f) Consideración de los equipos terminales y dispositivos conectados a la red, y su impacto en la seguridad global de la red.

g) Análisis de la interacción y el impacto de la red 5G sobre elementos de usuarios corporativos y redes externas conectadas.

h) Comprensión de la interrelación de la red 5G con otros servicios esenciales para la sociedad, evaluando cómo posibles interrupciones del servicio o compromisos de seguridad pueden afectar a estos servicios esenciales.

i) Priorización y jerarquización de riesgos basados en la afectación a elementos críticos de la red, el tipo de recurso, infraestructura y servicio afectado, la integridad y mantenimiento técnico de la red, la capacidad de detección y recuperación, el número y tipo de usuarios afectados, y el tipo de información comprometida.

j) Implementación de estrategias de resiliencia y recuperación ante desastres, para asegurar la continuidad del servicio frente a ataques cibernéticos, incidencias técnicas o desastres naturales, incluyendo la redundancia de sistemas críticos.

k) Realización de análisis de vulnerabilidades de manera regular, para identificar proactivamente vulnerabilidades de seguridad y resolverlas para mitigar posibles amenazas antes de que puedan ser explotadas.

4. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G, el suministrador deberá proporcionar a los operadores 5G a los que suministre las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que han suministrado, teniendo en cuenta los factores de riesgo indicados en este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser recibida por los operadores 5G y su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio para la Transformación Digital y de la Función Pública y los demás organismos públicos competentes para la aplicación de lo dispuesto en el Real Decreto-ley 7/2022, de 29 de marzo y en este esquema a los exclusivos fines de los mismos.

5. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía de los riesgos en función de los siguientes parámetros:

a) Afectación a un elemento crítico de la red pública 5G.

b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.

c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad del servicio.

d) Capacidad de detección y recuperación.

e) Número y tipo de usuarios afectados.

f) Tipo de información cuya integridad haya podido verse comprometida.

6. Un nuevo análisis de riesgos por el operador 5G debe ser llevado a cabo y ser remitido al Ministerio para la Transformación Digital y de la Función Pública antes del 1 de octubre de 2024, y, a continuación, cada dos años o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

Artículo 19. Análisis de riesgos por los suministradores 5G.

1. Los suministradores 5G deben analizar los riesgos de los equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G, detectando vulnerabilidades y amenazas que le afecten tanto a la gestión de la empresa como a dichos equipos, hardware, software y servicios.

2. Los suministradores 5G deberán aportar este análisis de riesgos al Ministerio para la Transformación Digital y de la Función Pública, cuando sea requeridos para ello. Asimismo, los suministradores 5G deberán aportar los análisis de riesgos a los operadores 5G a los que suministre de conformidad con lo dispuesto en el artículo 18.4.

3. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública un análisis de riesgos de sus equipos, productos o servicios involucrados en las redes y servicios 5G en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.

4. Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio para la Transformación Digital y de la Función Pública o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública o siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

5. Los suministradores 5G son los responsables de los análisis de riesgos que efectúen y del cumplimiento de las obligaciones de información y remisión de documentación establecidos en este artículo.

Artículo 20. Análisis de riesgos por los usuarios corporativos 5G.

1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que afecten a los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes privadas 5G o en la prestación de servicios 5G en autoprestación.

2. Los usuarios corporativos 5G mencionados en el apartado anterior deberán aportar este análisis de riesgos al Ministerio para la Transformación Digital y de la Función Pública, cuando sean requeridos para ello.

Artículo 21. Confidencialidad de la información sobre análisis de riesgos.

1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar de los sujetos obligados la información necesaria para el análisis de riesgos.

2. Los sujetos obligados deben proporcionar la información en el plazo de quince días hábiles a contar desde el día siguiente al de la notificación del requerimiento de información.

3. El incumplimiento de los requerimientos de información formulados conforme a lo indicado en el apartado anterior cuando haya pasado un mes desde la finalización del plazo dado para su cumplimiento es calificado como infracción grave.

4. Se garantizará la confidencialidad de la información que los sujetos obligados proporcionen sobre el análisis de riesgos y que no podrá ser utilizada para una finalidad distinta del cumplimiento de los objetivos y obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución de ambas disposiciones.

CAPÍTULO V

Gestión de los riesgos por los sujetos obligados

Artículo 22. Medidas comunes para la gestión de seguridad.

1. Las medidas a las que se hace referencia en este esquema se fundamentan en un enfoque basado en compendiar los riesgos cuya prevención, detección y mitigación o eliminación tenga por objeto proteger los sistemas, redes y servicios 5G, e incluirán al menos los siguientes elementos:

a) Las políticas de seguridad de los sistemas, redes y servicios 5G.

b) Análisis de riesgos.

c) La gestión de incidentes.

d) La continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.

e) La seguridad de la cadena de suministro y, en su caso, la estrategia de diversificación, cuando proceda.

f) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas y redes 5G.

g) Las políticas y procedimientos relativos a la utilización de la criptografía y, en su caso, de cifrado.

h) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.

i) El uso de soluciones de autenticación, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia, cuando proceda.

j) El uso de componentes certificados.

k) La protección de servicios y datos en la nube.

l) La monitorización de sistemas, redes y servicios.

m) La seguridad física.

n) La protección de la información.

ñ) La realización de evaluaciones periódicas de vulnerabilidades y pruebas de penetración para identificar y resolver o mitigar estas vulnerabilidades antes de que puedan ser explotadas.

2. Los sujetos obligados deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido en el Real decreto-ley 7/2022, de 29 de marzo, en este Esquema y en los actos que se dicten en ejecución de ambas disposiciones.

Artículo 23. Gestión de seguridad por los operadores 5G.

1. Los operadores 5G deberán garantizar la instalación, despliegue y explotación seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al público mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de la normativa en esta materia.

2. Los operadores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos:

a) Adoptar medidas técnicas y operativas para garantizar la integridad física y lógica de las redes 5G o cualesquiera de sus elementos, infraestructuras y recursos, así como la continuidad en la prestación de servicios 5G.

b) Adoptar planes y medidas de contingencia específicas para asegurar la continuidad de otros servicios esenciales para la sociedad que dependan de las redes y servicios 5G.

c) Seleccionar e identificar a las personas, ya sea personal propio o de empresas contratadas, que puedan acceder a los activos físicos y lógicos de la red, y realizar el mantenimiento de registros de acceso.

d) Mantener las credenciales de usuario para el acceso a la red en posesión del operador.

e) Utilizar únicamente productos, recursos, servicios o sistemas certificados para la operación de las redes 5G, o en alguna de sus partes o elementos.

En particular, exigirán de los suministradores la certificación del esquema GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), de estos productos, recursos, servicios o sistemas certificado.

f) También exigirán de los suministradores los certificados de conformidad de estos elementos con los Esquemas Europeos de Certificación que puedan desarrollarse bajo el Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad) y a la certificación de la ciberseguridad de las tecnologías de la información y la comunicación, bajo la normativa de requisitos horizontales de ciberseguridad para productos con elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.

g) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de información, de conformidad con las normas nacionales, europeas e internacionales.

Especialmente, se deberán cumplir con las medidas de seguridad aplicables a sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de la privacidad-controles de seguridad de la información, de no estar comprendidas en el ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación.

h) Cumplir con los esquemas europeos de certificación de productos, servicios o sistemas, sean o no específicos de la tecnología 5G, que se empleen en la operación o explotación de redes y servicios 5G.

i) Hacer uso de herramientas y metodologías de análisis y gestión de riesgos reconocidas nacional o internacionalmente.

j) Someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales que puedan repercutir en las medidas de seguridad requeridas. La realización de la auditoria extraordinaria determinará la fecha de cómputo para el cálculo de los dos años, establecidos para la realización de la siguiente auditoría regular ordinaria, indicados en el párrafo anterior.

El informe de auditoría deberá dictaminar sobre el grado de cumplimiento de este real decreto identificando los hallazgos de cumplimiento e incumplimiento detectados. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen las conclusiones formuladas.

El resultado de esta auditoría será presentado al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal.

k) Establecer procedimientos apropiados para abordar las vulnerabilidades cuando se detecten.

l) Exigir a sus suministradores el cumplimiento de estándares de seguridad, desde el diseño de los productos y servicios hasta su puesta en funcionamiento.

m) Controlar su propia cadena de suministro y la estrategia de diversificación que haya diseñado.

n) Colaborar con el Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41 para enviar los datos requeridos para la detección del estado de la ciberseguridad de las redes y servicios 5G en tiempo real.

3. En particular, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G tienen adicionalmente las siguientes obligaciones:

a) Deberán diseñar una estrategia de diversificación en la cadena de suministro de los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales en una red pública 5G que dé cumplimiento a lo dispuesto en el artículo 17.

b) No podrán utilizar en los elementos críticos de red equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo conforme a lo dispuesto en el artículo 15.

c) No podrán utilizar en la red de acceso radio de una red pública 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo, en aquellas estaciones radioeléctricas con las que se proporcione cobertura en las ubicaciones, áreas y centros que se hayan identificado conforme a lo establecido en el artículo 16.

d) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio nacional, sin perjuicio de lo establecido en el artículo 6.

Estas obligaciones se aplican de forma exclusiva a los elementos de la red de acceso radio 5G según la definición del 3GPP mencionada en el anexo I.

4. Los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública una nueva estrategia de diversificación en la cadena de suministro antes del 1 de octubre de 2024.

Asimismo, la estrategia de diversificación en la cadena de suministro deberá ser remitida al Ministerio para la Transformación Digital y de la Función Pública cada vez que sea objeto de modificación.

Igualmente, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública antes del 1 de octubre de cada año información sobre el estado de ejecución de la estrategia de diversificación en la cadena de suministro o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

5. Los operadores 5G deberán remitir al Ministerio para la Transformación Digital y de la Función Pública una nueva descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos antes del 1 de octubre de 2024 y, a continuación, cada dos años o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

Artículo 24. Gestión de seguridad por los suministradores 5G.

1. Los suministradores 5G deberán garantizar la seguridad de los equipos de telecomunicación, hardware, software o servicios auxiliares que proporcionen y que sean objeto de uso por las redes y servicios 5G.

2. Los suministradores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos:

a) Cumplir estándares de seguridad desde el diseño de los equipos, productos y servicios hasta su puesta en funcionamiento.

En particular, es de aplicación la norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información.

b) Reforzar la integridad del software, actualización y gestión de parches. Las partes implicadas acordarán los mecanismos para las actualizaciones periódicas de software y para dar respuesta a las vulnerabilidades de seguridad considerando el ciclo de vida de los equipos y el nivel de exposición a vulnerabilidades y los criterios de evaluación ajustados del mismo.

Acreditar la certificación de los productos, recursos, servicios o sistemas para la operación de las redes 5G, o en alguna de sus partes o elementos. En particular, deberán cumplir con la certificación del esquema GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los elementos de la red 5G que resulte de aplicación y para los restantes cualquier otro esquema de aseguramiento de la seguridad equiparable.

