Real Decreto-ley 7/2022, de 29 de marzo, sobre requisitos para garantizar la seguridad de las redes y servicios de comunicaciones electrónicas de quinta generación.

MarginalBOE-A-2022-4973
SecciónI - Disposiciones Generales
EmisorJefatura de Estado
Rango de LeyReal Decreto-ley

Desde su introducción generalizada a finales de los años 90 del siglo XX, las redes móviles han sido un pilar del progreso de las telecomunicaciones y base para la introducción de las tecnologías de la información en todos los ámbitos de la sociedad, gracias tanto a la gradual extensión de su cobertura como, muy fundamentalmente, al desarrollo de nuevas capacidades que han incorporado las sucesivas generaciones de servicios móviles.

La más reciente de ellas, conocida como quinta generación o 5G, puede dar a las comunicaciones móviles e inalámbricas una nueva dimensión al integrar computación en la red, permitir crear redes virtuales, ofrecer baja latencia y prestar servicios de enorme valor añadido para la sociedad en ámbitos como el de la medicina, el transporte y la energía. Por eso, la Unión Europea y España impulsan el rápido despliegue de redes y la realización de proyectos demostrativos de su utilidad para distintos sectores.

La prestación de servicios avanzados para la población y la industria con apoyo en la tecnología se irá conformando como una realidad a lo largo de los próximos cinco o diez años. Pero, para que las redes 5G desarrollen el potencial que encierran es preciso generar la confianza necesaria en su funcionamiento continuado y en su protección frente a fugas o manipulaciones de datos o comunicaciones. Sin esa confianza, las personas y entidades que pueden aprovechar las oportunidades que ofrecen las redes 5G no harán uso de ellas, y la tecnología 5G no producirá los beneficios que se esperan de ella.

Las redes y servicios 5G poseen ventajas comparativas en seguridad respecto a las de generaciones precedentes. Pero presentan también riesgos específicos derivados por ejemplo de su arquitectura de red más compleja, abierta y desagregada, y de su capacidad para transportar ingentes volúmenes de información y permitir la interacción simultánea de múltiples personas y cosas. Su interconexión con otras redes y el carácter transnacional de muchas de las amenazas inciden en su seguridad, y el previsible empleo generalizado de estas redes para funciones esenciales para la economía y la sociedad, incrementará el impacto potencial de los incidentes de seguridad que sufran.

Los equipos y programas informáticos cobran una importancia singular en las redes 5G pues sus prestaciones características, como la computación en el borde (edge computing) o la virtualización múltiple de redes (network slicing), se orientan hacia paradigmas propios de la informática y los servicios de computación en nube, apartándose del enfoque tradicional de las arquitecturas de las redes de comunicaciones electrónicas. El funcionamiento de estas redes dependerá en gran medida de sistemas informáticos y de servicios proporcionados por proveedores externos a los operadores (designados colectivamente en este real decreto-ley como «suministradores»), creándose una dependencia de éstos que podría aumentar el nivel de riesgo al que se está expuesto.

La arquitectura de las redes 5G anteriormente descrita y los nuevos requisitos de seguridad, conllevan la necesaria evolución de las estrategias tradicionales, que se basaban en garantizar su disponibilidad, confidencialidad e integridad frente a ataques provenientes del exterior.

La complejidad técnica y el nuevo paradigma tecnológico que implica la inclusión y generalización en el mercado de las telecomunicaciones y en otros muchos sectores económicos de la tecnología 5G, hace que los retos de seguridad que se plantean alrededor de las redes 5G no puedan abordarse en su totalidad con las normas sobre seguridad e integridad de las redes de comunicaciones electrónicas contenidas en la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, ni con el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, ni con la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.

La materia regulada requiere una norma con rango de ley, ya que establece algunas obligaciones a empresas y potestades administrativas que deben establecerse por ley. Justifican esas limitaciones y potestades la importancia para la sociedad de la garantía del funcionamiento ordinario de servicios esenciales que podrían depender en un futuro de las redes y servicios 5G. La apertura de la red a multitud de usos y aplicaciones aumenta los puntos de ataque a la red, y la importancia del papel de los suministradores en su arquitectura y gestión aconseja tomar precauciones para evitar posibles incidentes atribuibles a su actuación.

A este respecto, se somete a los suministradores a estrictos controles de seguridad para garantizar su fiabilidad técnica y su independencia de injerencias externas, lo que da lugar a análisis de riesgos y medidas que realizarán los operadores y el Gobierno.

En el aspecto técnico, se da preeminencia a la aplicación de estándares internacionales y europeos y a los esquemas de certificación europeos que resulten de la ejecución del Reglamento (UE) 2019/881 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, sobre Ciberseguridad. Además, los operadores deberán poner en marcha una estrategia de diversificación de suministradores para minimizar los riesgos e impacto de contingencias que les afecten.

En el ámbito estratégico, se examinará el perfil de riesgo de los suministradores más importantes de los operadores de redes y servicios 5G en España, en particular, desde el punto de vista de su protección frente a ataques y de su exposición a injerencias externas; pudiendo llegar a identificarse usuarios específicos o funciones restringidas de las redes donde no puedan actuar suministradores calificados como de alto riesgo o de riesgo medio.

Para crear y reforzar la industria de 5G en España, se impulsará la investigación, desarrollo e innovación en torno a la tecnología 5G, también en lo que a la ciberseguridad 5G se refiere.

El presente real decreto-ley establece normas especiales o adicionales a las existentes en otras leyes aplicables en materia de seguridad, incluidas la Ley 9/2014, de 9 de mayo, General de Telecomunicaciones, la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, la Ley 36/2015, de 28 de septiembre, de seguridad nacional, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos (Reglamento general de protección de datos personales), la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, o el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

En la elaboración de este real decreto-ley se ha tenido en cuenta la Recomendación (UE) 2019/534, de 26 de marzo de 2019, de la Comisión Europea, sobre la ciberseguridad de las redes 5G, el análisis de riesgos coordinado de los Estados miembros y la «caja de herramientas» acordada por éstos como base común para un desarrollo seguro de la tecnología 5G en Europa. Se incluyen en este real decreto-ley las recomendaciones fundamentales que la Comunicación de 29 de enero de 2020 de la Comisión Europea «Despliegue seguro de la 5G en la UE - Aplicación de la caja de herramientas de la UE» (COM/2020/50 final) realizaba a los Estados miembros sobre la utilización de la «caja de herramientas».

El artículo 86 de la Constitución permite al Gobierno dictar decretos-leyes «en caso de extraordinaria y urgente necesidad», siempre que no afecten al ordenamiento de las instituciones básicas del Estado, a los derechos, deberes y...

Para continuar leyendo

Solicita tu prueba

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR