CAPÍTULO IV · Esquema Nacional de Seguridad de redes y servicios 5G
Artículo 20. Contenido del Esquema Nacional de Seguridad de redes y servicios 5G
1. El Esquema Nacional de Seguridad de redes y servicios 5G llevará a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G para garantizar un funcionamiento continuado y seguro de la red y los servicios 5G. 2. En el Esquema Nacional de Seguridad de redes y servicios 5G se efectuará un análisis de riesgos a nivel nacional sobre la seguridad de las redes y servicios 5G así como identificará, concretará y desarrollará medidas a nivel nacional para mitigar y gestionar los riesgos analizados.
Artículo 21. Aprobación y revisión del Esquema Nacional de Seguridad de redes y servicios 5G
1. El Gobierno aprobará, mediante real decreto, a propuesta del Ministerio de Asuntos Económicos y Transformación Digital, previo informe del Consejo de Seguridad Nacional, un Esquema Nacional de Seguridad de redes y servicios 5G. 2. El Esquema Nacional de Seguridad de redes y servicios 5G se revisará al menos cada cuatro años o cuando las circunstancias lo aconsejen.
Artículo 22. Análisis de riesgos en el Esquema Nacional de Seguridad de redes y servicios 5G
1. El Esquema Nacional de Seguridad de redes y servicios 5G efectuará un análisis de riesgos a nivel nacional sobre la seguridad de las redes y servicios 5G. 2. En este análisis de riesgos nacional se identificarán, entre otros, los siguientes aspectos: b) El examen de las vulnerabilidades ligadas a la cadena de suministro de las redes y servicios 5G. c) La evaluación del grado de dependencia de los suministradores del conjunto de las redes y servicios 5G en España teniendo en cuenta los análisis de riesgos y las estrategias de diversificación de suministradores remitidos por los operadores 5G, así como el riesgo de interrupción del suministro por circunstancias económicas, societarias o comerciales que afecten a los suministradores. d) La evaluación de la eficacia de las medidas de seguridad aplicadas hasta la aprobación de cada análisis de riesgos nacional para mitigar los riesgos puestos de manifiesto por tal análisis.
Artículo 23. Gestión de riesgos en el Esquema Nacional de Seguridad de redes y servicios 5G
1. En el Esquema Nacional de Seguridad de redes y servicios 5G se establecerán, concretarán y desarrollarán criterios, requisitos, condiciones y plazos para que los sujetos previstos en el artículo 4 puedan dar cumplimiento a las obligaciones que a cada una de estas categorías de agentes económicos les impone este real decreto-ley. Para ello, se tendrá en cuenta el análisis de riesgos nacional que incorpora la propia Estrategia Nacional y la evaluación de la eficacia de las medidas aplicadas con anterioridad por los sujetos previstos en el artículo 4 para mitigar y gestionar los riesgos en las redes y servicios 5G. 2. En el Esquema Nacional de Seguridad de redes y servicios 5G se podrá supeditar la utilización de un equipo, programa o servicio en concreto por un operador 5G, suministrador 5G o usuario corporativo 5G previsto en el artículo 4 a la previa obtención de una certificación establecida en virtud del Reglamento (UE) 2019/881, del Parlamento europeo y del Consejo, de 17 de abril de 2019, sobre la ciberseguridad. 3. El Esquema Nacional de Seguridad de redes y servicios 5G, al margen de las estrategias de diversificación de la cadena de suministro que puedan tener los operadores 5G, podrá llevar a cabo un análisis específico y podrá proponer objetivos de diversificación de suministradores 5G en la cadena de suministro en las redes y servicios 5G para el conjunto del Estado, para lo cual podrá arbitrar medidas objetivas, proporcionadas y no discriminatorias dirigidas al cumplimiento de estos objetivos, siempre dentro del marco establecido en este real decreto-ley. 4. El Esquema Nacional de Seguridad de redes y servicios 5G también contendrá medidas para mitigar o gestionar los riesgos derivados del mercado de equipos terminales y dispositivos conectados. La fabricación, importación, distribución, puesta en el mercado y comercialización de equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G, estará condicionado al cumplimiento de los requisitos esenciales aplicables relacionados con la ciberseguridad, adoptados conforme a la normativa europea, en particular, en relación con la protección de los datos personales, la privacidad, y la protección contra el fraude.