También deberán disponer, en su caso, de las certificaciones recogidas en los Esquemas Europeos de Certificación que puedan desarrollarse bajo el Reglamento 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad), bajo la normativa de requisitos horizontales de ciberseguridad para productos con elementos digitales o bajo cualquier otra legislación relacionada de la UE o nacional.

Estas certificaciones deberán ser aportadas a los operadores para que den cumplimiento a lo establecido en el artículo 23, así como al Ministerio para la Transformación Digital y de la Función Pública.

c) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de información, de conformidad con las normas nacionales, europeas e internacionales.

Especialmente, se deberán cumplir las medidas de seguridad aplicables a sistemas de información de categoría Alta contempladas en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación o, en su caso, las recogidas en la norma técnica 27002:2022: Seguridad de la Información, ciberseguridad y protección de la privacidad-controles de seguridad de la información, de no estar comprendidas en el ámbito de aplicación del Esquema Nacional de Seguridad o en el Perfil de Cumplimiento Específico que resultara de aplicación.

d) Garantizar la aplicación de medidas de seguridad técnicas y organizativas estándar a través de un sistema de certificación.

e) Efectuar una auditoría de seguridad de sus equipos, productos y servicios.

En particular, los suministradores 5G deben presentar al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal una auditoria sobre la aplicación del esquema de certificación GSMA Network Equipment Security Assurance Scheme (NESAS) y las SCAS (Security Assurance Specification), para los elementos de la red 5G que resulte de aplicación y para los restantes elementos cualquier otro esquema de aseguramiento de la seguridad equiparable, además de la norma técnica ISO/IEC 27001: Gestión de Seguridad de la Información, el Real Decreto 311/2022, de 3 de mayo, por el que se regula Esquema Nacional de Seguridad, o en el Perfil de Cumplimiento Específico que resultara de aplicación, en la categoría de seguridad Alta, en caso de fabricar, importar, distribuir o prestar cualesquiera otros servicios, en redes públicas 5G.

Además, deberán someterse, a su costa, a una auditoría de seguridad ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del ENS 5G.

El resultado de esta auditoría será presentado al Ministerio para la Transformación Digital y de la Función Pública con una periodicidad bienal.

f) Proporcionar información sobre posibles injerencias de terceros en el diseño, operación y funcionamiento de sus equipos, productos y servicios.

g) Proporcionar a los operadores 5G y usuarios corporativos 5G la información y acreditar el cumplimiento de estándares de seguridad de equipos, productos y servicios que suministren. Colaborar para realizar una correcta monitorización o detección de la ciberseguridad por parte de los Centros de Operaciones de Seguridad 5G que puedan crear los sujetos obligados.

3. Los suministradores 5G deberán aportar al Ministerio para la Transformación Digital y de la Función Pública una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, cuando sean requeridos para ello.

4. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública un informe de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.

5. Los suministradores 5G de alto riesgo y de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública cada dos años una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para detectar, gestionar y mitigar los riesgos, o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.

6. Los suministradores 5G son los responsables de la definición y ejecución de las medidas de mitigación de riesgos que lleven a cabo y del cumplimiento de las obligaciones de información y remisión de documentación establecidos en este artículo.

Artículo 25. Gestión de seguridad por los usuarios corporativos 5G.

1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán garantizar la instalación, despliegue y explotación seguros de redes privadas 5G y prestación segura de servicios 5G en autoprestación mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de las redes y servicios 5G.

2. Los usuarios corporativos 5G mencionados deberán aportar al Ministerio para la Transformación Digital y de la Función Pública una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos, cuando sean requeridos para ello.

Artículo 26. Gestión de seguridad por las Administraciones públicas.

1. Las Administraciones públicas incluidas en el ámbito de aplicación de este esquema deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G.

2. En particular, las administraciones públicas que quieran llevar a cabo la instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.

3. Cada órgano o entidad de la Administración pública incluida en el ámbito de aplicación de este esquema contará con una política de seguridad referida a los sistemas, redes y servicios 5G, formalmente aprobada por el órgano competente. Esta política de seguridad podrá determinar la inclusión de la totalidad o una parte de órganos administrativos o entidades pertenecientes al sector público institucional en el ámbito de aplicación de una sola política de seguridad.

Artículo 27. Gestión de seguridad por los Centros de Operaciones de Seguridad 5G.

1. Los sujetos obligados podrán constituir Centros de Operaciones de Seguridad 5G, que adoptarán medidas técnicas, operativas y de organización adecuadas y proporcionadas para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes, incluida la cooperación entre los sectores público y privado, así como para gestionar los riesgos que se planteen para la seguridad de los sistemas, redes y servicios 5G, para lo que deberán adoptar medidas para gestionar estos riesgos conforme a lo previsto en este esquema.

2. Las medidas a las que se hace referencia en el apartado anterior se fundamentarán en un enfoque holístico de los riesgos, la probabilidad de que produzcan los incidentes y su gravedad, incluidas sus repercusiones sociales y económicas, e incluirán, al menos, los siguientes elementos:

a) Las políticas de seguridad de cada elemento de la red y su correspondiente análisis de riesgos.

b) El procedimiento de gestión en caso de incidentes.

c) El análisis de la continuidad de las actividades, la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.

d) La seguridad de la cadena de suministro, incluidos los aspectos de seguridad relativos a las relaciones entre cada sujeto obligado y sus proveedores o prestadores de servicios directos.

e) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas, redes y servicios 5G, incluida la gestión y divulgación de las vulnerabilidades.

f) Las políticas y los procedimientos para evaluar la eficacia de las medidas para la gestión de riesgos de ciberseguridad.

g) Las prácticas básicas de ciberhigiene y formación en ciberseguridad.

h) Las políticas y procedimientos relativos a la utilización de criptografía y, en su caso, de cifrado.

i) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.

j) El uso de soluciones de autenticación multifactorial o de autenticación continua, comunicaciones de voz, vídeo y texto y sistemas seguros de comunicaciones de emergencia en la entidad, cuando proceda.

k) La monitorización o detección de la ciberseguridad en las redes y servicios 5G y entre sus componentes o su relación con otras redes.

3. Los sujetos obligados y los Centros de Operaciones de Seguridad 5G creados deberán colaborar y cooperar con el Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41 en el desarrollo de sus funciones, a través de, entre otras, de las siguientes actuaciones:

a) Establecer mecanismos seguros de intercambio de información.

b) Llevar a cabo reuniones periódicas para tratar, entre otros asuntos, el estado de situación de la ciberseguridad 5G y estudiar posibles mejoras.

c) Designar una persona que ejercerá como punto de contacto con los responsables de la seguridad de la información nombrados por los sujetos obligados del sector de las telecomunicaciones en virtud del artículo 7 del RD 43/2021, por el que desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Artículo 28. Prestación de servicios de respuesta a incidentes de seguridad.

1. La notificación de incidentes será llevada a cabo según los términos establecidos en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, o en base a la normativa que pudiera remplazar a esta regulación fruto de la transposición de la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión.

2. El INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España, prestará los servicios de respuesta a incidentes de seguridad que se produzcan en los sistemas, redes y servicios 5G de los sujetos obligados que no sean entidades del Sector Público y, en consecuencia, no estén incluidos en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

A tal efecto, en el ejercicio de este cometido, INCIBE-CERT ejercerá las funciones e implementará los procedimientos oportunos en los términos indicados en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

3. El CCN-CERT prestará los servicios de respuesta a incidentes de seguridad que se produzcan en los sistemas, redes y servicios 5G de los sujetos obligados que sean entidades del Sector Público y, en consecuencia, estén incluidos en el ámbito subjetivo de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

A tal efecto, en el ejercicio de este cometido, CCN-CERT ejercerá las funciones e implementará los procedimientos oportunos en los términos indicados en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

4. El ESPDEF-CERT, del Mando Conjunto del Ciberespacio, cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que éstos requieran en apoyo de los operadores 5G y, necesariamente, en aquellos operadores que tengan incidencia en la Defensa Nacional.

5. La cooperación y coordinación oportunas entre INCIBE-CERT, CCN-CERT y ESPDEF-CERT se llevará a cabo conforme a lo indicado en el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información y en el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

6. Mediante orden del Ministerio para la Transformación Digital y de la Función Pública se establecen la tipología de incidentes y los protocolos de actuación y comunicación para que el Ministerio para la Transformación Digital y de la Función Pública, a través del Centro de Operaciones de Seguridad 5G de referencia, conozca de los incidentes de seguridad que se produzcan en los sistemas, redes y servicios 5G de los sujetos obligados.

Artículo 29. Condiciones de cumplimiento de las obligaciones.

En el cumplimiento de las obligaciones establecidas en los artículos anteriores, los sujetos obligados tendrán en cuenta y aplicarán lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución de ambas disposiciones.

Artículo 30. Confidencialidad de la información sobre gestión de riesgos.

1. El Ministerio para la Transformación Digital y de la Función Pública podrá recabar de los sujetos obligados la información necesaria para la gestión de riesgos.

2. Los sujetos obligados deben proporcionar la información en el plazo de quince días hábiles a contar desde el día siguiente al de la notificación del requerimiento de información.

3. El incumplimiento de los requerimientos de información formulados conforme a lo indicado en el apartado anterior, cuando haya pasado un mes desde la finalización del plazo dado para su cumplimiento, es calificado como infracción grave.

CAPÍTULO VI

Otras medidas de cumplimiento en materia de la seguridad de las redes y servicios 5G

Artículo 31. Deber de colaboración en la modificación y ejecución del ENS5G.

Todos los sujetos obligados, así como las Administraciones públicas, los fabricantes, importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G, deberán prestar la colaboración y remitir la información que le sea requerida para la modificación y ejecución del ENS5G.

Artículo 32. Certificación de equipos, productos y servicios 5G.

Mediante orden de la persona titular del Ministerio para la Transformación Digital y de la Función Pública se podrá supeditar la utilización de un equipo, sistema, programa o servicio en concreto por los sujetos obligados a la previa obtención de una certificación establecida en virtud del Reglamento (UE) 2019/881, del Parlamento Europeo y del Consejo, de 17 de abril de 2019, relativo a ENISA (Agencia de la Unión Europea para la Ciberseguridad), o de los esquemas de certificación y normas técnicas de certificación de equipos y productos 5G que a nivel europeo o internacional puedan aprobarse, o cualquier otra legislación de la UE o nacional que así lo requiera en caso de que no existan.

Artículo 33. Procedimientos de determinación de la conformidad con el Esquema Nacional de Seguridad 5G.

1. Los sujetos obligados serán objeto de un proceso para determinar su conformidad con el ENS5G. A tal efecto, precisarán de una auditoría para la certificación de su conformidad, sin perjuicio de la auditoría de la seguridad prevista en los artículos 23 y 24 que podrá servir asimismo para los fines de la certificación.

Tanto la auditoría prevista en los artículos 23 y 24 como la auditoría de certificación se realizarán en los términos que se determinen en la correspondiente Instrucción Técnica de Seguridad, que concretará asimismo los requisitos exigibles a las entidades certificadoras.

2. Los sujetos obligados a los que se refiere el apartado anterior darán publicidad, en los correspondientes portales de internet o sedes electrónicas a las certificaciones de conformidad con el ENS5G, atendiendo a lo dispuesto en la mencionada Instrucción Técnica de Seguridad.

