Sistemas de informacion/Normativa ciberseguridad 5G


La Normativa de Ciberseguridad 5G es un Real Decreto-ley publicado en marzo del año 2022 sobre los requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. Este nuevo tipo de tecnología es más compleja y abierta que la anterior, del mismo modo que está más desagregada, permitiendo así que cantidades enormes de dispositivos estén hiperconectados. Aun así, la ciberseguridad es uno de los riesgos que más importancia está tomando en la actualidad en cualquier nivel y tipo de negocios. Por ello se han desarrollado unas normas que actúen y esclarezacan en la medida de lo posible la regulación ante estas amenazas que se puedan dar y sus correspondientes sanciones. [1]

Disposiciones generales:

editar

Para comenzar con las disposiciones generales de la normativa, cabe mencionar que es la ley que tiene por objetivo establecer los requisitos de seguridad para la utilización general de las redes de comunicaciones electrónicas y la prestación de servicios de comunicaciones electrónicas e inalámbricas basados en la tecnología 5G. En este sentido, se pretende impulsar y reforzar la seguridad 5G, reforzar la protección de la seguridad nacional, fortalecer la industria 5G y diversificar el mercado de los suministradores de red.

En cuanto al ámbito de aplicación, esta ley es aplicable a los conocidos como agentes, que vienen a ser los operadores 5G, los suministradores 5G y los usuarios corporativos 5G con derechos otorgados para fines profesionales o en autoprestación.

Respecto al tratamiento integral de la seguridad, serán los agentes mencionados anteriormente quienes lleven a cabo este tratamiento. Para ello deberán realizar un análisis de las vulnerabilidades, amenazas y riesgos que les afecten como agentes económicos. Además, deberán realizar una gestión adecuada de los riesgos mediante las técnicas óptimas para lograr su eliminación, y conseguir así que la explotación y operaciones de las redes y servicios de quinta generación sean seguras. Del mismo modo, el Esquema Nacional de Seguridad de redes y servicios 5G también llevará a cabo el tratamiento integral de la seguridad de la información acerca de los servicios y redes 5G. Para ello tendrá en cuenta la información proporcionada por los agentes, así como considerarán y analizarán aportaciones de otras organizaciones y entidades como la UIT o recomendaciones propuestas desde la Unión Europea.

Análisis de riesgos:

editar

En cuanto al análisis de riesgos, serán los agentes mencionados quienes tienen la obligación de analizarlos, presentando, cada cierto tiempo dependiendo del tipo de agente, un informe en el Ministerio de Asuntos Económicos y Transformación Digital, como se recoge en el articulo 6 de Real Decreto-ley 7/2022. Los operadores 5G deberán llevar a cabo un estudio de las amenazas y vulnerabilidades que afecten infraestructuras, recursos de una red publica 5G y los elementos, entre los que destacan: funciones del núcleo de la red, funciones de transporte y transmisión, sistemas de gestión y control y apoyo o la red de acceso. Los suministradores 5G también deben analizar los riesgos, en este caso, riesgos que afecten a los equipos de telecomunicación, hardware y software y servicios auxiliares que sean necesarios para el funcionamiento u operación de redes 5G. Y en el caso de los usuarios corporativos 5G deberán analizar los riesgos de las redes y servicios 5G, detectando todo lo que suponga una amenaza a los elementos de red, infraestructuras, recursos, facilidades y servicios que empleen o provean en la instalación, despliegue y explotación de redes privadas 5G.

Gestión de los riesgos:

editar

La normativa obliga a los suministradores 5G, operadores 5G, usuarios corporativos 5G y a las administraciones publicas a la gestión de los riesgos, a través de el articulo 11 del Real Decreto-ley 7/2022, con el fin de proporcionar mas seguridad en este ámbito. Los operadores 5G, deberán garantizar la instalación, el despliegue y la explotación de las redes 5G, por ello están obligados a aplicar técnicas y procedimientos de operación y supervisión para garantizar la seguridad y los servicios 5G, por ejemplo, controlando su propia cadena de suministro a través de registros de acceso.

