Vés al contingut

Real Decreto-ley 7/2022 sobre seguridad 5G

Seguridad 5G
Real Decreto-ley 7/2022 sobre seguridad 5G
05 de abril 2022
 
Necesidad de una regulación específica sobre la Seguridad 5G

La complejidad técnica y el nuevo paradigma de la tecnología 5G hacen que los retos de seguridad que plantea no puedan abordarse en su totalidad con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas existentes.

Por otro lado, el importante cometido de los suministradores en la arquitectura y en la gestión de la red, así como su apertura a múltiples usos y aplicaciones que aumentan los posibles puntos de ataque, aconsejan tomar precauciones para evitar incidentes que sean atribuibles a dichos suministradores.

Por este motivo, el Real Decreto-Ley 7/2022 somete a los suministradores 5G a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas.  

En este contexto, y tomando en consideración los efectos de la invasión rusa de Ucrania,  así como el elevado riesgo de ciberataques contra redes y servicios 5G ya desplegadas en nuestro país o con despliegue previsto para los próximos meses; se ha considerado que concurren las razones de «extraordinaria y urgente necesidad» a las que se refiere el artículo 86 de la Constitución Española para la tramitación del proyecto como Decreto ley.

En la elaboración de este Real Decreto Ley se han tenido en cuenta las siguientes recomendaciones:

* La Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la ciberseguridad de las redes 5G;
* El análisis de riesgos coordinado de los Estados miembros, y la «caja de herramientas» que acordaron como base común para un desarrollo seguro de la tecnología 5G en Europa;
* Las recomendaciones fundamentales que la Comisión Europea, a través de su Comunicación de 29 de enero de 2020 «Despliegue seguro de la 5G en la UE - Aplicación de la caja de herramientas de la UE» (COM/2020/50 final), realizaba a los Estados miembros sobre la utilización de la «caja de herramientas».

Principales Medidas
Definición de los elementos críticos de las redes públicas 5G

Se definen los elementos que se consideran críticos de las redes públicas 5G, y que son:

* Los relativos a las funciones del núcleo de la red
* Los sistemas de control y gestión, y los servicios de apoyo
* La red de acceso en aquellas zonas geográficas y ubicaciones que se determine (el Consejo de Seguridad Nacional las determinará en el plazo de 3 meses, previo informe del Ministerio de Asuntos Económicos y Transformación Digital), según criterios vinculados a la Defensa y a la Seguridad Nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos.

Calificación de suministradores 5G como de alto riesgo

En el plazo de 3 meses (y en cualquier momento con posterioridad a esa fecha), el Gobierno —mediante acuerdo adoptado por el Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores y suministradores 5G— podrá calificar que determinados suministradores son de alto riesgo. A tal efecto, el Gobierno analizará tanto las garantías técnicas como su exposición a injerencias extranjeras. Los suministradores de alto riesgo, cuyos equipos o servicios sean utilizados exclusivamente en redes privadas o en régimen de auto prestación, serán calificados como de riesgo medio.

Prohibición de uso de equipos, productos o servicios de suministradores de alto riesgo en elementos críticos de la red

Los equipos, productos o servicios de suministradores que hayan sido declarados de alto riesgo no podrán utilizarse en elementos críticos de la red. Los operadores dispondrán de 5 años de plazo para su sustitución en los elementos críticos del núcleo de la red, y 2 años para su sustitución en los elementos críticos de la red de acceso en las citadas ubicaciones. Con posterioridad a esa fecha el Consejo de Ministros podrá decidir otros plazos de sustitución, que en ningún caso serán inferiores a un año.

Obligaciones de seguridad de los operadores 5G

Entre otras obligaciones, los operadores 5G deberán someterse a una auditoría de seguridad, cumplir con los esquemas de certificación europeos, controlar su cadena de suministro y su estrategia de diversificación. Además, deberán remitir esta estrategia al MAETD en el plazo de 6 meses si son titulares o explotan elementos críticos de la red, e informar anualmente sobre su estado de ejecución.

Asimismo, deberán recabar de sus suministradores las prácticas y medidas de seguridad que han adoptado en los productos y servicios suministrados. Por otro lado, también tendrán que ubicar los elementos críticos de las redes públicas 5G dentro del territorio nacional.  Por último, en el plazo de 6 meses y cada dos años realizarán un análisis de riesgos que remitirán al MAETD.

Obligaciones de seguridad de los suministradores 5G

Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio deberán informar en seis meses al MAETAD sobre los riesgos y las medidas de seguridad implementadas. Después, informarán periódicamente cada dos años.

Administraciones públicas

Las Administraciones públicas que quieran llevar a cabo la instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.
 
Esquema Nacional de Seguridad de redes y servicios 5G

El Real Decreto-Ley 07/2022 prevé el establecimiento de un Esquema Nacional de Seguridad de redes y servicios 5G, que será aprobado por el Gobierno mediante real decreto a propuesta del MAETD y previo informe del Consejo de Seguridad Nacional; y se revisará al menos cada cuatro años.

Este Esquema efectuará un análisis de riesgos a nivel nacional e identificará, concretará y desarrollará medidas para mitigar y gestionar los riesgos analizados. Asimismo, incluirá las líneas generales y prioridades de las ayudas públicas que sean convocadas para fomentar la investigación y el desarrollo en materia de seguridad de las redes y servicios 5G, así como para la formación de personal especializado.
17310