Artículo 34. Cumplimiento de la normativa sobre inversiones extranjeras y sobre competencia.

Las obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de marzo, en este esquema y en los actos que se dicten en ejecución de ambas disposiciones se entienden sin perjuicio de la aplicación de los instrumentos de control sobre inversiones extranjeras directas, así como de la aplicación de la normativa en materia de defensa de la competencia.

Artículo 35. Equipos terminales.

La fabricación, importación, distribución, puesta en el mercado y comercialización de equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G, estará condicionado al cumplimiento de los requisitos de seguridad para los productos digitales y de los requisitos esenciales aplicables relacionados con la ciberseguridad, adoptados conforme a la normativa europea, en particular, en relación con la protección de los datos personales, la privacidad, y la protección contra el fraude.

Artículo 36. Cooperación internacional.

1. El Gobierno y el Ministerio para la Transformación Digital y de la Función Pública cooperará estrechamente con las instituciones de otros Estados miembros de la Unión Europea y con las instituciones de la Unión Europea en la propuesta de modificación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G y, en general, colaborará con las distintas organizaciones internacionales especializadas para poder llevar a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G.

2. En particular, el Gobierno y el Ministerio para la Transformación Digital y de la Función Pública podrán compartir información relacionada con los análisis que realicen las instituciones de la Unión Europea y con otros Estados miembros de la Unión Europea preservando, como corresponda en Derecho, la seguridad, los intereses comerciales y la confidencialidad de la información recabada en la elaboración del análisis, así como servirse de la información que le envíen otros Estados o las instituciones de la Unión Europea para su realización. Igualmente, podrá llevar a cabo estos análisis de forma conjunta con otros Estados miembros de la Unión Europea.

Artículo 37. I+D+i en ciberseguridad 5G.

El Ministerio para la Transformación Digital y de la Función Pública, directamente o a través del Centro de Operaciones de Seguridad 5G de referencia, impulsará la I+D+i en ciberseguridad 5G mediante la ejecución de distintos programas en los que se seguirán las siguientes líneas generales:

a) Establecimiento de programas de investigación y desarrollo I+D+i en ciberseguridad 5G, con el objetivo de promover la innovación y el desarrollo de tecnologías avanzadas para proteger las redes y servicios 5G contra posibles amenazas y ciberataques.

b) Convocatoria de ayudas públicas para financiar proyectos de investigación en ciberseguridad 5G, con el fin de impulsar la generación de conocimiento y la colaboración entre diferentes actores del sector.

c) Fomento de la colaboración público-privada en I+D+i en ciberseguridad 5G, a través de la creación de programas de financiación conjunta, la organización de eventos y la facilitación de la transferencia de tecnología entre empresas e instituciones de investigación.

d) Establecimiento de programas de apoyo específicos para startups y empresas emergentes que desarrollen soluciones innovadoras en ciberseguridad 5G, proporcionando financiación, y acceso a infraestructuras y recursos de investigación.

e) Promoción de la formación y capacitación de personal especializado en ciberseguridad 5G, en colaboración con los Ministerios competentes, para la creación de programas de formación universitaria y profesional, la organización de cursos y seminarios especializados, y el fomento de la participación en programas de becas y prácticas en empresas del sector.

f) Establecimiento de estándares y buenas prácticas en ciberseguridad 5G, con el objetivo de garantizar la interoperabilidad, la seguridad y la protección de la privacidad en las redes y servicios 5G.

Artículo 38. Impulso a la interoperabilidad.

El Ministerio para la Transformación Digital y de la Función Pública, directamente o a través del Centro de Operaciones de Seguridad 5G de referencia impulsará la interoperabilidad de los equipos y programas ligados a la gestión de redes y servicios 5G, así como la participación de actores públicos y privados en la elaboración de estándares sobre el funcionamiento de las redes y servicios 5G a través de las siguientes iniciativas:

a) Aprobación de normativas y directrices claras para promover la interoperabilidad de los equipos y programas relacionados con la gestión de redes y servicios 5G, incluyendo la definición de estándares técnicos y protocolos de comunicación que faciliten la integración y la compatibilidad entre diferentes sistemas y dispositivos.

b) Impulso para la adopción de estándares abiertos en el diseño y desarrollo de equipos y programas para redes y servicios 5G, con el objetivo de facilitar la interoperabilidad y evitar la dependencia de tecnologías propietarias.

c) Creación de espacios de colaboración entre actores públicos y privados para discutir y elaborar estándares sobre el funcionamiento de las redes y servicios 5G.

d) Promoción de la interoperabilidad como un criterio de evaluación en los procesos de contratación pública relacionados con la adquisición de equipos y servicios para redes y servicios 5G. Esto podría incentivar a los proveedores a desarrollar soluciones compatibles y facilitar la integración de sistemas heterogéneos en entornos públicos.

CAPÍTULO VII

Aplicación del ENS5G

Artículo 39. Competencia para la aplicación del ENS5G.

1. El Ministerio para la Transformación Digital y de la Función Pública será el departamento competente para aplicar el ENS5G y ejercer las demás funciones que le atribuye el Real Decreto-ley 7/2022, de 29 de marzo.

2. El Ministerio para la Transformación Digital y de la Función Pública, para el ejercicio de estas funciones, contará con el apoyo y asistencia del Centro de Operaciones de Seguridad 5G de referencia a que se refiere el artículo 41.

3. Asimismo, el Ministerio para la Transformación Digital y de la Función Pública, para la respuesta a incidentes de seguridad, contará con la cooperación de INCIBE-CERT, CCN-CERT y ESPDEF-CERT.

4. El Ministerio para la Transformación Digital y de la Función Pública se coordinará con los demás órganos competentes en materia de ciberseguridad e infraestructuras críticas para garantizar una aplicación coherente del ENS5G.

Artículo 40. Facultades del Ministerio para la Transformación Digital y de la Función Pública para la aplicación del ENS5G.

1. El Ministerio para la Transformación Digital y de la Función Pública, en el ejercicio de las funciones que le asigna el Real Decreto-ley 7/2022, de 29 de marzo, y el ENS5G podrá ejercer, entre otras, las siguientes facultades:

a) Desarrollar, concretar y detallar el contenido del ENS5G.

b) Autorizar la instalación, modificación o adaptación de estaciones radioeléctricas que proporcionen cobertura a determinadas ubicaciones, áreas y centros en los términos establecidos en el artículo 16.4.

c) Formular requerimientos de información a los sujetos obligados, que deberán ser respondidos en el plazo de 15 días hábiles a contar desde el día siguiente al de su notificación, a efecto de poder ejercer las funciones que le asigna el Real Decreto-ley 7/2022, de 29 de marzo, el ENS5G y su normativa de desarrollo y, en concreto, para verificar y controlar el cumplimiento de las respectivas obligaciones que se imponen a los sujetos obligados.

d) Realizar auditorías u ordenar su realización para verificar y controlar el cumplimiento de las respectivas obligaciones que el Real Decreto-ley 7/2022, de 29 de marzo, el ENS5G y su normativa de desarrollo impone a los sujetos obligados.

e) Realizar inspecciones por los funcionarios destinados en la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y ejercer la potestad sancionadora en los términos indicados en el capítulo siguiente.

f) Conceder ayudas públicas.

g) Desarrollar iniciativas, para fomentar la investigación y el desarrollo en materia de seguridad en las redes y servicios 5G y para la formación de personal especializado.

h) Crear laboratorios que recreen entornos de redes y servicios 5G reales e independientes para el análisis y gestión de riesgos de seguridad y para el aseguramiento del cumplimiento de los requisitos del ENS5G.

i) Ejercer las demás funciones que le correspondan según la legislación aplicable.

Artículo 41. Centro de Operaciones de Seguridad 5G de referencia.

1. Dependiendo del Ministerio para la Transformación Digital y de la Función Pública se crea el Centro de Operaciones de Seguridad 5G de referencia, órgano de apoyo y supervisión de las actuaciones conducentes a garantizar la seguridad de los sistemas, redes y servicios 5G.

2. El Centro de Operaciones de Seguridad 5G de referencia tiene las siguientes funciones:

a) Contribuir y apoyar al ejercicio de las facultades que al Ministerio para la Transformación Digital y de la Función Pública se le asignan en el artículo 40.

b) Proporcionar apoyo operativo a los sujetos obligados en actividades vinculadas a la prevención, protección, detección y respuesta frente a amenazas, incidentes y ciberataques a los sistemas, redes y servicios 5G, así como en la certificación y normalización de los mismos.

c) Fomentar la prevención de los sistemas, redes y servicios 5G mediante actividades dirigidas a ampliar el conocimiento respecto de las vulnerabilidades, tanto técnicas como humanas, y reducir la superficie de exposición, como pueden ser la realización de auditorías, de inspecciones técnicas de seguridad, la gestión de vulnerabilidades, el análisis de vulnerabilidades automatizados o no. el registro y seguimiento de las vulnerabilidades identificadas, el seguimiento a la publicación de vulnerabilidades específicas relacionadas con el 5G, y apoyo a la puesta en práctica de remedios de dichas vulnerabilidades.

d) Capacitación y formación específica en materia de ciberseguridad 5G.

e) Asesorar a los sujetos obligados y sus Centros de Operaciones de Seguridad 5G sobre el diseño de las medidas de seguridad, de las herramientas a utilizar, el desarrollo de guías específicas y la aplicación de las medidas de protección.

f) Ofrecer servicios de seguimiento en el funcionamiento y operatividad de los sistemas, redes y servicios 5G para detectar y responder rápidamente a posibles amenazas y ciberataques.

g) Contribuir a la respuesta de incidentes de seguridad.

h) Desarrollar Planes y Procedimientos de Gestión de Crisis de ciberseguridad y Planes de Contingencia 5G a nivel nacional.

i) Proporcionar apoyo en la obtención de las certificaciones tanto de ámbito nacional como europeo.

j) Identificar y difundir mejores prácticas de implementación de ciberseguridad 5G entre los sujetos obligados.

k) Elaborar guías y documentos de mejores prácticas para la implementación y operación de los sistemas, redes y servicios 5G, abordando aspectos como la seguridad, la privacidad y la gestión de riesgos.

l) Evaluar el impacto de los estándares y normativa en materia de ciberseguridad 5G, proporcionando información y asesoramiento a los responsables de formular políticas para garantizar un entorno propicio para la adopción y el desarrollo de la tecnología 5G.

m) Llevar a cabo actividades de I+D+i en el ámbito de la ciberseguridad 5G, para detectar, anticipar, prevenir y mejorar la respuesta ante incidentes potenciales.

n) Cualquier otra función que se le asigne por el Ministerio para la Transformación Digital y de la Función Pública.

3. Para el ejercicio de estas funciones, el Centro de Operaciones de Seguridad 5G de referencia se integra en la estructura de ciberseguridad nacional en el marco del Sistema de Seguridad Nacional, podrá celebrar los oportunos convenios y mecanismos de colaboración con entidades especializadas en materia de ciberseguridad y protección de operadores 5G y, en su caso, protección de las entidades críticas, entre otros, el Instituto Nacional de Ciberseguridad de España, el Mando Conjunto del Ciberespacio, el Centro Criptológico Nacional, la Oficina de Coordinación de Ciberseguridad y el Centro Nacional de Protección de Infraestructuras Críticas del Ministerio del Interior.