Artículo 24. Deber de colaboración en la aprobación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G
Todos los sujetos previstos en el artículo 4, así como los fabricantes, importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G deberán prestar la colaboración y remitir la información que le sea requerida para la elaboración, aprobación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G.
Artículo 25. Cooperación internacional
1. El Gobierno cooperará estrechamente con otros Estados miembros de la Unión Europea y con las instituciones de la Unión Europea en la definición y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G y, en general, colaborará con las distintas organizaciones internacionales especializadas para poder llevar a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G. 2. En particular, el Gobierno y el Ministerio de Asuntos Económicos y Transformación Digital podrán compartir información relacionada con los análisis que realicen las instituciones de la Unión Europea y con otros Estados miembros de la Unión Europea preservando, como corresponda en Derecho, la seguridad, los intereses comerciales y la confidencialidad de la información recabada en la elaboración del análisis, así como servirse de la información que le envíen otros Estados o las instituciones de la Unión Europea para su realización. Igualmente, podrá llevar a cabo estos análisis de forma conjunta con otros Estados miembros de la Unión Europea.
Artículo 26. Apoyo a la I+D+i en ciberseguridad 5G
El Esquema Nacional de Seguridad de redes y servicios 5G incluirá las líneas generales y prioridades de las ayudas públicas que pudieran ser convocadas para fomentar la investigación y el desarrollo en materia de seguridad en las redes y servicios 5G y para la formación de personal especializado.
Artículo 27. Impulso a la interoperabilidad
El Esquema Nacional de Seguridad de redes y servicios 5G impulsará la interoperabilidad de los equipos y programas ligados a la gestión de redes y servicios 5G, así como la participación de actores públicos y privados en la elaboración de estándares sobre el funcionamiento de las redes y servicios 5G.
Artículo 28. Facultades para la aplicación del Esquema Nacional de Seguridad de redes y servicios 5G
1. El Ministerio de Asuntos Económicos y Transformación Digital será el departamento competente para aplicar el Esquema Nacional de Seguridad de redes y servicios 5G y ejercer las demás funciones que le atribuye este real decreto-ley. 2. El Ministerio de Asuntos Económicos y Transformación Digital se coordinará con los demás órganos competentes en materia de ciberseguridad e infraestructuras críticas para garantizar una aplicación coherente del Esquema Nacional de Seguridad de redes y servicios 5G. 3. El Ministerio de Asuntos Económicos y Transformación Digital, en el ejercicio de las funciones que le asigna este real decreto-ley, podrá ejercer, entre otras, las siguientes facultades: b) Formular requerimientos de información a los sujetos previstos en el artículo 4, que deberán ser respondidos en el plazo de 15 días hábiles a contar desde el día siguiente al de su notificación, a efecto de poder ejercer las funciones que le asigna este real decreto-ley y su normativa de desarrollo y, en concreto, para verificar y controlar el cumplimiento de las respectivas obligaciones que este real decreto-ley y su normativa de desarrollo impone a los sujetos previstos en el artículo 4. c) Realizar auditorías u ordenar su realización para verificar y controlar el cumplimiento de las respectivas obligaciones que este real decreto-ley y su normativa de desarrollo impone a los sujetos previstos en el artículo 4. d) Realizar inspecciones por los funcionarios destinados en la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y ejercer la potestad sancionadora en los términos indicados en el capítulo siguiente. e) Conceder ayudas públicas. f) Ejercer las demás funciones que le correspondan según la legislación aplicable.