Artículo 19. Análisis de riesgos por los suministradores 5G.
Artículo 19 del Real Decreto 443/2024, de 30 de abril, por el que se aprueba el Esquema Nacional de Seguridad de redes y servicios 5G. · BOE-A-2024-8715
Redacción vigente según el texto consolidado del BOE, en vigor desde el 2024-05-02.
Texto consolidado
1. Los suministradores 5G deben analizar los riesgos de los equipos de telecomunicación, hardware y software y servicios auxiliares que intervengan en el funcionamiento u operación de redes 5G o en la prestación de servicios 5G, detectando vulnerabilidades y amenazas que le afecten tanto a la gestión de la empresa como a dichos equipos, hardware, software y servicios.
2. Los suministradores 5G deberán aportar este análisis de riesgos al Ministerio para la Transformación Digital y de la Función Pública, cuando sea requeridos para ello. Asimismo, los suministradores 5G deberán aportar los análisis de riesgos a los operadores 5G a los que suministre de conformidad con lo dispuesto en el artículo 18.4.
3. No obstante lo dispuesto en el apartado anterior, los suministradores 5G que hayan sido calificados de alto riesgo o de riesgo medio deberán remitir al Ministerio para la Transformación Digital y de la Función Pública un análisis de riesgos de sus equipos, productos o servicios involucrados en las redes y servicios 5G en el plazo de seis meses a contar desde que hayan sido calificados de alto riesgo o de riesgo medio.
4. Los suministradores 5G que sean calificados de alto riesgo o de riesgo medio deberán llevar a cabo el análisis de riesgos cada dos años y remitirlo al Ministerio para la Transformación Digital y de la Función Pública o cuando le sea requerido para ello por el Ministerio para la Transformación Digital y de la Función Pública o siempre que se hayan producido cambios significativos en las infraestructuras 5G utilizadas o servicios 5G prestados que induzcan a pensar que las medidas de seguridad adoptadas pudieran haber perdido eficacia.
5. Los suministradores 5G son los responsables de los análisis de riesgos que efectúen y del cumplimiento de las obligaciones de información y remisión de documentación establecidos en este artículo.