Articulo 14 Requisitos para garantizar la seguridad de redes y servicios 5G

1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores 5G y suministradores 5G afectados por un plazo de 15 días hábiles, podrá calificar que determinados suministradores 5G son de alto riesgo.

A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios como su exposición a injerencias externas.

2. En relación con el análisis de las medidas técnicas y las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios se valorará aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación mediante esquemas de certificación, o la superación de pruebas o auditorías de seguridad realizadas por entidades independientes.

3. En relación con el análisis de las medidas estratégicas y exposición a injerencias externas, se valorarán los siguientes aspectos:

a) Los vínculos de los suministradores y de su cadena de suministro, con los gobiernos de terceros países.

b) La composición de su capital social y la estructura de sus órganos de gobierno.

c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa.

d) Las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas de ese tercer Estado.

e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado.

f) El grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra normativa aplicable en materia de seguridad de las redes y sistemas de información y de telecomunicaciones.

4. El acuerdo del Consejo de Ministros por el que se califique a determinados suministradores 5G como suministradores de alto riesgo determinará el plazo en que lo operadores 5G deberán llevar a cabo la sustitución de los equipos, productos y servicios proporcionados por dicho suministrador en la red y servicios del operador 5G, cuando ello fuera necesario, para lo cual deberá tener en cuenta la situación del mercado de los suministradores, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G y en función de cuáles son en concreto los elementos críticos afectados, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, la migración de las redes 5G no autónomas a autónomas, así como su impacto económico, si bien, en ningún caso, este plazo podrá ser inferior a un año.

5. El acuerdo del Consejo de Ministros por el que se califique que determinados suministradores 5G son de alto riesgo pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo.

6. Los suministradores de alto riesgo cuyos equipos de telecomunicación, hardware, software o servicios auxiliares proporcionados sean utilizados única y exclusivamente en redes privadas 5G o para la prestación de servicios 5G en régimen de autoprestación son calificados como suministradores de riesgo medio.