Carlos B Fernández. El BOE del pasado 1 de mayo publicó el Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024) (ENS5G (LA LEY 9565/2024)).
Esta norma se aprueba para dar cumplimiento al mandato previsto en el artículo 21 (LA LEY 5834/2022) y en la disposición final tercera del Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022), sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación, y entró en vigor el día siguiente al de su publicación.
Su fundamento se encuentra en que las comunicaciones móviles de quinta generación o 5G constituyen un nuevo paradigma de las comunicaciones electrónicas con un gran potencial transformador en beneficio de la sociedad y la economía, pues se abre la posibilidad a la incorporación de nuevas funcionalidades que van a tener un gran impacto, como la computación en la red y su virtualización y segmentación o sus funciones, lo que permitirá la creación de redes virtuales, flexibles e inteligentes, ofreciendo baja latencia, conectividad ininterrumpida y la prestación de servicios de gran valor añadido para la sociedad y la economía en ámbitos como la medicina, el transporte, la logística y la energía. Por todo ello, la Unión Europea y España, directamente y a través del Mecanismo de Recuperación y Resiliencia, impulsan el rápido despliegue de redes 5G y la realización de proyectos demostrativos de su utilidad para distintos sectores mediante la prestación de servicios 5G.
Pero a la vez, junto con esas ventajas que aportan, la utilización confiable de las redes y servicios 5G exige disponer de un elevado nivel de protección puesto que presentan riesgos específicos derivados, por ejemplo, de una arquitectura de red más compleja, basada en servicios y distribuida, con una banda ancha móvil mejorada, de mayor capacidad, para el transporte y transmisión de grandes volúmenes de datos a alta velocidad, fiabilidad y capacidad para conectar un número masivo de dispositivos a la red o la provisión de servicios específicos para determinados usos o aplicaciones. La naturaleza interconectada de su infraestructura, así como su carácter transnacional y la dimensión transfronteriza de las amenazas, comporta que cualquier vulnerabilidad o incidente de seguridad importante pueda tener implicaciones en funciones esenciales para la economía y la sociedad, llegando incluso a afectar a la Unión Europea en su conjunto.
En la búsqueda de este tratamiento integral de la seguridad de las redes y servicios 5G, el Esquema Nacional de Seguridad de redes y servicios 5G (LA LEY 9565/2024) que se aprueba en este real decreto reconoce la existencia del Centro de Operaciones de Seguridad 5G de referencia, que depende del Ministerio para la Transformación Digital y de la Función Pública y que se encargará, entre otras tareas, de contribuir y apoyar al ejercicio de las facultades que al Ministerio para la Transformación Digital y de la Función Pública, y se le asignan en este ámbito funciones para proporcionar apoyo operativo a los sujetos obligados en actividades vinculadas a la prevención, protección, detección y respuesta frente a amenazas, incidentes y ciberataques a los sistemas, redes y servicios 5G, así como en la certificación y normalización de los mismos.
El RD consta de 43 artículos, estructurados en 8 títulos, y 3 anexos.
El capítulo I (arts. 1 a 12) establece las disposiciones generales (Objetivos; definiciones; ámbito de aplicación; elementos críticos de las redes 5G; tratamiento integral de la seguridad; gestión de la seguridad basada en los riesgos; prevención, detección, respuesta y conservación; existencia de líneas de defensa; vigilancia continua y reevaluación periódica; sistemas, redes y servicios 5G que traten datos personales).
El Capítulo II (arts. 13 y 14), regula el análisis y gestión de riesgos a nivel nacional
El Capítulo III (arts. 15 a 17), establece medidas específicas para garantizar la seguridad de las redes y servicios 5G.
El Capítulo IV (arts. 18 a 21), regula el análisis de riesgos por los sujetos obligados (: Análisis de riesgos por los operadores, los suministradores 5G y los usuarios corporativos 5G, y confidencialidad de la información sobre análisis de riesgos).
El Capítulo V (arts. 22 a 30), regula la gestión de los riesgos por los sujetos obligados (medidas comunes para la gestión de seguridad; gestión de seguridad por los operadores 5G; gestión de seguridad por los suministradores 5G; gestión de seguridad por los usuarios corporativos 5G; gestión de seguridad por las Administraciones públicas; gestión de seguridad por los Centros de Operaciones de Seguridad 5G; Prestación de servicios de respuesta a incidentes de seguridad…)
El Capítulo VI (arts. 31 a 38), regula otras medidas de cumplimiento en materia de la seguridad de las redes y servicios 5G ( deber de colaboración en la modificación y ejecución del ENS5G (LA LEY 9565/2024); Certificación de equipos, productos y servicios 5G; procedimientos de determinación de la conformidad con el Esquema; cumplimiento de la normativa sobre inversiones extranjeras y sobre competencia; equipos terminales; cooperación internacional; I+D+i en ciberseguridad 5G; impulso a la interoperabilidad …).
