Las tecnologías de telecomunicaciones de quinta generación, o 5 G, son el conjunto integrado de elementos o infraestructuras de red, ya sean hardware o software, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, incluidos los recursos asociados e infraestructuras digitales, que permitan el transporte de señales con los que proporcionar conectividad móvil e inalámbrica, que incorporen las funciones y capacidades y respondan a los casos de utilización recogidos en la Recomendación UIT-R M.2083, de la Unión Internacional de Telecomunicaciones, o en el estándar técnico de la organización 3GPP (3rd Generation Partnership Project: Proyecto de Colaboración para la Tercera Generación).
Estas tecnologías permiten prestar servicios de enorme valor añadido para la sociedad, en ámbitos como el de la medicina, el transporte y la energía. Además, poseen ventajas comparativas en seguridad respecto a las de generaciones precedentes. Por eso, la Unión Europea y España impulsan el rápido despliegue de redes y la realización de proyectos demostrativos de su utilidad para distintos sectores.
Pero estas redes presentan también riesgos específicos derivados, por ejemplo, de su arquitectura de red más compleja, abierta y desagregada, y de su capacidad para transportar ingentes volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas. Además, su interconexión con otras redes y el carácter transnacional de muchas de las amenazas inciden en su seguridad, y el previsible empleo generalizado de estas redes para funciones esenciales para la economía y la sociedad, incrementará el impacto potencial de los incidentes de seguridad que sufran.
Por todo ello, el Gobierno considera que los retos de seguridad que se plantean alrededor de estas redes no puedan abordarse en su totalidad con las normas sobre seguridad e integridad de las redes de comunicaciones ya existentes (Ley General de Telecomunicaciones, Real Decreto ley 12/2018 (LA LEY 14378/2018), de seguridad de las redes y sistemas de información, Ley de medidas para la protección de las infraestructuras críticas).
En consecuencia, el Real Decreto Ley 7/2022 (LA LEY 5834/2022) establece normas especiales o adicionales a las existentes en esas leyes, sometiendo a los suministradores a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas, a partir de un análisis de riesgos y dando preeminencia a la aplicación de estándares y esquemas de certificación internacionales y europeos sobre Ciberseguridad.
La extraordinaria y urgente necesidad que justifica la aprobación de esta norma se justifica por el incremento considerable del riesgo de ciberataques que, por motivos geoestratégicos, ha supuesto la agresión a gran escala de Ucrania por parte de Rusia.
Objeto (art. 1)
Este real decreto-ley establece requisitos de seguridad para la instalación, el despliegue y la explotación de redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología de quinta generación (5G).
En todo lo que no esté regulado en este real decreto-ley, será de aplicación supletoria lo dispuesto en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014), y su normativa de desarrollo. Y en lo no regulado en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014), y su normativa de desarrollo, será aplicación supletoria el Real Decreto-ley 12/2018, de 7 de septiembre (LA LEY 14378/2018), de seguridad de las redes y sistemas de información, y la Ley 8/2011, de 28 de abril (LA LEY 8430/2011), por la que se establecen medidas para la protección de las infraestructuras críticas, así como su respectiva normativa de desarrollo (disp. Final segunda)
Ámbito de aplicación (art. 4)
Este real decreto-ley se aplica a:
a) Los operadores 5G.
Se considera «Operador 5G» a la persona física o jurídica que instala, despliega o explota redes públicas 5G o presta servicios 5G disponibles al público a través, total o parcialmente, de las redes 5G, disponga de red 5G propia o no, y ha notificado al Registro de operadores el inicio de su actividad o está inscrita en el Registro de operadores (art. 3.1 a))
b) Los suministradores 5G.
Se considera «Suministrador 5G» al fabricante, el representante autorizado, el importador, el distribuidor, el prestador de servicios logísticos o cualquier otra persona física o jurídica sujeta a obligaciones en relación con la fabricación de productos, su comercialización o su puesta en servicio en materia de equipos de telecomunicación, los suministradores de hardware y software y los proveedores de servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G (art. 3.1 f))
Además, el Gobierno, mediante acuerdo adoptado en Consejo de Ministros, previo informe del Consejo de Seguridad Nacional y previa audiencia de los operadores 5G y suministradores 5G afectados, podrá calificar que determinados suministradores 5G son de alto riesgo (art. 14).
c) Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación.
Se considera «Usuario corporativo 5G» a la persona física o jurídica que instala, despliega o explota redes privadas 5G o presta servicios 5G a través, total o parcialmente, de las redes 5G, para fines profesionales o en autoprestación (art. 3.1 g)).