CAPÍTULO VIII

Inspección y régimen sancionador

Artículo 42. Facultades de inspección.

El Ministerio para la Transformación Digital y de la Función Pública ejercerá en la aplicación y supervisión de lo establecido en el Real Decreto-ley 7/2022, de 29 de marzo, el ENS5G y su normativa de desarrollo todas las potestades de la función inspectora previstas en dichas normas y en el título VIII de la Ley 11/2022, de 28 de junio, General de Telecomunicaciones.

Artículo 43. Régimen sancionador.

Será de aplicación el régimen sancionador establecido en los artículos 30 y 31 del Real Decreto-ley 7/2022, de 29 de marzo.

ANEXO I

Elementos, infraestructuras y recursos que integran una red 5G

1. Descripción de la arquitectura de la red 5G-SA

Para el análisis requerido en el presente Esquema Nacional de Seguridad de redes y servicios 5G, se utiliza una arquitectura de red de referencia, siguiendo la recomendación del 3GPP y la especificación ETSI TS 123 501.

En la figura siguiente, se muestra un esquema simplificado de una arquitectura 5G-SA para escenarios de no-roaming (que será utilizada de forma genérica como base). Elementos no presentados en la figura son el UDR, UDSF, UCMF, CHF, 5G-EIR, NWDAF y SEPP.

Imagen del artículo Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G.

Fig. 1: Arquitectura 5G según especificación ETSI TS 123 501

Estos elementos de red son funciones software que se despliegan sobre una infraestructura de virtualización (compuesta, a su vez, de hardware y software de virtualización), la cual puede ser dedicada y específica para una función de red, o común para varias funciones, incluso funciones de red de varios suministradores 5G. En este escenario, la infraestructura para hospedar las funciones de red virtualizadas puede estar diversificada tanto geográficamente como por suministradores 5G diferentes, tal y como se describirá más adelante en este documento.

Adicionalmente a los elementos de red, se despliegan un conjunto de Sistemas para la operación y gestión de la red GER (también denominados OSS, Operations Support System).

2. Identificación y descripción de los entornos de red 5G-SA

Con el objetivo de desglosar la complejidad de la arquitectura de una red 5G-SA, se divide la misma en entornos de red.

Un entorno de red es una agrupación de activos que tienen un cometido y unas características particulares dentro de la red que los diferencian del resto de entornos.

Se puede distinguir dos tipologías de entorno:

a) Entornos primarios: Se consideran entornos primarios aquellos propios de la tecnología o naturaleza de 5G que no existirían sin su despliegue.

b) Entornos secundarios: Se consideran entornos secundarios aquellos comunes en un operador de telecomunicaciones.

En la siguiente figura (figura 2) se puede apreciar una clasificación de la red 5G-SA por entornos:

3. Entornos de red primarios

Dentro de los entornos de red primarios, se encuentra el Acceso Radio, el Núcleo de Red, el Transporte-Backhaul (SecGW), la Interconexión de Roaming y los Sistemas de Control, Gestión y Operación de la Red.

a) Acceso Radio: El entorno de acceso radio (RAN) se encarga de dotar de cobertura a los terminales para que estos se puedan conectar a la red. Destacan las siguientes funciones en el entorno:

1. Operación y mantenimiento del emplazamiento radio. El software permite configurar cada emplazamiento con una serie de células por tecnología para poder prestar servicio a los usuarios y, durante el funcionamiento de la estación base, supervisa su estado para detectar posibles problemas o averías, ante cuya aparición reportaría una alarma al sistema de gestión para que el operador sea consciente y resuelva el problema.

2. Señalización. Para que los usuarios puedan registrarse en la red y establecer servicios portadores para sus comunicaciones, es necesaria señalización entre los terminales, la estación base, y el núcleo de red, y parte de estas funciones las realiza el software de la estación base.

3. Gestión de recursos radio. Los recursos radio de una célula dada son compartidos entre distintos usuarios y el software de la estación base es el responsable de repartirlos entre dichos usuarios (calidad del enlace radio de cada usuario, demanda de velocidad, etc.). El software también puede distribuir a los usuarios entre las células de su estación base (o incluso con células de emplazamientos vecinos), para que el reparto de usuarios sea más homogéneo entre células vecinas.

4. Movilidad. el software de la estación base gestiona el traspaso de las comunicaciones de los usuarios entre distintas células, de su emplazamiento o de emplazamientos vecinos, a medida que los usuarios se desplazan por la red.

5. Transporte: La comunicación física con el resto de la red se realiza por medio de enlaces IP, eléctricos u ópticos, y la estación base tienen que encargarse de gestionar dichos enlaces (priorización entre los distintos tipos de tráfico que van por dichos enlaces, configuración de VLANs, supervisión del enlace, etc.).

La red 5G, en el plano de acceso radio (RAN), se implementa con un solo tipo de elemento de red denominado, de forma genérica, gNodoB (gNB). La mayoría de los suministradores 5G de Red de acceso radio disponen de distintos modelos de gNB, adaptados a distintos tipos de escenarios.

De forma genérica, existen los tipos siguientes:

1. Macro gNB: proporcionan mayor área de cobertura y capacidad de tráfico. Se instalan típicamente en azoteas de edificios o lugares con mucha visibilidad radioeléctrica, con el objetivo de dar cobertura y capacidad general.

2. Micro gNB: de menor potencia, orientados a dar cobertura en localizaciones concretas, ya sean pequeños espacios públicos (como plazas) o espacios de interior (como lugares de eventos, oficinas pequeñas, etc.), o bien para dar capacidad complementaria a la capa general o macro. Se instalan principalmente en puntos de alta demanda de capacidad, para absorber dicha demanda.

3. Sistemas gNB de cobertura de interiores: especializados en cubrir espacios de interiores grandes, con numerosos puntos radiantes de baja potencia, para distribuir la cobertura 5G por dicho espacio interior. Se instalan típicamente en grandes edificios de oficinas, estadios deportivos, metros, etc.

En este contexto, un emplazamiento de la Red de acceso radio 5G estará compuesto por una banda base y varias cabezas remotas y/o antenas activas. El número de cabezas remotas y antenas activas dependerá del número de bandas presentes en el emplazamiento, y del número de sectores.

El software del gNB es común a la banda base, a las cabezas remotas y a las antenas activas, y también es común entre los distintos sistemas de comunicaciones móviles presentes en el emplazamiento (2G, 3G, 4G y/o 5G). Mediante la interfaz NG la estación base se comunica con el Núcleo de red y mediante la interfaz aire con los terminales móviles.

b) Núcleo de red: El núcleo de la red 5G-SA se compone de una serie de funciones de red estandarizadas por el 3GPP que se comunican entre ellas por conexiones tipo SBI (Service Based Interfaces), permitiendo un mallado total en función de las necesidades de cada una de ellas.

Los principios clave de esta arquitectura 5G-SA son:

1. Separar las funciones del plano de usuario (UP) de las funciones del plano de control (CP), lo que permite escalabilidad independiente, evolución e implementaciones flexibles, por ejemplo, ubicación centralizada o ubicación distribuida (remota).

2. Modularizar el diseño de la función, por ejemplo, para permitir un corte de red flexible y eficiente.

3. Permitir que cada Función de Red (y sus Servicios asociados) interactúen con otras Funciones de red, directa o indirectamente a través de un Proxy.

4. Integrar diferentes tipos de acceso, por ejemplo, acceso 3GPP y acceso no 3GPP.

5. Soporta un marco de autenticación unificado.

6. Desacoplar en las funciones de red las funciones de lógica de tipo «stateless» y relacionadas con capacidad de cómputo, de las funciones de estado de tipo «statefull» relacionadas con capacidades de almacenamiento.

7. Permitir la exposición de datos de red de forma segura para el desarrollo de nuevos servicios en base a ellos.

8. Soporte de acceso simultáneo a servicios locales (con requisitos de baja latencia) y servicios centralizados.

9. Permitir y aceptar la itinerancia de tráfico con otras redes, según diferentes modelos de arquitectura.

El conjunto de funciones de núcleo de red definidas por el 3GPP es el siguiente:

1. AMF-Access and Mobility Management Function: función del plano de control de la red 5G. Sus principales funciones son la gestión del registro, la gestión de la movilidad, la gestión de la conexión, y la gestión de diversos aspectos relacionados con la seguridad y autorización de los accesos.

2. SMF-Session Management Function: función del plano de control que se encarga de la gestión de las sesiones (establecimiento, modificación y liberación), gestión y asignación de IP a los terminales de usuario. En resumen, es la responsable de interactuar con el plano de usuario, creando, actualizando o borrando sesiones PDU, a la vez que administra el contexto de la sesión con el UPF.

3. UPF-User Plane Function: función del plano de usuario. Es la responsable del reenvío, enrutamiento e inspección de paquetes, así como de la gestión de la calidad de servicio. Representa el punto de interconexión a la red de datos.

4. PFC-Policy Control Function: es la encargada de proporcionar reglas de políticas a las funciones de red del plano de control, incluyendo network slicing, roaming, gestión de movilidad, o políticas de calidad de servicio 5G. Para la ejecución de las políticas, accede a la información de suscripción del UDR.

5. NRF-Network Repository Function: es la encargada del descubrimiento de los servicios, y mantiene el perfil e instancias de red disponibles. Sus funciones principales son la gestión del servicio, el descubrimiento de servicios, y access token, permitiendo poner en comunicación a dos elementos de la red 5G.

6. SEPP-Security Edge Protection Proxy: es la función de red que permite una interconexión segura entre redes 5G, garantizando la confidencialidad y/o integridad de extremo a extremo entre la red de origen y la de destino, para todos los mensajes de roaming de interconexión 5G.

7. UDM-Unified Data Management: función del plano de control cuyas principales misiones son la generación de credenciales de autenticación, la gestión de identidades de usuario, la gestión de suscripción, la autorización de acceso basado en datos de suscripción, y almacenamiento y gestión de las funciones de red que dan servicio al usuario. El UDM utiliza los datos de suscripción almacenados en el UDR.

8. UDR-Unified Data Repository: es el repositorio unificado de datos de usuario. Estos datos se estructuran en diferentes categorías o tipos, y son accesibles a las diversas funciones de red mediante una serie de servicios expuestos para la gestión y consulta de los mismos (UDM, PCR, NRF..., entre otros).

9. AUSF-Authentication Server Function: es la función del plano de control de la red 5G que se encarga de la autenticación del usuario.

10. CHF-Charging Function: la funcionalidad de tarificación reside en el tarificador convergente (CCS, Converged Charging System), que ofrece las funcionalidades de tarificación online y offline. Entre sus funciones, está el OCF (Online Charging Function), para realizar el control online de las sesiones de datos, el CDF (Charging Data Function), para construir un CDR con la información de red recibida, el ABMF (Account Balance Management Function), para la gestión del saldo y controles de consumo, el RF (Rating Function), función para establecer un precio al uso recibido (tanto online como offline), y el CGF (Charging Gateway Function), para generar CDRs tarificados.

