Articulo 6 Requisitos para garantizar la seguridad de redes y servicios 5G
Artículo 6. Análisis de riesgos por los operadores 5G.
1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten tanto como agente económico como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G.
2. Los operadores 5G que sean titulares o gestionen elementos de red de una red pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e individualizado de las amenazas y vulnerabilidades que afecten, al menos, a los siguientes elementos, infraestructuras y recursos de una red pública 5G:
a) Los relativos a las funciones del núcleo de la red.
b) Las funciones de transporte y transmisión.
c) La red de acceso.
d) Los sistemas de control y gestión y los servicios de apoyo.
e) Las funciones de computación en el borde, virtualización de red y gestión de sus componentes.
f) Los relativos a intercambios de tráfico con redes externas e Internet.
g) Otros componentes y funciones que, a tal efecto, se determinen en el Esquema Nacional de Seguridad de redes y servicios 5G.
3. Son elementos críticos de una red pública 5G:
a) Los relativos a las funciones del núcleo de la red.
b) Los sistemas de control y gestión y los servicios de apoyo.
c) La red de acceso en aquellas zonas geográficas y ubicaciones que se determine.
4. El análisis de riesgos que lleve a cabo un operador 5G deberá tener en cuenta, al menos, los siguientes factores:
a) Parametrización y configuración de elementos y funciones de red.
b) Políticas de integridad y actualización de los programas informáticos.
c) Estrategias de permisos de acceso a activos físicos y lógicos.
d) Dependencias de determinados suministradores en elementos críticos de la red 5G.
e) Agentes externos, incluyendo grupos organizados con capacidad para atacar la red.
f) Equipos terminales y dispositivos conectados a la red.
g) Elementos de usuarios corporativos y redes externas conectadas a la red 5G.
h) La interrelación con otros servicios esenciales para la sociedad.
5. A fin de llevar a cabo un tratamiento integral de la seguridad de las redes y servicios 5G, el operador 5G deberá recabar de sus suministradores las prácticas y medidas de seguridad que se han adoptado en los productos y servicios que les han suministrado, teniendo en cuenta los factores de riesgo indicados en este capítulo y el perfil de riesgo del suministrador. Esta información deberá ser proporcionada por los suministradores y su tratamiento será confidencial, de manera que sólo podrá ser utilizada por los operadores 5G para efectuar un análisis y gestión de riesgos y por el Ministerio de Asuntos Económicos y Transformación Digital y los demás organismos públicos competentes para la aplicación de lo dispuesto en este real decreto-ley a los exclusivos fines del mismo.
6. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía de los riesgos en función de los siguientes parámetros:
a) Afectación a un elemento crítico de la red pública 5G.
b) Tipo de recurso, infraestructura y servicio que pueda verse afectado.
c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad del servicio.
d) Capacidad de detección y recuperación.
e) Número y tipo de usuarios afectados.
f) Tipo de información cuya integridad haya podido verse comprometida.
7. El análisis de riesgos por el operador 5G debe ser llevado a cabo cada dos años y ser remitido al Ministerio de Asuntos Económicos y Transformación Digital.
- Texto Original. Publicado el 30-03-2022 en vigor desde 31-03-2022