Obligaciones generales - Tratamiento integral de la seguridad (art. 5)
Los sujetos anteriores deberán llevar a cabo un tratamiento integral de la seguridad de las redes, elementos, infraestructuras, recursos, facilidades y servicios de los que sean responsables.
Para ello deberán llevar a cabo, mediante un método holístico, un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos y de los componentes anteriormente relacionados, así como una gestión adecuada e integral de dichos riesgos mediante la utilización de las técnicas y medidas que sean adecuadas para lograr su mitigación o eliminación y alcanzar el objetivo final de una explotación y operación seguras de las redes y servicios 5G.
A tal efecto, los sujetos previstos en el artículo 4 deberán dar debido cumplimiento a lo dispuesto en este real decreto-ley, a lo que se establezca en el Esquema Nacional de Seguridad de redes y servicios 5G y a los actos que se dicten en ejecución de ambas disposiciones.
Además, deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido en este real decreto-ley, en el Esquema Nacional de Seguridad de redes y servicios 5G y en los actos que se dicten en ejecución de ambas disposiciones (art. 11)
Todos los sujetos obligados, así como los fabricantes, importadores, distribuidores y quienes pongan en el mercado y comercialicen equipos terminales y dispositivos para conectarse a una red 5G y poder prestar servicios 5G deberán prestar la colaboración y remitir la información que le sea requerida para la elaboración, aprobación y ejecución del Esquema Nacional de Seguridad de redes y servicios 5G (art. 24).
Esquema Nacional de Seguridad de redes y servicios 5G (art. 20)
El Esquema Nacional de Seguridad de redes y servicios 5G llevará a cabo un tratamiento integral y global de la seguridad de las redes y servicios 5G, considerando las aportaciones al alcance de cada agente de la cadena de valor de 5G para garantizar un funcionamiento continuado y seguro de la red y los servicios 5G.
El Esquema Nacional de Seguridad de redes y servicios 5G deberá identificar los factores de riesgo a analizar por los sujetos afectados por esta norma en función de la evolución tecnológica, la incorporación de nuevos avances, funcionalidades y estándares tecnológicos, la situación del mercado de comunicaciones electrónicas y del de suministros y de la aparición de nuevas amenazas y vulnerabilidades (art. 9).
En el Esquema Nacional de Seguridad de redes y servicios 5G se efectuará un análisis de riesgos a nivel nacional sobre la seguridad de las redes y servicios 5G así como identificará, concretará y desarrollará medidas a nivel nacional para mitigar y gestionar los riesgos analizados.
El Esquema Nacional de Seguridad de redes y servicios 5G establecerá una jerarquía de riesgos en función de los análisis de riesgos llevados a cabo por los sujetos previstos en el artículo 4 y en función de las deficiencias apreciadas en la evaluación de la eficacia de las medidas aplicadas (art. 22.3).
Gestión de riesgos en el Esquema Nacional de Seguridad de redes y servicios 5G: En el Esquema Nacional de Seguridad de redes y servicios 5G se establecerán, concretarán y desarrollarán criterios, requisitos, condiciones y plazos para que los sujetos previstos en el artículo 4 puedan dar cumplimiento a las obligaciones que a cada una de estas categorías de agentes económicos les impone este real decreto-ley (art. 23).
El Esquema Nacional de Seguridad de redes y servicios 5G se revisará al menos cada cuatro años o cuando las circunstancias lo aconsejen (art. 21).
Obligaciones específicas de los operadores 5G
1. Análisis de riesgos
Los operadores 5G deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que les afecten tanto como agente económico como por los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes 5G o en la prestación de servicios 5G (art. 6).
2. Gestión de seguridad
Los operadores 5G deberán garantizar la instalación, despliegue y explotación seguros de redes públicas 5G y la prestación segura de servicios 5G disponibles al público mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de redes y servicios 5G, así como el cumplimiento de lo establecido en este real decreto-ley (art. 12).
El Real Decreto establece obligaciones adicionales para los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G: a) Deberán diseñar una estrategia de diversificación en su cadena de suministro, de forma que sus equipos, sistemas o recursos sean proporcionados, como mínimo, por dos suministradores diferentes; b) No podrán utilizar para en los elementos críticos de su red suministradores que hayan sido calificados de alto riesgo. c) No podrán utilizar en la red de acceso de una red pública 5G equipos o sistemas de transmisión que hayan sido calificados de alto riesgo, en aquellas estaciones radioeléctricas con las que se proporcione cobertura a centrales nucleares, centros vinculados a la Defensa Nacional y las ubicaciones y centros que, por su vinculación a la seguridad nacional o al mantenimiento de determinados servicios esenciales para la comunidad o sectores estratégicos, sean determinados por el Consejo de Seguridad Nacional, previo informe del Ministerio de Asuntos Económicos y Transformación Digital. La determinación y difusión de estas ubicaciones serán tratadas como materias clasificadas conforme a la regulación establecida en la Ley 9/1968, de 5 de abril (LA LEY 471/1968), sobre secretos oficiales y, d) Deberán ubicar los elementos críticos de una red pública 5G dentro del territorio nacional (art. 12.3).
