CAPÍTULO III · Gestión de los riesgos
Artículo 11. Deber de gestionar los riesgos de seguridad
Los sujetos previstos en el artículo 4 deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido en este real decreto-ley, en el Esquema Nacional de Seguridad de redes y servicios 5G y en los actos que se dicten en ejecución de ambas disposiciones.
Artículo 12. Gestión de seguridad por los operadores 5G
1. Los operadores 5G deberán garantizar la instalación, despliegue y explotación seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al público mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de lo establecido en este real decreto-ley. 2. Los operadores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos: b) Adoptar planes y medidas de contingencia específicas para asegurar la continuidad de otros servicios esenciales para la sociedad que dependan de las redes y servicios 5G. c) Seleccionar e identificar a las personas que puedan acceder a los activos físicos y lógicos de la red, y realizar el mantenimiento de registros de acceso. d) Mantener las credenciales de usuario para el acceso a la red en posesión del operador. e) Utilizar únicamente productos, recursos, servicios o sistemas certificados para la operación de las redes 5G, o en alguna de sus partes o elementos. f) Cumplir las normas o especificaciones técnicas aplicables a redes y sistemas de información. g) Cumplir con los esquemas europeos de certificación de productos, servicios o sistemas, sean o no específicos de la tecnología 5G, que se empleen en la operación o explotación de redes y servicios 5G. h) Someterse, a su costa, a una auditoría de seguridad realizada por una entidad pública o una entidad privada acreditada a estos efectos. i) Exigir a sus suministradores el cumplimiento de estándares de seguridad, desde el diseño de los productos y servicios hasta su puesta en funcionamiento. j) Controlar su propia cadena de suministro y la estrategia de diversificación que haya diseñado. A estos efectos, se considera que los suministradores no son diferentes si todos ellos pertenecen al mismo grupo de empresas, conforme a los criterios establecidos en el artículo 42 del Código de Comercio. b) No podrán utilizar en los elementos críticos de red equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo. c) No podrán utilizar en la red de acceso de una red pública 5G equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales, hardware, software o servicios auxiliares de suministradores que hayan sido calificados de alto riesgo, en aquellas estaciones radioeléctricas con las que se proporcione cobertura a centrales nucleares, centros vinculados a la Defensa Nacional y las ubicaciones, áreas y centros que, por su vinculación a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, sean determinados por el Consejo de Seguridad Nacional, previo informe del Ministerio de Transformación Digital. La determinación y difusión de estas ubicaciones serán tratadas como materias clasificadas conforme a la regulación establecida en la Ley 9/1968, de 5 de abril, sobre secretos oficiales. d) Deberán solicitar y obtener del Ministerio de Transformación Digital autorización para la instalación, modificación o adaptación de estaciones radioeléctricas que proporcionen cobertura a estas ubicaciones, áreas y centros previamente determinados conforme a lo dispuesto en el párrafo anterior, habida cuenta de su vinculación con la seguridad nacional o el mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos. En el otorgamiento de esta autorización, el Ministerio de Transformación Digital tendrá en cuenta los equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos que permitan el transporte de señales, hardware, software o servicios auxiliares a instalar, las condiciones técnicas en el uso del dominio público radioeléctrico y las características intrínsecas y fines a proteger en esas ubicaciones, áreas y centros previamente determinados. El plazo para el otorgamiento de estas autorizaciones es de tres meses, entendiéndose desestimada la solicitud en caso de ausencia de resolución expresa. La resolución, expresa o presunta, pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo. e) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio nacional. No obstante, determinados elementos, funciones y sistemas tanto del núcleo de la red como de los sistemas de control y gestión y los servicios de apoyo podrán ubicarse fuera del territorio nacional, siempre y cuando el Ministerio de Transformación Digital pueda ejercer las facultades que le atribuye este real decreto-ley, en particular, las facultades de inspección y régimen sancionador previstas en el capítulo V, de manera que pueda efectuar una verificación integral sobre el funcionamiento, operatividad y condiciones de uso de dichos elementos críticos de una red 5G y, en su caso, poder adoptar medidas, cautelares o definitivas, sobre dichos elementos, funciones y sistemas o el equipamiento utilizado en el ejercicio de estas facultades. 5. Los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital la estrategia de diversificación en la cadena de suministro en el plazo de seis meses a contar desde la entrada en vigor de este real decreto-ley. Asimismo, la estrategia de diversificación en la cadena de suministro deberá ser remitida al Ministerio de Asuntos Económicos y Transformación Digital cada vez que sea objeto de modificación. Igualmente, los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital información cada año sobre el estado de ejecución de la estrategia de diversificación en la cadena de suministro. 6. El Ministerio de Transformación Digital, si considera que no queda garantizada la continuidad en la prestación de los servicios 5G, la integridad física o lógica de la red 5G, que existe una amplia exposición al equipamiento instalado por un suministrador que en determinadas circunstancias puede poner en peligro la funcionalidad y operatividad de la red 5G o para garantizar la seguridad en la provisión de servicios utilizados por los servicios de Seguridad Nacional, Defensa Nacional o por distintas Administraciones Públicas, y teniendo en cuenta si existe calificación de suministradores de alto riesgo, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G del operador, especialmente en los elementos críticos de la red 5G, y los ciclos de actualización de equipos, podrá modificar la estrategia de diversificación en la cadena de suministro de un operador 5G. Antes de aprobar la modificación, se deberá efectuar un trámite de audiencia con el operador 5G y suministrador o suministradores 5G afectados por un plazo de 15 días hábiles. La resolución pon fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra la misma un recurso de reposición con carácter previo al recurso contencioso-administrativo. 7. Los operadores 5G deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital cada dos años una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos.