El Capítulo VII (arts. 39 a 41), regula la aplicación del ENS5G (LA LEY 9565/2024) (Competencia para la aplicación del ENS5G; Facultades del Ministerio para la Transformación Digital y de la Función Pública para la aplicación del ENS5G (LA LEY 9565/2024); Centro de Operaciones de Seguridad 5G de referencia…)
Finalmente, el Capítulo VIII (arts. 42 y 43) establece la inspección y el régimen sancionador en esta materia.
Los anexos, por su parte, regulan: I: los elementos, infraestructuras y recursos que integran una red 5G; II: el análisis de riesgos a nivel nacional y, III: La gestión de riesgos a nivel nacional)
Objetivos
El ENS5G (LA LEY 9565/2024) tiene los siguientes objetivos:
a) Reforzar la protección de la seguridad nacional.
b) Garantizar un funcionamiento continuado y seguro de las redes y servicios 5G.
c) Llevar a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G.
d) Reforzar la seguridad en la instalación y operación de las redes de comunicaciones electrónicas 5G y en la prestación de los servicios de comunicaciones móviles e inalámbricas que se apoyen en las redes 5G.
e) Impulsar una seguridad integral del ecosistema generado por la tecnología 5G.
f) Promover un mercado de suministradores en las redes y servicios de comunicaciones electrónicas 5G suficientemente diversificado en aras de garantizar la seguridad basada en razones técnicas, estratégicas y operativas y evitar, por dichas razones, la presencia de suministradores con una calificación de alto riesgo o de riesgo medio en determinados elementos de red o ámbitos.
g) Fortalecer la industria y fomentar las actividades de I+D+i nacionales en ciberseguridad relacionadas con la tecnología 5G, y
h) Impulsar la formación y la concienciación en ciberseguridad 5G.
Ámbito de aplicación
El ENS5G (LA LEY 9565/2024), en el marco de la seguridad de redes y servicios 5G regulada en el Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022), se aplica a los siguientes sujetos obligados:
a) Operadores 5G, definidos en el artículo 3.1, apartado a) del Real Decretoley 7/2022, de 29 de marzo (LA LEY 5834/2022).
b) Suministradores 5G, definidos en el artículo 3.1, apartado f) del Real Decretoley 7/2022, de 29 de marzo (LA LEY 5834/2022).
c) Usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación, definidos en el artículo 3.1, apartado g) del Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022).
El ENS5G (LA LEY 9565/2024) también se aplica a las entidades de las Administraciones públicas que instalen, desplieguen y exploten redes 5G, ya sean públicas o privadas, o presten servicios 5G, disponibles al público o en autoprestación, cuando sus actividades no se lleven a cabo principalmente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa nacional o la garantía del cumplimiento de la ley, incluidas la prevención, investigación, detección y enjuiciamiento de infracciones penales.
Adicionalmente por su carácter excepcional, no se aplica en el ámbito de la defensa nacional a nivel general y, en particular, en las actividades de preparación y participación en operaciones militares por parte de las Fuerzas Armadas.
Elementos críticos de una red 5G
Son elementos críticos de una red 5G:
a) Los relativos a las funciones del núcleo de la red.
b) Los sistemas de control y gestión y los servicios de apoyo.
c) La red de acceso en aquellas zonas geográficas y ubicaciones que se determine.
Los elementos críticos de una red 5G pública deberán ubicarse dentro del territorio nacional, de acuerdo con el artículo 12.3, apartado e), del Real Decreto ley 7/2022, de 29 de marzo (LA LEY 5834/2022).
Tratamiento integral de la seguridad
El ENS5G (LA LEY 9565/2024) entiende la seguridad como un proceso integral constituido por todos los elementos humanos, materiales, técnicos, jurídicos y organizativos relacionados con las redes o servicios 5G de los sujetos obligados afectados por el ámbito de aplicación y debe incorporarse desde el diseño e implementación de las redes 5G.
El ENS5G (LA LEY 9565/2024) tiene la vocación de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G y, a tal efecto, el ENS5G (LA LEY 9565/2024) ha tenido en cuenta y deberá tener en cuenta en futuras actualizaciones o modificaciones la normativa, las recomendaciones y los estándares técnicos de la Unión Europea, de la Unión Internacional de Telecomunicaciones (UIT) y de otras organizaciones internacionales.
Asimismo, el ENS5G (LA LEY 9565/2024) ha tenido en cuenta y deberá tener en cuenta en futuras actualizaciones o modificaciones las aportaciones, análisis de riesgos, planes de mitigación de riesgos y estrategias de diversificación de la cadena de suministro que se han ido proporcionando y que deberán proporcionar por los sujetos obligados en cumplimiento de las obligaciones establecidas en el Real Decreto-ley 7/2022, de 29 de marzo (LA LEY 5834/2022), en este esquema y en el resto de normativa.
En este contexto de seguridad integral, los sujetos obligados deberán llevar a cabo un tratamiento integral y global de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables, para lo cual deberán realizar, mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y de los componentes anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G, considerando también las aportaciones de cada agente de la cadena de valor de 5G.