Obligaciones específicas de los suministradores 5G
1. Análisis de riesgos
Los suministradores 5G deben analizar los riesgos de los equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G, detectando vulnerabilidades y amenazas que le afecten tanto a la gestión de la empresa como a dichos equipos, hardware, software y servicios (art. 7).
2. Gestión de seguridad
Los suministradores 5G deberán garantizar la seguridad de los equipos de telecomunicación, hardware, software o servicios auxiliares que proporcionen y que sean objeto de uso por las redes y servicios 5G. Ello incluye una serie de obligaciones de seguridad dirigidas a mitigar riesgos, que serán objeto de concreción y desarrollo en el Esquema Nacional de Seguridad de redes y servicios 5G (art. 13).
Obligaciones específicas de los usuarios corporativos 5G
1. Análisis de riesgos
Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán analizar los riesgos de las redes y servicios 5G, detectando vulnerabilidades y amenazas que afecten a los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes privadas 5G o en la prestación de servicios 5G en autoprestación (art. 8).
2. Gestión de seguridad
Los usuarios corporativos 5G que tengan otorgados derechos de uso del dominio público radioeléctrico para instalar, desplegar o explotar una red privada 5G o prestar servicios 5G para fines profesionales o en autoprestación deberán garantizar la instalación, despliegue y explotación seguros de redes privadas 5G y prestación segura de servicios 5G en autoprestación mediante la aplicación de técnicas y procedimientos de operación y supervisión que garanticen la seguridad de las redes y servicios 5G. Además, deberán aportar al Ministerio de Asuntos Económicos y Transformación Digital una descripción de las medidas técnicas y organizativas diseñadas y aplicadas para gestionar y mitigar los riesgos, cuando sean requeridos para ello (art. 15).
Gestión de seguridad por las Administraciones públicas (art. 17)
Las administraciones públicas deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G.
En particular, las administraciones públicas que quieran llevar a cabo la instalación, despliegue y explotación de redes 5G, ya sean públicas o privadas, o la prestación de servicios 5G, disponibles al público o en autoprestación, no podrán, por razones de seguridad nacional, utilizar equipos, productos y servicios proporcionados por suministradores de alto riesgo o riesgo medio.
Facultades de inspección y régimen sancionador (arts. 29 y 30)
El Ministerio de Asuntos Económicos y Transformación Digital ejercerá en la aplicación y supervisión de lo establecido en este real decreto-ley todas las potestades de la función inspectora previstas en el título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014).
Será de aplicación el régimen sancionador establecido en el título VIII de la Ley 9/2014, de 9 de mayo (LA LEY 7179/2014), a excepción de las especialidades establecidas en este real decreto-ley.
En lo no previsto en este real decreto-ley, será de aplicación lo establecido en la regulación contenida en materia de inspección y régimen sancionador del título VIII de la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones (LA LEY 7179/2014).
Adicionalmente, se tipifican las infracciones como muy graves, graves y leves.
Es infracción muy grave el incumplimiento por los operadores 5G que sean titulares o exploten elementos críticos de una red pública 5G de las obligaciones sobre gestión de seguridad establecidas en el artículo 12.3.
Son infracciones graves:
a) El incumplimiento por los operadores 5G de las obligaciones establecidas en el artículo 12, excepto las contempladas en el artículo 12.3, que son infracciones
calificadas como muy graves.
b) El incumplimiento por los suministradores 5G de las obligaciones establecidas en el artículo 13.
c) El incumplimiento por los usuarios corporativos 5G previstos en el artículo 4 de las obligaciones establecidas en el artículo 15.
d) El incumplimiento por las administraciones públicas de las obligaciones establecidas en el artículo 17.
e) El incumplimiento de estipulaciones establecidas en el Esquema Nacional de Seguridad de redes y servicios 5G cuando sean directamente exigibles.
Son infracciones leves los cumplimientos defectuosos o incumplimientos parciales de las conductas clasificadas como infracciones graves.