11. NEF-Network Exposure Function: proporciona un medio para exponer, de forma segura, los servicios y capacidades ofrecidos por las funciones de red de 5G.

12. 5G-EIR-5G-Equipment Identity Register: es una funcionalidad opcional que ofrece la capacidad de chequear el estatus de la identidad del terminal (IMEI) y comprobar que no se encuentre en una lista negra.

c) Transporte-Backhaul (SecGW): El Security Gateway (SecGW) proporciona el cifrado del tráfico del plano de control y del plano de usuario entre los entornos de Acceso Radio y de Núcleo de Red, evitando además exposiciones innecesarias de elementos críticos.

d) Interconexión Roaming: El entorno de Interconexión Roaming es necesario para la comunicación con el resto de los operadores de cara a permitir que un usuario de 5G pueda moverse de manera internacional ininterrumpiendo su servicio de voz o banda ancha.

En la siguiente figura (figura 3) se contiene la representación de un Entorno de Interconexión de Roaming:

e) Sistemas de Control, Gestión y Operación y Servicios de Apoyo: El proceso de aseguramiento del núcleo de red 5G se apoya en un conjunto de sistemas de apoyo a la operación (OSS) que se muestran en la siguiente figura (figura 4).

Estos sistemas OSS no forman parte de la prestación del servicio y, por tanto, fallos en su funcionamiento no afectan de forma directa a la disponibilidad de la red ni a la calidad del servicio prestado sobre ella. Sin embargo, la indisponibilidad de estos sistemas afectaría a la capacidad de supervisión, análisis, configuración y planificación de la red descrita en el punto anterior. Desde el punto de vista de la seguridad estos sistemas gestores están segmentados según el suministrador y por tanto una incidencia de seguridad en uno de ellos no afectaría a las funciones de red que no esté bajo el amparo de este OSS.

4. Entornos de red secundarios

Dentro de los entornos de red secundarios, se encuentran las Plataformas de Virtualización, la Infraestructura física, el Edge-Computing y el Network Slicing.

a) Plataformas de Virtualización y Orquestación: Muchos de los elementos de una red 5G son funciones «software» que se despliegan sobre una infraestructura de virtualización (que, a su vez, se compone de hardware y software de virtualización), la cual puede ser dedicada y específica para una función de red, o común para varias funciones (incluso funciones de red de varios suministradores). En este contexto, la infraestructura para hospedar las funciones de red virtualizadas está diversificada tanto geográficamente como por suministradores diferentes.

b) Infraestructura física: Los elementos y funciones de red pertenecientes a los distintos entornos requieren de una infraestructura física donde emplazarlos, cuya naturaleza, disponibilidad y seguridad dependerá obviamente de la criticidad del activo en concreto. Esta infraestructura física otorga a los elementos y funciones de red las necesidades básicas para un correcto funcionamiento.

c) MultiAccess Edge-Computing (MEC): El edge computing multiacceso es un tipo de arquitectura o entorno de red que pretende llevar las funciones de procesamiento de tráfico de usuario y cloud computing TI al extremo de la red con el objetivo garantizar el funcionamiento de nuevos casos de uso que requieren una latencia mínima.

En concepto, se define en términos más amplios como una evolución del cloud computing que utiliza las tecnologías móviles y de nube para separar los hosts de aplicaciones del centro de datos donde se encuentran y trasladarlos hacia el extremo de la red. Esto no sólo permite que los usuarios finales estén más cerca de las aplicaciones, sino también que los servicios informáticos estén más cerca de los datos que estas generan.

En este Edge-Computing conviven tanto aplicaciones de terceros, como funciones de red para procesar en el Edge el tráfico de usuario.

d) Network Slicing: Se trata de una forma de arquitectura que ofrece la posibilidad de crear, sobre una infraestructura física de virtualización común compartida, varias redes virtuales personalizadas y aisladas de manera lógica entre sí, otorgando a cada una de ellas una criticidad determinada en función de las necesidades específicas de aplicaciones, servicios, dispositivos, clientes u operadores.

Se prevé que, con esta tecnología, los operadores de redes y servicios 5G puedan implementar una segmentación de red para crear múltiples redes virtuales con diferentes tamaños de conectividad, adaptándose a las necesidades de conexión de los diferentes usuarios, asignado de forma específica los recursos necesarios para garantizar el servicio correcto.

En líneas generales, dentro del concepto network slicing, cada red virtual (o porción de la red) engloba un conjunto independiente de funciones lógicas de red que soportan los requerimientos del caso de uso particular. Cada uno de ellos se optimizará para brindar los recursos y razonamientos matemáticos de red para el servicio y el tráfico que será usado en la segmentación.

En el caso de la tecnología 5G-SA, capacidad, conectividad, variedad, velocidad, cobertura y seguridad se asignarán para satisfacer las demandas específicas de cada caso de uso.

ANEXO II

Análisis de riesgos a nivel nacional

1. Metodología empleada

Un análisis de riesgos tiene como objetivo identificar y categorizar las principales amenazas sobre las redes y servicios 5G, con la finalidad de determinar medidas correctivas que puedan disminuir sus consecuencias o incluso evitarlas.

Conociendo esta finalidad, el paso siguiente lógico es establecer los medios para lograr dicho objetivo. Un análisis de riesgos ha de realizarse con una metodología estandarizada, holística y un orden consecuente y lógico, pormenorizando cada uno de los aspectos de manera cualitativa y cuantitativa. En caso contrario, el nivel de riesgo calculado podría desvirtuarse y con él, los criterios y prioridades en las medidas de protección y/o acciones clave a llevar a cabo.

Se muestra a continuación las fases seguidas para el análisis efectuado, así como las fuentes de información utilizadas para la metodología utilizada.

a) Identificación y descripción de la arquitectura 5G, los entornos de red existentes en la misma y los activos que la componen, todo ello sujeto a la evolución tecnológica (ver anexo I).

b) Identificación de criticidad para los activos dentro de cada una de las partes o elementos de una red 5G, sean partes o elementos críticos o no de la red 5G en los términos indicados en el artículo 6, apartados 2 y 3, del Real Decreto-ley 7/2022, de 29 de marzo, artículos 5 y 6 y anexo I de este esquema: para poder identificar el impacto de una amenaza en la red, es necesario primeramente determinar la criticidad de cada uno de los activos, basándonos en las cinco dimensiones de seguridad (Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad).

c) Identificación de los riesgos de la tecnología 5G y su impacto en los activos identificados: determinar las potenciales amenazas presentes en este entorno específico, clasificándolas por activo e identificando su nivel de riesgo.

d) Identificación de las medidas de seguridad técnicas, organizativas y estratégicas, para paliar o reducir el nivel de riesgo de las amenazas identificadas para cada entorno de red. Su efectividad será directamente proporcional al grado de disminución del nivel de riesgo para una determinada amenaza y activo.

e) Gestión de los riesgos y riesgos remanentes, en aquellas amenazas cuyo nivel sea considerable y no pueda ser disminuido por ninguna medida adicional desde el diseño (ver anexo III).

2. Dimensiones de seguridad que afectan a la criticidad de un activo

De manera estandarizada y ampliamente reconocida, se consideran cinco dimensiones de seguridad a la hora de evaluar la criticidad de los activos dentro de cada una de las partes o elementos de una red 5G, sean partes o elementos críticos o no de la red 5G en los términos indicados en el artículo 6, apartados 2 y 3, del Real Decreto-ley 7/2022, de 29 de marzo, artículos 5 y 6 y anexo I de este esquema, cuando de evaluar la seguridad de una solución es lo que aplica.

Las cinco dimensiones de seguridad son Confidencialidad, Integridad, Trazabilidad, Autenticidad y Disponibilidad.

a) Confidencialidad: La confidencialidad en un activo o una red valora la capacidad de evitar que la información que está contenida en el activo, o en tránsito en la red, sea expuesta a usuarios no autorizados, los cuales no deben tener acceso a ésta y la información ni se pone a disposición, ni se revela a individuos, entidades o procesos no autorizados.

Las medidas de seguridad para garantizar la confidencialidad son diversas, desde la segmentación y el control de acceso, hasta el cifrado robusto de la información. El principal factor a la hora de valorar importancia de la confidencialidad en un activo es la sensibilidad de la información que almacena o transita por el mismo. Es importante tener en cuenta cuando se atiende a este factor, el impacto que puede tener para el resto de la red el hecho de que se comprometa ese activo.

Ejemplos de riesgos que puedan comprometer la confidencialidad son los siguientes: Espiar/interceptar el tráfico/datos de usuario en la red (Man in the Middle/, Eavesdropping), u obtener las credenciales de los operadores, ya sea debido a una errónea configuración de la red, a la ausencia de políticas de segmentación y control de acceso a los activos, o, por ejemplo, a la ausencia de cifrado en interfaces expuestas.

b) Integridad: La integridad es la capacidad de garantizar que los datos de un activo/usuario/red durante su ciclo de vida, ya sea en tránsito o almacenados, son modificados sólo por los agentes autorizados a ello, evitando que fuentes no deseadas puedan cambiar o manipular dichos datos, es decir, que no ha sido alterado de manera no autorizada. Algunas medidas para garantizar la integridad pueden ser la segmentación y el control de acceso, la comprobación del hash en los paquetes, la verificación de integridad de las versiones a instalar o almacenadas, etc.

Ejemplos de riesgos que comprometan la integridad son: Manipulación del tráfico/datos (en tránsito o almacenado) en interfaces expuestas de la red 5G.

c) Trazabilidad: propiedad o característica consistente en que las actuaciones de una entidad (activo/usuario/red/persona/proceso) pueden ser trazadas de forma indiscutible hasta dicha entidad.

Ejemplos de riesgos que puedan comprometer la trazabilidad son los siguientes: pérdida de control de la cadena de generación de información y/o datos o la manipulación y/o borrado de los registros y logs.

d) Autenticidad: propiedad o característica consistente en que una entidad (activo/usuario/red/persona/proceso) es quien dice ser o bien que garantiza la fuente de la que proceden los datos.

Ejemplos de riesgos que puedan comprometer la autenticidad son los siguientes: falsificación de información y/o de paquetes de datos.

e) Disponibilidad: La disponibilidad se basa en el principio de garantizar que los usuarios legítimos tengan acceso ininterrumpido a los servicios y datos dentro del entorno para su correcto funcionamiento y las entidades o procesos autorizados tienen acceso a los mismos cuando lo requieren. Este concepto pretende juzgar la importancia del activo y su solución en la continuidad de negocio de un determinado servicio, recurso o infraestructura. El nivel de riesgo de afectación a la disponibilidad se suele unir al número y al tipo de usuarios afectados que supondría la caída del servicio.

Para garantizar la disponibilidad se pueden tomar diversas medidas entre las que están la creación de soluciones de backup, la redundancia/resiliencia de los activos, la capacidad de mitigación frente a ataques DDoS, o los procedimientos eficaces de restauración del servicio tras la caída.