Artículo 13. Gestión de seguridad por los suministradores 5G
1. Los suministradores 5G deberán garantizar la seguridad de los equipos de telecomunicación, 2. Los suministradores 5G tienen las siguientes obligaciones de seguridad dirigidas a mitigar riesgos, las cuales serán objeto de concreción y desarrollo en el Esquema Nacional de Seguridad de redes y servicios 5G: b) Reforzar la integridad del c) Acreditar la certificación de productos y servicios de tecnologías de la información que se usen en las redes y servicios 5G. d) Garantizar la aplicación de medidas de seguridad técnicas y organizativas estándar a través de un sistema de certificación. e) Efectuar una auditoría de seguridad de sus equipos, productos y servicios. f) Proporcionar información sobre posibles injerencias de terceros en el diseño, operación y funcionamiento de sus equipos, productos y servicios. g) Colaborar con los operadores 5G y usuarios corporativos 5G proporcionando información y acreditando el cumplimiento de estándares de seguridad de equipos, productos y servicios que suministren. 4. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital un informe de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio. 5. Los suministradores 5G de alto riesgo y de riesgo medio deberán remitir al Ministerio de Asuntos Económicos y Transformación Digital cada dos años una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos.
Artículo 14. Suministradores 5G de alto riesgo y de riesgo medio
1. El Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores 5G y suministradores 5G afectados por un plazo de 15 días hábiles, podrá calificar que determinados suministradores 5G son de alto riesgo. A tal efecto, el Gobierno analizará tanto las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios como su exposición a injerencias externas. 2. En relación con el análisis de las medidas técnicas y las garantías técnicas de funcionamiento y operatividad de sus equipos, productos y servicios se valorará aspectos relativos al cumplimiento de normas o especificaciones técnicas, su verificación mediante esquemas de certificación, o la superación de pruebas o auditorías de seguridad realizadas por entidades independientes. 3. En relación con el análisis de las medidas estratégicas y exposición a injerencias externas, se valorarán los siguientes aspectos: b) La composición de su capital social y la estructura de sus órganos de gobierno. c) El poder de un tercer Estado para ejercer presión sobre la actuación o ubicación de la empresa. d) Las características de la legislación y la política de ciberdefensa y el respeto al derecho internacional y a las resoluciones y acuerdos de la Organización de las Naciones Unidas de ese tercer Estado. e) Los acuerdos de cooperación en materia de seguridad, ciberseguridad, delitos cibernéticos o protección de datos firmados con el país tercero de que se trate, así como los tratados internacionales en esas materias de que sea parte dicho Estado. f) El grado de adecuación de la normativa del tercer Estado sobre protección de datos personales a la de España, al Reglamento General de Protección de Datos aprobado por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, adoptada por la Unión Europea y a cualquier otra normativa aplicable en materia de seguridad de las redes y sistemas de información y de telecomunicaciones. 5. El acuerdo del Consejo de Ministros por el que se califique que determinados suministradores 5G son de alto riesgo pone fin a la vía administrativa y es directamente recurrible ante la jurisdicción contencioso-administrativa, sin perjuicio de que potestativamente se pueda interponer contra el mismo un recurso de reposición con carácter previo al recurso contencioso-administrativo. 6. Los suministradores de alto riesgo cuyos equipos de telecomunicación,
Artículo 15. Gestión de seguridad por los usuarios corporativos 5G
1. Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán garantizar la instalación, despliegue y explotación seguros de redes privadas 5G y prestación segura de servicios 5G en autoprestación mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de las redes y servicios 5G. 2. Los usuarios corporativos 5G mencionados deberán aportar al Ministerio de Asuntos Económicos y Transformación Digital una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos, cuando sean requeridos para ello.
Artículo 16. Condiciones de cumplimiento de las obligaciones
En el cumplimiento de las obligaciones establecidas en los artículos anteriores, los sujetos previstos en el artículo 4 tendrán en cuenta y aplicarán lo establecido en este real decreto-ley, en el Esquema Nacional de Seguridad de redes y servicios 5G y en los actos que se dicten en ejecución de ambas disposiciones.
Artículo 17. Gestión de seguridad por las Administraciones públicas
1. Las administraciones públicas deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G. 2. En particular, las administraciones públicas que quieran llevar a cabo la instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.
Artículo 18. Cumplimiento de la normativa sobre inversiones extranjeras y sobre competencia
Las obligaciones establecidas en los artículos anteriores se entienden sin perjuicio de la aplicación de los instrumentos de control sobre inversiones extranjeras directas en los sujetos previstos en el artículo 4 que sean de nacionalidad española, así como de la aplicación de la normativa en materia de defensa de la competencia.
Artículo 19. Confidencialidad de la información sobre gestión de riesgos
El Ministerio de Asuntos Económicos y Transformación Digital podrá recabar de los sujetos previstos en el artículo 4 la información necesaria para la gestión de riesgos. La información que los referidos sujetos proporcionen sobre sobre la gestión de riesgos tiene la consideración de confidencial, de forma que la misma no podrá ser utilizada para una finalidad distinta del cumplimiento de los objetivos y obligaciones establecidas en este real decreto-ley, en el Esquema Nacional de Seguridad de redes y servicios 5G y en los actos que se dicten en ejecución de ambas disposiciones.