Las tecnologías 5G permiten prestar servicios de enorme valor añadido para la sociedad, pero también presentan unos riesgos específicos que no puedan abordarse en su totalidad con las normas sobre seguridad e integridad de las redes de comunicaciones ya existentes. En consecuencia, el nuevo Real Decreto Ley 7/2022 publicado establece normas especiales o adicionales a las ya existentes, aplicables a los operadores, los suministradores y los usuarios corporativos de redes 5G.
Requisitos para garantizar la seguridad de las redes y servicios
Las tecnologías de telecomunicaciones de quinta generación, o 5 G, son el conjunto integrado de elementos o infraestructuras de red, ya sean hardware o software, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, incluidos los recursos asociados e infraestructuras digitales, que permitan el transporte de señales con los que proporcionar conectividad móvil e inalámbrica, que incorporen las funciones y capacidades y respondan a los casos de utilización recogidos en la Recomendación UIT-R M.2083, de la Unión Internacional de Telecomunicaciones, o en el estándar técnico de la organización 3GPP (3rd Generation Partnership Project: Proyecto de Colaboración para la Tercera Generación).
Estas tecnologías permiten prestar servicios de enorme valor añadido para la sociedad, en ámbitos como el de la medicina, el transporte y la energía. No obstante, también presentan riesgos específicos derivados, por ejemplo, de su arquitectura de red más compleja, abierta y desagregada, y de su capacidad para transportar ingentes volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas. Además, su interconexión con otras redes y el carácter transnacional de muchas de las amenazas inciden en su seguridad, y el previsible empleo generalizado de estas redes para funciones esenciales para la economía y la sociedad, incrementará el impacto potencial de los incidentes de seguridad que sufran.
Por todo ello, el Real Decreto Ley 7/2022 establece normas especiales o adicionales a las existentes en esas leyes, sometiendo a los suministradores a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas, a partir de un análisis de riesgos y dando preeminencia a la aplicación de estándares y esquemas de certificación internacionales y europeos sobre Ciberseguridad.
¿A quién se aplica?
a) Los operadores 5G. Es decir, a la persona física o jurídica que instala, despliega o explota redes públicas 5G o presta servicios 5G disponibles al público a través, total o parcialmente, de las redes 5G, disponga de red 5G propia o no, y ha notificado al Registro de operadores el inicio de su actividad o está inscrita en el Registro de operadores (art. 3.1 a))
b) Los suministradores 5G. El fabricante, el representante autorizado, el importador, el distribuidor, el prestador de servicios logísticos o cualquier otra persona física o jurídica sujeta a obligaciones en relación con la fabricación de productos, su comercialización o su puesta en servicio en materia de equipos de telecomunicación, los suministradores de hardware y software y los proveedores de servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G (art. 3.1 f))
c) Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación.
Se considera «Usuario corporativo 5G» a la persona física o jurídica que instala, despliega o explota redes privadas 5G o presta servicios 5G a través, total o parcialmente, de las redes 5G, para fines profesionales o en autoprestación (art. 3.1 g)).
Obligaciones generales
Los sujetos anteriores deberán llevar a cabo un tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables. Lo realizarán a través de mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y de los componentes anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G.
Esquema Nacional de Seguridad
Todos los sujetos obligados deberán prestar la colaboración y remitir la información que le sea requerida para la elaboración, aprobación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G. Donde se efectuará un análisis de riesgos a nivel nacional sobre la seguridad de las redes y servicios 5G así como identificará, concretará y desarrollará medidas a nivel nacional para mitigar y gestionar los riesgos analizados. Se establecerá una jerarquía de riesgos en función de los análisis de riesgos.
La Gestión de riesgos en el Esquema Nacional de Seguridad de redes y servicios 5G: En el Esquema Nacional de Seguridad de redes y servicios 5G se establecerán, concretarán y desarrollarán criterios, requisitos, condiciones y plazos para que los sujetos previstos en el artículo 4 puedan dar cumplimiento a las obligaciones que a cada una de estas categorías de agentes económicos les impone este real decreto-ley (art. 23).
Gestión de seguridad por las Administraciones públicas
Las administraciones públicas deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G.
En particular, las administraciones públicas no podrán, por razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.
Inspección y sanciones
El Ministerio de Asuntos Económicos y Transformación Digital la función inspectora.
Se tipifican las infracciones como muy graves, graves y leves.
Son infracciones graves:
a) El incumplimiento por los operadores 5G de las obligaciones establecidas en el artículo 12, excepto las contempladas en el artículo 12.3, que son infracciones
Calificadas como muy graves.
b) El incumplimiento por los suministradores 5G de las obligaciones establecidas en el artículo 13.
c) El incumplimiento por los usuarios corporativos 5G previstos en el artículo 4 de las obligaciones establecidas en el artículo 15.
d) El incumplimiento por las administraciones públicas de las obligaciones establecidas en el artículo 17.
e) El incumplimiento de estipulaciones establecidas en el Esquema Nacional de Seguridad de redes y servicios 5G cuando sean directamente exigibles.
Son infracciones leves los cumplimientos defectuosos o incumplimientos parciales de las conductas clasificadas como infracciones graves.