Dentro del entorno, algunos riesgos que puedan comprometer la disponibilidad son los siguientes: Ataques como denegación de servicio a la función de red, a la infraestructura de virtualización, o la infraestructura física, o catástrofes naturales, terrorismo, etc.

3. Determinación de la criticidad de los activos

Se procede, en este apartado, a identificar la criticidad de los activos de una red 5G-SA, teniendo en cuenta las cinco dimensiones de seguridad descritas en el apartado anterior.

1. Se definen tres categorías de criticidad de los activos: BÁSICA, MEDIA y ALTA.

a) Un activo será de categoría ALTA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad ALTO.

b) Un activo será de categoría MEDIA si alguna de sus dimensiones de seguridad alcanza el nivel de seguridad MEDIO, y ninguna alcanza un nivel de seguridad superior.

c) Un activo será de categoría BÁSICA si alguna de sus dimensiones de seguridad alcanza el nivel BAJO, y ninguna alcanza un nivel superior.

a) Red de acceso.

- gNB: Criticidad media.

Los nodos de acceso radio se encuentran ubicados, en su gran mayoría, en emplazamientos en lugares públicos no seguros. Esto hace que su exposición a ataques in situ aumente. La afectación de una celda puede suponer la interrupción de servicio en un área reducida, afectando a una cantidad de usuarios pequeña, además de poder ser soportado su tráfico por alguna otra estación base cercana, por lo que se considera que la criticidad es baja en cuanto a disponibilidad.

Estos nodos no almacenan datos de usuario. A pesar de ello, si se produce un ataque Man in the Middle (MitM), podría verse comprometido el tráfico no cifrado (afectando sólo a los pocos usuarios conectados a ese nodo), además de poder manipular los paquetes en curso si no existe verificación de integridad. Debido a la dificultad de realizar este ataque en el escenario descrito, a la confidencialidad, integridad y autenticidad se le otorga una criticidad media.

b) Núcleo de red.

- AUSF, UDM y UDR: Criticidad alta.

Un atentado contra la confidencialidad/integridad en estos activos puede suponer la exposición de información crítica del usuario en la red (claves de autenticación, integridad y cifrado, datos de provisión de los usuarios y sus identidades, etc.).

La obtención de esta información tendría un impacto muy alto debido a que es información asociada directamente a la tarjeta SIM de los clientes, y su exfiltración puede conllevar no sólo a una exposición de las comunicaciones de los usuarios, sino también a la pérdida de imagen del operador de redes y servicios 5G, y puede implicar la sustitución de las tarjetas SIM comprometidas. Por dichos motivos, la criticidad del activo en lo que a confidencialidad e integridad se refiere es alta.

Además, al ser un elemento centralizado que recibe las peticiones de autenticación de todos los usuarios de la red, en caso de no desplegarse con una solución correcta que garantice su resiliencia y continuidad de negocio, una disrupción en el mismo puede provocar la caída completa de la red. Por tanto, en cuanto a disponibilidad, también tiene una criticidad alta.

En el caso de la autenticidad y trazabilidad se le otorga una criticidad alta.

- AMF, NRF y NEF: Criticidad alta.

• NRF: Criticidad alta.

Este elemento dispone de un mapa de toda la red, nodos y servicios. Un acceso no autorizado puede dar el detalle del despliegue de la red, los enrutamientos, DNS, slices, servicios, etc. Además, la alteración de su configuración puede provocar errores de comunicaciones internas en la red. Dadas estas razones, la confidencialidad e integridad del NRF se consideran de criticidad alta.

Sin embargo, dado que en casos de caída de NRF, el AMF guarda en caché los destinos de forma indefinida, hace que su criticidad en cuanto a disponibilidad sea baja.

En el caso de la autenticidad y trazabilidad se le otorga una criticidad alta.

• AMF: Criticidad alta.

Al ser el encargado de gestionar la movilidad de los usuarios, un ataque o acceso no autorizado puede permitir obtener o exfiltrar información delicada (identidades del usuario, localización a nivel de Tracking Area, e incluso el identificador del nodo donde se encuentra el cliente cuando el terminal está en modo conectado).

Por este motivo, riesgos de exfiltración más que de alteración de información, se considera alta la criticidad en cuanto a confidencialidad, y media en cuanto a integridad.

Por otra parte, dado que únicamente atiende a una parte de los usuarios de la red, se considera que la criticidad en cuanto a disponibilidad es media.

En el caso de la autenticidad y trazabilidad se le otorga una criticidad media.

• NEF: Criticidad media.

Este elemento es el responsable de garantizar la autenticación, confidencialidad e integridad de las comunicaciones de entidades externas al Núcleo de red, contra alguna de las funciones internas del Núcleo de red (interfaz SBI). Un acceso no autorizado, puede permitir la modificación de alguna política de seguridad entre las funciones externas al Núcleo de red y las internas. Sin embargo, esta función de red no se utiliza para la prestación de servicio generalista a los usuarios 5G. Por ese motivo, la confidencialidad e integridad tienen una valoración media.

Si atendemos a la disponibilidad, la caída de este equipo, en caso de no tener redundancia, sólo afectaría a aquellos servicios que necesiten comunicación externa con los elementos del Núcleo de red, lo que no tendría una afectación considerable y por eso se considera baja.

En el caso de la autenticidad y trazabilidad se le otorga una criticidad media.

- SMF/UPF y PCF: Criticidad baja.

En esta categoría se agrupan los siguientes elementos, en los que, en general, una afectación a los mismos no tiene un impacto notable en la prestación del servicio 5G, por lo que su valoración de criticidad es baja.

• SMF/UPF: Criticidad baja.

El SMF se encarga del establecimiento de las sesiones, y el UPF se encarga de la gestión del plano de usuario: desencapsula el tráfico del usuario que llega del acceso radio y lo encamina a otras redes de datos. Un acceso no autorizado puede desactivar la sesión de un usuario, pero se establecería en otro SMF/UPF. Además, el uso del SecGW entre la Red de acceso y el Núcleo de red imposibilita un MiTM, lo que hace que su criticidad atendiendo a la confidencialidad, integridad, autenticidad y trazabilidad sea baja.

Por otra parte, atendiendo a la disponibilidad, su criticidad se considera baja igualmente, debido a que un usuario no puede estar más que en un AMF, pero sus sesiones sí pueden estar en diversos SMF/UPF.

• PCF: Criticidad baja.

Este elemento no es especialmente crítico para los servicios de datos, siempre y cuando, además, los terminales sean de tipo data-centric. Aunque dispone de las políticas relacionadas con los servicios y la tarificación, los AMF/SMF siempre son configurados para poder dar servicio sin este elemento. Un efecto normal de caída de PCF en servicio de datos es no poder tarificar online a los clientes. La eventual afectación sobre el servicio de voz puede mitigarse mediante servicio de voz por 2G/3G. Por dichos motivos, su criticidad atendiendo a los diferentes criterios sería baja.

c) Transporte-Backhaul.

- SecGW: Criticidad alta.

La red de transporte conecta los elementos del Núcleo con los de la Red de acceso. Un posible corte de esta en uno de sus tramos hace que solamente la zona de nodos de acceso radio en la que se produce dicho corte se vea afectada y, de forma temporal, se puede forzar a que el tráfico no pase por este elemento en dicha zona, con lo que la disponibilidad tiene una criticidad media.

Por otro lado, comprometer un sitio o interceptar el tráfico conlleva a una fuga de información importante, dado que es el elemento encargado de cifrar la información en tránsito que llega desde una gran cantidad de nodos. Por ello, atendiendo a la confidencialidad se le asigna una criticidad alta. Estando cifrada esta comunicación, alterarla es complicado, por lo que la criticidad en cuanto a integridad, autenticidad y trazabilidad se considera media.

d) Interconexión Roaming.

- SEPP: Criticidad alta.

Este elemento permite el intercambio de señalización con otras redes en escenarios de itinerancia. Pese a ser un elemento expuesto a otras redes, únicamente transporta tráfico de usuarios de roaming, y no el de los usuarios nacionales. Este hecho hace que la criticidad en cuanto a disponibilidad, autenticidad y trazabilidad sea media.

Por otra parte, la confidencialidad de las comunicaciones y su integridad sí son aspectos importantes (sobre todo la primera), pues es un entorno en el que, en caso de carecer de las protecciones adecuadas, se puede obtener o exfiltrar información sensible de los usuarios, incluso de aquellos que no están en roaming. Esto hace que la criticidad en cuanto a confidencialidad sea alta.

Es un entorno que la industria y los organismos de estandarización se ha tomado muy en serio, donde, de manera nativa, los fabricantes van a incluir capacidades de configuración de cifrado e integridad, lo que permite que, si el tráfico va cifrado, atentar contra la integridad sea más complicado, otorgándose una criticidad media.

e) Sistemas de control y gestión y servicios de soporte.

- GER: Criticidad alta.

Estos elementos permiten una correcta operación de los elementos que conforman el entorno de red 5G. Pueden gestionar todo un entorno de red, intercambiando mensajes de configuración que pueden dar órdenes fraudulentas a los equipos, o incluso transportar credenciales.

Por tanto, se considera que la integridad, confidencialidad, autenticidad y trazabilidad de este elemento es alta.

Sin embargo, una interrupción o falta de comunicación con la red por parte de los Sistemas de gestión no ocasiona una caída de esta, considerando que la disponibilidad es de criticidad baja.

f) Infraestructura de virtualización /orquestación.

- Infraestructura de virtualización: Criticidad alta.

Todos los elementos del Núcleo de red 5G se encuentran desplegados sobre una Infraestructura virtualizada. Esto implica que cualquier ataque que consiga una disrupción de su funcionamiento, poder controlar los nodos de esta, interceptar el tráfico, modificar el funcionamiento, etc., puede tener graves consecuencias en la prestación del servicio, llegando a incluso su interrupción total. Por los motivos descritos, la criticidad en cuanto a confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad es alta, considerándose este un activo crítico dentro de la red.

- Gestión/orquestación de la virtualización: Criticidad alta.

De forma análoga a los Sistemas de gestión/operación y servicios de soporte, lo más crítico en este activo son la confidencialidad e integridad de las comunicaciones y accesos, calificadas de criticidad alta, pues desde los Orquestadores de la virtualización se controlan todos los elementos de la plataforma de virtualización, que podrían ser vulnerados o atentados (por ejemplo, eliminación de CNF, apagado de hardware, etc.). Así mismo se otorga a autenticidad y trazabilidad una criticidad alta.

Sin embargo, una interrupción o falta de comunicación con la red por parte del Orquestador no ocasiona una caída de las plataformas de virtualización, considerando así que la criticidad en cuanto a disponibilidad es baja.

g) Infraestructura física.

- Infraestructura física: Criticidad alta.

La infraestructura física es especialmente vulnerable a los ataques que provocan daños físicos en el equipamiento, robo, cortes de energía, etc. La disponibilidad de esta es fundamental para el funcionamiento de las redes y los servicios, ya que se va a utilizar de base para ubicar muchas funciones de red y sistemas de gestión de toda la red, por lo que el valor de criticidad, en cuanto a disponibilidad, es alto.

