Articulo 6 Requisitos para garantizar la seguridad de redes y servicios 5G

1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten tanto como agente económico como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G.

2. Los operadores 5G que sean titulares o gestionen elementos de red de una red pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e individualizado de las amenazas y vulnerabilidades que afecten, al menos, a los siguientes elementos, infraestructuras y recursos de una red pública 5G:

a) Los relativos a las funciones del núcleo de la red.

b) Las funciones de transporte y transmisión.

c) La red de acceso.

d) Los sistemas de control y gestión y los servicios de apoyo.

e) Las funciones de computación en el borde, virtualización de red y gestión de sus componentes.

f) Los relativos a intercambios de tráfico con redes externas e Internet.

g) Otros componentes y funciones que, a tal efecto, se determinen en el Esquema Nacional de Seguridad de redes y servicios 5G.

3. Son elementos críticos de una red pública 5G:

a) Los relativos a las funciones del núcleo de la red.

b) Los sistemas de control y gestión y los servicios de apoyo.

c) La red de acceso en aquellas zonas geográficas y ubicaciones que se determine.

4. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta, al menos, los siguientes factores:

a) Parametrización y configuración de elementos y funciones de red.

b) Políticas de integridad y actualización de los programas informáticos.

c) Estrategias de permisos de acceso a activos físicos y lógicos.

d) Dependencias de determinados suministradores en elementos críticos de la red 5G.

e) Agentes externos, incluyendo grupos organizados con capacidad para atacar la red.

f) Equipos terminales y dispositivos conectados a la red.

g) Elementos de usuarios corporativos y redes externas conectadas a la red 5G.

h) La interrelación con otros servicios esenciales para la sociedad.

5. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G, el operador 5G deberá recabar de sus suministradores las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que les han suministrado, teniendo en cuenta los factores de riesgo indicados en este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser proporcionada por los suministradores y su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio de Asuntos Económicos y Transformación Digital y los demás organismos públicos competentes para la aplicación de lo dispuesto en este real decreto-ley a los exclusivos fines del mismo.

6. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía de los riesgos en función de los siguientes parámetros:

a) Afectación a un elemento crítico de la red pública 5G.

b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.

c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad del servicio.

d) Capacidad de detección y recuperación.

e) Número y tipo de usuarios afectados.

f) Tipo de información cuya integridad haya podido verse comprometida.

7. El análisis de riesgos por el operador 5G debe ser llevado a cabo cada dos años y ser remitido al Ministerio de Asuntos Económicos y Transformación Digital.