CAPÍTULO II · Análisis de riesgos
Artículo 6. Análisis de riesgos por los operadores 5G
1. Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten tanto como agente económico como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G. 2. Los operadores 5G que sean titulares o gestionen elementos de red de una red pública 5G, en su análisis de riesgos, deberán llevar a cabo un estudio pormenorizado e individualizado de las amenazas y vulnerabilidades que afecten, al menos, a los siguientes elementos, infraestructuras y recursos de una red pública 5G: b) Las funciones de transporte y transmisión. c) La red de acceso. d) Los sistemas de control y gestión y los servicios de apoyo. e) Las funciones de computación en el borde, virtualización de red y gestión de sus componentes. f) Los relativos a intercambios de tráfico con redes externas e Internet. g) Otros componentes y funciones que, a tal efecto, se determinen en el Esquema Nacional de Seguridad de redes y servicios 5G. b) Los sistemas de control y gestión y los servicios de apoyo. c) La red de acceso en aquellas zonas geográficas y ubicaciones que se determine. b) Políticas de integridad y actualización de los programas informáticos. c) Estrategias de permisos de acceso a activos físicos y lógicos. d) Dependencias de determinados suministradores en elementos críticos de la red 5G. e) Agentes externos, incluyendo grupos organizados con capacidad para atacar la red. f) Equipos terminales y dispositivos conectados a la red. g) Elementos de usuarios corporativos y redes externas conectadas a la red 5G. h) La interrelación con otros servicios esenciales para la sociedad. 6. El análisis de riesgos del operador 5G deberá incluir una priorización y jerarquía de los riesgos en función de los siguientes parámetros: b) Tipo de recurso, infraestructura y servicio que pueda verse afectado. c) Afectación a la integridad y mantenimiento técnico de la red o a la continuidad del servicio. d) Capacidad de detección y recuperación. e) Número y tipo de usuarios afectados. f) Tipo de información cuya integridad haya podido verse comprometida.
Artículo 7. Análisis de riesgos por los suministradores 5G
1. Los suministradores 5G deben analizar los riesgos de los equipos de telecomunicación, 2. Los suministradores 5G deberán aportar este análisis de riesgos al Ministerio de Asuntos Económicos y Transformación Digital, cuando sea requerido para ello. 3. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital un análisis de riesgos de sus equipos, productos o servicios involucrados en las redes y servicios 5G en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio. 4. Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio de Asuntos Económicos y Transformación Digital.
Artículo 8. Análisis de riesgos por los usuarios corporativos 5G
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que afecten a los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes privadas 5G o en la prestación de servicios 5G en autoprestación. 2. Los usuarios corporativos 5G mencionados en el apartado 1 deberán aportar este análisis de riesgos al Ministerio de Asuntos Económicos y Transformación Digital, cuando sea requerido para ello.
Artículo 9. Factores de riesgo a analizar por los sujetos previstos en el artículo 4
El Esquema Nacional de Seguridad de redes y servicios 5G deberá identificar los factores de riesgo a analizar por los sujetos previstos en el artículo 4 en función de la evolución tecnológica, la incorporación de nuevos avances, funcionalidades y estándares tecnológicos, la situación del mercado de comunicaciones electrónicas y del de suministros y de la aparición de nuevas amenazas y vulnerabilidades.
Artículo 10. Confidencialidad de la información sobre análisis de riesgos
El Ministerio de Asuntos Económicos y Transformación Digital podrá recabar de los sujetos previstos en el artículo 4 la información necesaria para el análisis de riesgos. La información que los referidos sujetos proporcionen sobre el análisis de riesgos tiene la consideración de confidencial, de forma que la misma no podrá ser utilizada para una finalidad distinta del cumplimiento de los objetivos y obligaciones establecidas en este real decreto-ley, en el Esquema Nacional de Seguridad de redes y servicios 5G y en los actos que se dicten en ejecución de ambas disposiciones.