La confidencialidad, integridad, autenticidad y trazabilidad de este activo se consideran bajas, dado que no representa un riesgo para la información o las comunicaciones en sí misma, dependiendo fundamentalmente de los protocolos y mecanismos de control lógicos implementados en las capas superiores (infraestructura de virtualización, aplicaciones, etc.), con objeto de evitar la obtención de información si alguien se hace con un activo.

Cuadro resumen: tabla de criticidad de activos

4. Clasificación de activos en función de la criticidad

En base a los análisis anteriores y a las aportaciones realizadas por los operadores de redes y servicios 5G, se ha identificado un conjunto de elementos calificándolos con importancia crítica para la operación de las redes 5G, para su configuración o gestión, o de los servicios prestados por las mismas.

Tal y como se ha recogido en el apartado anterior, todos los activos de criticidad alta del entorno primario de red pertenecen al Núcleo de red. No obstante, desde el punto de vista de la criticidad, no es posible considerar el Núcleo de red como un bloque homogéneo. Por ello, se considera aplicable un tratamiento diferenciado en relación a las medidas conducentes a garantizar la disponibilidad de los servicios que ofrecen.

Así pues, el Núcleo de red está compuesto de diversas funciones de red (o Network Functions, NF) que se despliegan en Infraestructuras virtualizadas independientes de la propia función de red. La clasificación considera cuáles de estas entidades son más críticas no sólo desde el punto de vista de redundancia, sino también del posible impacto de accesos no autorizados o ataques desde otras redes.

Además, se tiene en cuenta los posibles accesos no autorizados a la Infraestructura virtualizada sobre la que se despliegan estas funciones de red, y se establece una importancia relativa entre las distintas entidades, recalcando que, para obtener un servicio completo, todas ellas son necesarias.

a) Criticidad alta.

El riesgo que más comprometería el servicio 5G sería un acceso no autorizado al entorno AUSF/UDM/UDR. En el AUSF están las claves de autenticación que permiten el acceso a cualquier comunicación radio cifrada, y en el UDM/UDR se encuentran todos los datos de provisión de los usuarios y sus identidades, y precisamente el 3GPP ha incluido el uso del SUCI (identidad IMSI cifrada) para evitar que esa identidad viaje por el interfaz radio, ya que disponer del SUPI de un usuario es el primer paso para cualquier otro ataque. Se considera sin duda que estas son las funciones de red más críticas dado que el impacto de obtener las claves y las entidades es duradero (al estar asociado a las claves de la SIM de los clientes). La pérdida de imagen de un operador de redes y servicios 5G ante una intrusión en estas funciones de red sería enorme y podría implicar la sustitución de las SIMs comprometidas. No obstante, el diseño de red permite proveer servicio sin ningún impacto ante fallo doble de instancias de cualquiera de estos nodos.

Además de los anteriores, se consideran de criticidad alta, entre otras, las siguientes funciones:

i. NRF: este elemento dispone de un mapa de toda la red, nodos y servicios. Con la información del NRF se dispone de todo el detalle del despliegue de la red, enrutamientos, DNNs, slices, servicios, etc. Además, un acceso no autorizado permitiría paralizar el servicio 5G ya que todas las funciones de red consultan a esta entidad para conocer las funciones de red destino que dispone del servicio requerido. No obstante, las funciones de red tienen cacheada la información de NRF, lo que permitiría mitigar temporalmente el ataque. A mayores, el diseño de red permite proveer el servicio sin ningún impacto ante fallo doble de instancias de este nodo.

ii. SEPP: permite el intercambio de señalización con otras redes para escenarios de itinerancia en la red propia, o en la de otras redes de terceros. Es un elemento expuesto, aunque los suministradores 5G han desarrollado un número elevado de funcionalidades para garantizar su seguridad e integridad. Adicionalmente, ha de garantizarse el aislamiento entre los dominios internos y externos.

iii. AMF: es el encargado de la gestión de la movilidad. Un ataque o acceso no autorizado al mismo, permitiría obtener información muy delicada (identidad del usuario, localización a nivel Tracking Area, e incluso gNB-id donde se encuentra el cliente cuando su terminal está en modo connected), con posibilidad de rastrear el movimiento de usuarios, y sus procedimientos de señalización relacionados con la movilidad y gestión de sesiones. Estos elementos se despliegan en modo pool y se dimensionan para soportar de forma simultánea fallo de un nodo de cada pool.

b) Criticidad media.

En esta categoría de criticidad media se incluye la función NEF.

c) Criticidad baja.

En esta categoría, nuevamente, de mayor a menor criticidad, se indica:

i. SMF/UPF: SMF se encarga de la gestión de las sesiones (establecimiento, modificación y liberación), la gestión y asignación de IP a los terminales de los usuarios, etc. También es responsable de interactuar con el plano de usuario creando, actualizando o borrando sesiones PDU, así como de administrar el contexto de la sesión con el UPF, mientras que el UPF gestiona el plano de usuario. Estos elementos están mucho más redundados que los AMFs anteriormente descritos, y un acceso no autorizado podría desactivar la sesión de un usuario, aunque esta se establecería en otro SMF/UPF. El plano de usuario o tráfico real de clientes se encamina, en general a otras redes (internet/intranet) que son de seguridad más baja, por lo que un atacante de plano de usuario tiene más fácil comprometer el servicio atacando el servidor destino o incluso el terminal.

ii. PCF: no es especialmente crítico, ya que los AMF/SMF se configuran para poder dar servicio sin este elemento, afectando, eventualmente, a la tarificación online de los clientes.

d) No críticos.

Los elementos CHF, NWADF y 5G-EIR no se consideran críticos para prestación del servicio 5G debido a que, en caso de caída o indisponibilidad parcial o total de cualquiera de ellos, los clientes no deberían verse afectados en el servicio.

5. Identificación de amenazas y riegos en la tecnología 5G

En el artículo 9 del Real Decreto-ley 7/2022, de 29 de marzo, se especifica la necesidad de identificar los factores de riesgo a analizar en función de la evolución tecnológica, la incorporación de nuevos avances, funcionalidades y estándares tecnológicos, la situación del mercado de comunicaciones electrónicas y del de suministros y de la aparición de nuevas amenazas y vulnerabilidades.

Los siguientes apartados recogen las tareas realizadas.

5.1 Criterio de identificación del riesgo de un ataque.

Para calcular el nivel de riesgo de seguridad que introduce una amenaza, utilizamos tres factores atendiendo a las siguientes fórmulas:

Nivel de riesgo = (Probabilidad de ocurrencia) × (Impacto en la red)

donde, a su vez,

(Impacto en la red) = (Criticidad del activo) × (Factor de escalado)

Se define, seguidamente, los conceptos empleados:

a) Probabilidad de ocurrencia: Se realiza una valoración en base a los siguientes parámetros:

i. Grado de exposición del activo a la vulnerabilidad: da una medida de lo expuesto que se encuentra el elemento analizado a nivel físico o lógico, y el nivel de accesibilidad/facilidad que pueda tener el atacante de cara a ejecutar la amenaza.

ii. Complejidad o conocimientos para desarrollar el ataque: la probabilidad de ocurrencia aumenta en el caso de que el ataque se pueda realizar sin muchos conocimientos técnicos y el entorno de ataque sea sencillo de implementar o se usen herramientas automatizadas.

iii. Conocimiento público de la vulnerabilidad: un ataque es más probable cuanto más conocido es a nivel de comunidad. En el caso de que la vulnerabilidad esté poco difundida o se maneje solamente en ciertos círculos (como por ejemplo suministradores 5G u operadores de redes y servicios 5G), su explotación será menos probable.

iv. Rastro que deja el ataque: en caso de que el ataque se realice por fuerza bruta o dejando trazabilidad en las redes, será menor la probabilidad de que existan atacantes dispuestos a aprovechar la vulnerabilidad. Se trata de casos en los cuales no pueda realizarse suplantación de identidad.

v. Beneficio obtenido con el éxito del ataque: valor económico, reconocimiento, relevancia, etc., de la consecución del ataque.

Los posibles valores de la probabilidad de ocurrencia son Muy Alto, Alto, Medio, Bajo.

b) Impacto en la red: de forma similar a la probabilidad de ocurrencia, se utiliza una valoración cualitativa para medir el impacto que podría tener el ataque en la red.

Para evaluar el servicio y dar una valoración del impacto se utilizan los siguientes parámetros:

i. Criticidad del activo: concepto mencionado anteriormente, que engloba la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad.

ii. Factor de escalado: identifica la importancia y/o alcance del ataque a nivel de afectación de la red. Toma en consideración tanto el alcance (número de usuarios que pueden ser impactados), como el tipo de impacto del ataque (fuga de credenciales, disminución de disponibilidad, etc.).

Los posibles valores del Impacto en red del ataque son: Muy Alto, Alto, Medio, Bajo, teniendo en cuenta los criterios anteriores.

c) Nivel de riesgo: Es el resultado de las dos variables anteriores siguiendo la fórmula descrita arriba.

Los posibles valores del nivel de riesgo son: Crítico, Alto, Medio, Bajo.

5.2 Matriz de riesgos.

Atendiendo a las consideraciones del apartado anterior, se presenta la matriz genérica que caracteriza los niveles de riesgo que se analizan posteriormente en este documento.

6. Amenazas o riesgos en una red 5G SA

Una vez identificados los activos y caracterizada su criticidad, el siguiente paso en el análisis de riesgos es evaluar las amenazas o posibles ataques a las que están expuestos cada uno de estos activos de red 5G SA.

Es importante destacar que una misma amenaza puede tener distinto nivel de riesgo en función del activo o entorno sobre el que se evalúe, de cara a establecer las prioridades correctas de acciones mitigadoras que permitan incrementar, en una misma línea temporal, la seguridad de la solución de la manera más eficiente posible.

A continuación, se detallan las amenazas o riesgos en una red 5G SA:

a) Actividades maliciosas debidas a accesos indebidos o maliciosos a la gestión, extracción de información sensible o modificación no autorizada de parametrización que provoque la indisponibilidad del elemento.

Se trata de aquellas acciones llevadas a cabo por atacantes internos o externos que van dirigidas a los elementos o funciones de red e infraestructura con la intención de robar información, alterarla o destruir, mediante configuración, un objetivo específico.

En este bloque se engloban, entre otras, las siguientes amenazas:

i. Intrusiones en la red con el objetivo de obtener información, a través de accesos maliciosos, movimientos laterales, escalado de privilegios, por falta de políticas de seguridad robustas (ausencia de control de acceso, autenticación, autorización, segmentación, hardening, etc). Destaca, entre otros la obtención de credenciales de usuarios operadores, información sensible de clientes (datos, identificadores de usuario, claves de autenticación, cifrado e integridad), o información útil de configuración de red (puertos, versiones, etc.), que sirva como vector de información adicional para realizar ataques de mayor impacto.

ii. Modificación malintencionada y no autorizada de parametrización o configuración de red que pueda provocar indisponibilidad parcial o total del servicio en el activo o la red, así como favorecer la exfiltración de tráfico comentada en el punto anterior.

