Las recientes noticias sobre el presunto espionaje con el sistema Pegasus a algunos teléfonos móviles de miembros del Ejecutivo han sido el escenario elegido por el Consejo de Ministros para aprobar la actualización del Esquema Nacional de Seguridad Nacional en el ámbito de la Administración Pública.
Una actualización que se aplica a todo el sector público y establece la política de seguridad en la utilización de medios electrónicos. Así, el nuevo documento recoge los principios básicos y los requisitos mínimos que garantizan la seguridad de la información tratada y las medidas de protección, así como mecanismos de conformidad y de monitorización.
Con la medida se actualizan las medidas de seguridad para reducir vulnerabilidades, promover la vigilancia continua y mejorar la respuesta a las ciberamenazas, «que son una realidad dinámica y permanente para todos, ciudadanos, administraciones y empresas», según ha afirmado la ministra de Política Territorial y portavoz del Gobierno, Isabel Rodríguez.
Seguridad también en 5G
Aunque España es el cuarto país del mundo y el segundo de Europa en ciberseguridad según el Índice Global de Seguridad de la Unión Internacional de Telecomunicaciones, Rodríguez ha subrayado que «sigue reforzando sus capacidades», no solo con la nueva norma aprobada hoy, sino también con el Real Decreto-ley sobre Ciberseguridad y 5G y los 1.000 millones de inversión que destina al efecto el Plan de Recuperación, Transformación y Resiliencia.
La Ley de Ciberseguridad 5G, convalidada por amplia mayoría también por el Congreso esta semana, incorpora al marco legal español las medidas estratégicas y técnicas de la caja de herramientas (tool box) consensuada entre los Estados Miembros de la Unión Europea. La caja de herramientas identifica las principales amenazas y vulnerabilidades, los activos más sensibles y riesgos estratégicos en el despliegue de redes 5G.
Como novedad, explican, la norma establece un Esquema de Seguridad de Redes y Servicios 5G que tendrá en cuenta los análisis realizados por los operadores de red acerca de las vulnerabilidades y amenazas a la red 5G.
También establece un procedimiento y unos criterios para que se puedan clasificar a los suministradores de bajo, medio y alto riesgo. Los operadores de redes públicas 5G no podrán usar equipos de suministradores de alto riesgo en el núcleo o core de la red, en su sistema de gestión de red y en determinadas ubicaciones de la red de acceso.
Esto afecta tanto a redes o elementos de red ya instalados, -si se usan para tecnología 5G-, como a las nuevas redes 5G que se instalen. Si los operadores se vieran obligados a sustituir los equipos, productos o servicios proporcionados por dichos suministradores, disponen de un plazo de cinco años para llevar a cabo la sustitución en los elementos críticos de red.
Asimismo, los operadores deben analizar su dependencia en la cadena de suministros y están obligados a incluir medidas para limitar la dependencia de un solo suministrador y restricciones para los suministradores que sean calificados de alto riesgo.