En cuanto a los suministradores 5G, deberán garantizar la seguridad de los equipos de comunicación, hardware, software o servicios auxiliares que estén en relación con las redes y servicios 5G. Estos, deben seguir unas obligaciones de seguridad con el objetivo de minimizar los riesgos de acuerdo con el Esquema Nacional de Seguridad de redes y servicios 5G. Entre dichas obligaciones destacan, el cumplimiento de estándares de seguridad desde el diseño de los equipos, productos y servicios hasta la puesta en funcionamiento, el reforzamiento de la integridad del software, implementar un sistema de certificación para garantizar la aplicación de las medidas de seguridad así como la certificación de los productos y servicios que sean usados o efectuar una auditoría de seguridad de sus equipos, productos y servicios. Las administraciones publicas también se encargan de la gestión de los riesgos, estas, deben tener medidas técnicas y de organización adecuadas para cuando se lleve a cabo una instalación, despliegue o explotación de las redes 5G o de una prestación de servicio 5G. Además, no podrán utilizar equipos, productos, y servicios proporcionados por suministradores de alto riesgo por razones de seguridad nacional. Y los usuarios corporativos 5G, solo quedan involucrados los que tienen otorgados derechos de uso del dominio publico radioeléctrico para poder instalar, desplegar o explotar una red privada 5G o prestar servicios de este tipo. Por ello, están obligados también a, garantizar la instalación, el despliegue y la explotación, mediante la supervisión de dichas redes y servicios.

En añadido a esto, lo operadores que suministren redes de 5G que sean públicas no podrán usar equipos de suministro que hayan sido calificados de alto riesgo, en caso de que uno de los operadores suministre red 5G con alguno de dichos equipos de alto riesgo, se les otorgará un plazo de 5 años para sustituirlos.

Inspección y Régimen sancionador:

editar

En referencia a la facultad de inspección la norma estable que "El Ministerio de Asuntos Económicos y Transformación Digital ejercerá en la aplicación y supervisión de lo establecido en este real decreto-ley todas las potestades de la función inspectora"(art 29. Ley 7/2022, DE 29 de marzo), es decir este el ministerio encargado de revisar que tanto los operados como los suministradores cumplen con sus obligaciones.

Tipos de Infracciones

editar

Por otro lado esta norma también clasifica las infracciones en base a la gravedad, estas vendrían siendo clasificadas como: Infracciones muy graves, infracciones graves e infracciones leves. Para sancionar dichas infracciones el legislador se basará en el titulo VIII de la Ley 9/2014, de 9 de mayo. [2]

Muy Graves

editar

Las calificadas como muy graves hacen referencia al incumplimiento de las obligaciones recogidas en el artículo 12.3 las cuales hacen referencia a los operadores que sean titulares o exploten una red pública 5G. Dentro de estas obligaciones se encuentran la diversificación de la cadena de suministro de equipos de telecomunicaciones y la prohibición de uso de equipos calificados de alto riesgo en elementos clave. Además, estos elementos críticos han de ser ubicados en territorio nacional.

Graves

editar

Las calificadas como graves vienen dadas por el incumplimiento de las obligaciones recogidas en los artículos 12, 13, 15 y 17, excepto el 12.3 que se ha descrito anteriormente. En resumen, estos artículos recogen las obligaciones en base a la gestión de seguridad por parte de los operadores (art 12), suministradores (art. 13), usuarios corporativos (art 15) y por las administraciones públicas (art. 15)

Finalmente, las infracciones catalogadas como leves son aquellas obligaciones que se hayan cumplido de manera defectuosa o parcial cuyo incumplimiento total sea considerado como falta grave.

Bibliografía

editar

–Cano, F. (2022b, abril 2). La Ley de ciberseguridad indigna a las 'telecos': disparará costes y reducirá el despliegue del 5G. The Objective. https://theobjective.com/economia/2022-04-02/ciberseguridad-telecos-5g/

–Hidalgo, C. (2022, 27 enero). El 5G en España es seguro, pero «hay que seguir trabajando», según los expertos. Economía Digital. https://www.economiadigital.es/empresas/el-5g-en-espana-es-seguro-pero-hay-que-seguir-trabajando-segun-los-expertos.html

–IT Televisión. (2022, 20 abril). Claves de la Ley de Ciberseguridad 5G de España [Vídeo]. YouTube. https://www.youtube.com/watch?v=4Mf1HHAqfh4

–Sacristán, L. (2022, 29 abril). La Ley de Ciberseguridad 5G ha sido ratificada: qué dice la normativa y cómo afectará a los operadores. Xataka Móvil. https://www.xatakamovil.com/conectividad/ley-ciberseguridad-5g-ha-sido-ratificada-se-acabo-equipamiento-proveedores-alto-riesgo

–Young Broker. (2020, 10 junio). Qué es 5G y Cómo Funciona | Los Peligros que Nadie Cuenta [Vídeo]. YouTube. https://www.youtube.com/watch?v=iRfxRLdPdN8

  1. –BOE.es - BOE-A-2022-4973 Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación. (s. f.). https://www.boe.es/diario_boe/txt.php?id=BOE-A-2022-4973,
  2. –BOE.es - BOE-A-2014-4950 Ley 9/2014, de 9 de mayo, General de Telecomunicaciones. (s. f.). https://www.boe.es/buscar/act.php?id=BOE-A-2014-4950,