A. Manipulación de configuración o parametrización que afecte al funcionamiento del equipo (políticas de enrutamiento de tráfico, configuración de DNS, sesiones de usuario, imágenes de funciones de red virtuales, etc.)

B. Manipulación de configuración de seguridad del equipo (políticas de seguridad, servicios ofrecidos en el aplicativo y sistema operativo, algoritmos criptográficos, reglas de acceso) y creación de puertas traseras.

C. Ejecución de forma intencionada o inconsciente de software/código malicioso (SQL, XSS injection, rootkits, malware/ransomware, etc.)

iii. Explotación de vulnerabilidades en hardware o software, que permitan un acceso simple y eficaz para poder ejecutar las amenazas comentadas en los dos puntos anteriores (vulnerabilidades conocidas/CVEs, nuevas vulnerabilidades y de zero-day).

b) Compromiso de las comunicaciones o datos de usuario a través de la captura, interceptación, secuestro de tráfico de servicio o su modificación:

Esta categoría recoge las acciones realizadas para espiar, interrumpir o alterar las comunicaciones o datos de usuario en el plano de servicio, sin su consentimiento.

Las principales amenazas dentro de esta categoría serían:

i. Espionaje de comunicaciones de un determinado usuario en entornos con alto nivel de exposición como es el caso del acceso radio o la interconexión de Roaming.

ii. Obtención de información sensible de los usuarios (identificadores de usuario, localización, servicios, etc) en interfaces expuestos que puedan ser utilizados como vectores de información para realizar ataques de mayor impacto.

iii. Manipulación de las comunicaciones en interfaces expuestos a través de actividades Man in The Middle (MiTM) y/o de los datos de usuario, siendo posible provocar acciones ilegales tales como fraude, suplantación de identidad, etc.

c) Denegación de Servicio (DoS).

Esta categoría recoge aquellas acciones, actividades o incidencias malintencionadas o no que puedan provocar una disrupción total o parcial en el equipo, causando una afectación a los usuarios de la red. Las principales amenazas dentro de esta categoría serían:

i. Ataques volumétricos de denegación de servicio (DoS/DDoS): Inundación de tráfico a las interfaces expuestas de los activos (dispositivos de usuario, interconexiones, etc.) buscando la sobrecarga de las capacidades de los elementos, con el objetivo de provocar un malfuncionamiento/disrupción en la red.

ii. Ataques dirigidos a usuarios específicos con el objetivo de provocar su indisponibilidad en la red (por ejemplo, ataques de interferencia o desregistro de la red).

iii. Daños no intencionados por los operadores por errores de configuración: Recoge las acciones no intencionadas por parte de un operador con acceso a la gestión de un activo que puedan resultar en un fallo o la reducción de funcionalidad de este, como, por ejemplo, la configuración pobre/errónea de los activos de red y sus capacidades de seguridad (aislamiento, bastionado, segmentación, etc.) o error en su gestión o manipulación por desconocimiento o falta de formación o diligencia.

iv. Mal funcionamiento del elemento: Engloba el malfuncionamiento «nativo» (por causas ajenas a la configuración del activo) que pueda provocar una disrupción total o parcial de su servicio.

d) Amenazas físicas.

Está dirigido a destruir, inutilizar, alterar o robar activos físicos de la infraestructura física que alberga la funciones/elementos de red.

Entre las amenazas principales destacan el sabotaje o terrorismo contra los elementos críticos de equipamiento de red, las catástrofes naturales, el malfuncionamiento de la red de energía y la posible sustracción de equipamiento de red para la extracción de información sensible y su posterior explotación.

e) Escasa formación y concienciación de los empleados en materia de ciberseguridad, así como mala praxis en la gestión de la evolución de los riesgos identificados.

Por un lado, el hecho de que los empleados no estén concienciados en materia de seguridad aumenta la probabilidad de ocurrencia de incidentes tales como ataques ransomware y otro tipo de malware. La falta de formación en materia de seguridad y operación aumenta la probabilidad de errores de configuración por desconocimiento que expongan los activos a riesgos innecesarios.

Además de todo esto, si no se lleva a cabo un buen procedimiento de gestión de riesgos, controlando su evolución en la red, será imposible plantear un plan de prioridades y ejecutar las medidas de seguridad de manera eficiente.

ANEXO III

Gestión de riesgos a nivel nacional

Una vez identificadas en el anexo II las distintas amenazas que afectan pormenorizadamente a las redes y servicios 5G, y con ello, la situación inicial de riesgo, la siguiente fase es prever aquellas medidas de seguridad necesarias para solventar, disminuir o paliar los riesgos identificados.

Estas medidas son:

1. Medidas de seguridad genéricas:

1.1 Configuraciones de seguridad para el equipamiento:

1.1.1 Configuraciones relacionadas con la identificación, autenticación, control, auditoría y monitorización en el acceso al plano de gestión de los nodos. Los nodos deben ser configurados con:

a) Políticas de gestión de identidad, permitiendo garantizar tanto la autenticación (verificar que quién accede es quién dice ser), como la autorización (acceder solo con los privilegios que sean estrictamente necesarios) cuando se accede a los nodos.

b) Políticas de gestión del ciclo de vida del usuario.

c) Capacidades de trazabilidad y políticas de auditoría, permitiendo que quede registrado todos los accesos (quién y cuándo se conecta y desconecta de los nodos), así como los comandos ejecutados y las alarmas que identifican un posible fallo en el equipo.

d) Buenas prácticas de seguridad cuando se definen y gestionan las credenciales y accesos de los usuarios, siempre forzando que las credenciales sean robustas.

e) Capacidad de ser configurados de tal manera que no den información detallada en el caso que falle el acceso y se establezcan políticas de bloqueo que dificulten la obtención de credenciales.

1.1.2 Bastionado:

a) Autoprotección de los nodos, asegurándose que solo estén activos los servicios necesarios para su correcto funcionamiento.

b) Los nodos deben tener la capacidad de separar el interfaz de gestión del de servicio, ya sea a través de un interfaz físico o lógico.

c) Los nodos deben ser capaces de detectar y manejar los paquetes malformados manteniendo los servicios sin afectación.

d) Los nodos deben ser capaces de hacer frente a altos volúmenes/picos de tráfico teniendo mecanismos de autorregulación para evitar el colapso de su CPU.

e) Capacidad adicional de proteger la información crítica y sensible que esté almacenada.

f) Los nodos/elementos de la red deben estar configurados de manera que no se permita iniciar a través de dispositivos de memoria no autorizados.

g) Los nodos deben configurarse de manera que no se pueda realizar una explotación maliciosa de las APIs que expongan.

1.1.3 Realización de pruebas de seguridad periódicas. Son necesarias para estudiar si han aparecido nuevas vulnerabilidades para los componentes del activo.

1.2 Seguridad de arquitectural y funcional.

1.2.1 Planos de red diferentes, así como áreas o ambientes de red con distinto nivel de exposición, deben ser aislados.

1.2.2 Control de flujo: Capacidad de limitar el tráfico a ciertas direcciones IPs, Protocolos, Aplicaciones, para evitar sobrecargar el enlace haciendo que un ataque sea más complicado de llevar a cabo.

1.3 Medidas de Seguridad en la Infraestructura Física:

a) Registro, validación y control de las autorizaciones de acceso físico a los emplazamientos críticos.

b) Controles de accesos físicos, mediante medios electrónicos y/o mecánicos, a las centrales de red y edificios relevantes.

c) Vigilancia física y seguridad electrónica del emplazamiento crítico.

d) Sistemas de seguridad electrónicos instalados y mantenidos en emplazamientos críticos.

1.4 Concienciación de seguridad hacia los empleados y la cadena de mando.

1.5 Formación de empleados en tecnología, seguridad y procesos.

1.6 Implementación de procesos claros de gestión de incidentes, teniendo un registro del histórico de incidentes propios y actualizado el conocimiento con los incidentes de la industria.

2. Medidas de seguridad específicas relacionadas con una red 5G.

2.1 Control de software:

a) Garantizar la integridad de la actualización del software antes de ser instalada, evitando la inyección de códigos maliciosos, troyanos o versiones no legítimas (manipuladas por un tercero).

b) Garantizar que no existan puertas traseras.

c) Garantizar que no existan vulnerabilidades (CVE) explotables conocidas de riesgo alto en el momento de despliegue del producto en planta.

d) Cumplimiento con certificaciones de seguridad reconocidas internacionalmente para los equipos.

2.2 Debe configurarse cifrado e integridad de las comunicaciones entre el terminal y la red a ambos niveles AS (Access Stratum)/NAS (Non Access Stratum), para proteger la privacidad del usuario en el interfaz aire. Esta medida se activa tanto en la RAN (AS), como en el Núcleo de Red (NAS).

2.3 Debe configurarse cifrado e integridad de las comunicaciones en el plano de control y en el plano de usuario entre el nodo de acceso radio (RAN) y el Núcleo de Red.

2.4 La privacidad de los usuarios debe ser garantizada en el interfaz aire.

2.5 Deben ser corroboradas las mejoras en los algoritmos de autenticación entre el terminal del usuario y la red que vienen de manera nativa con la tecnología 5G SA.

2.6 Mejoras nativas en los algoritmos de autenticación entre el dispositivo del usuario y la red, para garantizar mutuamente que la comunicación es legítima.

2.7 Los diferentes elementos que manejan el tráfico de señalización deben tener medidas para evitar la suplantación de los propios elementos de red en la red de roaming, así como la de los usuarios que no están en roaming.

2.8 La confidencialidad, integridad y autenticación deben ser garantizadas en las comunicaciones entre un operador origen y destino, usando protocolos/equipamiento/soluciones seguras (SEPP). La implementación de este requisito y su alcance dependerá de la estandarización final del protocolo a utilizar.

2.9 Es necesario establecer las políticas de seguridad correspondientes de cara a exponer en la interconexión únicamente los interfaces y mensajes necesarios para el servicio, evitando dar información innecesaria que pueda ser utilizada de forma fraudulenta.

2.10 Aislamiento de funciones de red virtualizadas: Clasificación de los diferentes elementos virtualizados en la infraestructura de acuerdo con diferentes niveles de exposición y la criticidad del elemento.

2.11 Aislamiento de tráficos: Diseño seguro de la arquitectura de virtualización para garantizar el tráfico necesario para el funcionamiento de la capa de virtualización, de esta forma la operación/funcionamiento de la red será garantizado.

2.12 Es necesario seguir las pautas de los Requisitos/Configuraciones de Seguridad del Equipamiento y Seguridad Arquitectural para todos y cada uno de los elementos que componen la arquitectura de virtualización.

2.13 Monitorización y Detección: Monitorización de la trazabilidad de accesos y comandos ejecutados en los elementos críticos de la red, de cara a poder identificar actividades ilegítimas en el momento de su realización y también de cara al análisis forense de posibles ataques.

2.14 Mitigación: Capacidades que permitan mitigar posibles ataques volumétricos que tengan como objetivo la denegación de servicio en los interfaces muy expuestos.

2.15 Entornos críticos: Las pruebas de funcionamiento de redundancia/recuperación (backup) en entornos críticos deben llevarse a cabo antes del despliegue de la solución.