Articulo 22 Esquema Nacional de Seguridad de redes y servicios 5G

1. Las medidas a las que se hace referencia en este esquema se fundamentan en un enfoque basado en compendiar los riesgos cuya prevención, detección y mitigación o eliminación tenga por objeto proteger los sistemas, redes y servicios 5G, e incluirán al menos los siguientes elementos:

a) Las políticas de seguridad de los sistemas, redes y servicios 5G.

b) Análisis de riesgos.

c) La gestión de incidentes.

d) La continuidad de las actividades, como la gestión de copias de seguridad y la recuperación en caso de catástrofe, y la gestión de crisis.

e) La seguridad de la cadena de suministro y, en su caso, la estrategia de diversificación, cuando proceda.

f) La seguridad en la adquisición, el desarrollo y el mantenimiento de los sistemas y redes 5G.

g) Las políticas y procedimientos relativos a la utilización de la criptografía y, en su caso, de cifrado.

h) La seguridad de los recursos humanos, las políticas de control de acceso y la gestión de activos.

i) El uso de soluciones de autenticación, comunicaciones de voz, vídeo y texto seguras y sistemas seguros de comunicaciones de emergencia, cuando proceda.

j) El uso de componentes certificados.

k) La protección de servicios y datos en la nube.

l) La monitorización de sistemas, redes y servicios.

m) La seguridad física.

n) La protección de la información.

ñ) La realización de evaluaciones periódicas de vulnerabilidades y pruebas de penetración para identificar y resolver o mitigar estas vulnerabilidades antes de que puedan ser explotadas.

2. Los sujetos obligados deberán adoptar medidas técnicas y de organización adecuadas para gestionar los riesgos existentes en la instalación, despliegue y explotación de redes 5G y en la prestación de servicios 5G, con base en lo establecido en el Real decreto-ley 7/2022, de 29 de marzo, en este Esquema y en los actos que se dicten en ejecución de ambas disposiciones.