(CRHoy.com).-El borrador de la reglamentación de ciberseguridad para la red 5G establece una serie de restricciones de acatamiento obligatorio.

El "Reglamento Sobre Medidas de Ciberseguridad Aplicables a los Servicios de Telecomunicaciones Basados en la Tecnología de Quinta Generación Móvil (5G) y Superiores", fue firmado y emitido el lunes pasado por parte del Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) y el de Seguridad Pública (MSP), pero al momento no se ha hecho público.

El Micitt argumentó que "se va a compartir el reglamento una vez que se publique en La Gaceta", cuya fecha se desconoce.

Sin embargo, CRHoy.com tuvo acceso al documento borrador en el que se establecen un conjunto de restricciones en cuanto a cumplir estándares internacionales de calidad.

Lo que dice

Estos son los principales puntos de cumplimiento obligatorio que indica el reglamento en materia de seguridad informática.

Artículo 2º-Ámbito de aplicación. Está sometida al presente reglamento la operación activa de redes y servicios basados en la tecnología de quinta generación móvil (5G) y superiores, por parte de las personas físicas o jurídicas, públicas o privadas, nacionales o extranjeras, que operen redes o presten servicios de telecomunicaciones basados en la tecnología de quinta generación móvil (5G) y superiores que se originen, terminen o transiten por el territorio nacional, exceptuando la operación de redes privadas de telecomunicaciones.

En el caso de procesos de compra pública que tengan por objeto la habilitación de redes y servicios basados en la tecnología de quinta generación móvil (5G) y superiores, así como de equipamiento tecnológico activo necesario para el despliegue de éstas, para el uso y explotación del espectro radioeléctrico, la Administración o entidad contratante deberá adoptar los mecanismos idóneos para verificar que los potenciales oferentes han considerado todos los aspectos alusivos a la gestión y mitigación de riesgos contenidos en la presente normativa, a la hora de planificar, diseñar e implementar su oferta técnica. En caso de resultar adjudicatario, las disposiciones de la presente norma serán de acatamiento obligatorio durante la operación de las redes y prestación de los servicios basados en la tecnología de quinta generación móvil (5G) o superiores.

Artículo 6º- Adopción de estándares. Los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Decreto Ejecutivo, deberán adoptar, implementar, y mantener estándares y/o marcos de referencia sobre ciberseguridad, incluyendo los siguientes:

Número y nombre

ISO/IEC 27001:2022 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad — Sistemas de Gestión de la Seguridad de la Información —Requerimientos
ISO/IEC 27002:2022 Seguridad de la Información, Ciberseguridad y Protección de la Privacidad — Controles de seguridad de la información
ISO/IEC 27003:2017 Tecnologías de la información —Técnicas de seguridad — Sistemas de Gestión de la Seguridad de la Información —Guía
ISO/IEC 27011:2016 Tecnologías de la información —Técnicas de seguridad — Código de prácticas para los controles de seguridad de la información basado en ISO/IEC 27002 para organizaciones de telecomunicaciones.
SCS 9001 Estándar de Seguridad de la Cadena de Suministro y Ciberseguridad

Artículo 11º. Medidas aplicables ante la identificación de riesgo alto. Cuando alguno de los sujetos comprendidos en el ámbito de aplicación del artículo 2 del presente Reglamento identifique la presencia de alguno o varios de los parámetros de riesgo alto deberá informarlo a la Superintendencia de Telecomunicaciones (Sutel) de conformidad con las disposiciones del artículo 42 de la Ley General de Telecomunicaciones, Nº8642, dentro de los 3 (tres) días naturales siguientes a su identificación y adoptar las medidas técnicas y administrativas idóneas para garantizar la seguridad de sus redes y sus servicios.

Cuando se identifique la presencia de alguno o varios de los parámetros de riesgo alto por parte de los sujetos comprendidos en el ámbito de aplicación del artículo 2 de este Reglamento, quedará sujeto a la adopción inmediata de las siguientes medidas técnicas de ciberseguridad:

1) No podrán ser utilizados en elementos críticos de la red, equipos de telecomunicación, sistemas de transmisión, equipos de conmutación o encaminamiento y demás recursos, que permitan el transporte de señales por representar un alto riesgo de ciberseguridad para las redes 5G y superiores, y la seguridad nacional. Para tal efecto, se declaran elementos críticos de la red 5G y superiores los siguientes:

i. Los relativos a las funciones del núcleo de la red.
ii. Los sistemas de control y gestión y los servicios de apoyo.
iii. La red de acceso en aquellas zonas geográficas y ubicaciones que proporcionen cobertura a centros vinculados con la seguridad nacional y la provisión de servicios públicos esenciales.

2) Llevar a cabo la sustitución de los equipos, productos y servicios de la red 5G y superiores cuando ello fuera necesario, para lo cual, deberá tener en cuenta la situación del mercado de los suministradores de hardware y software, las alternativas de suministro de equipos y productos sustitutivos viables, la implantación de esos equipos y productos en la red 5G y superiores, especialmente en los elementos críticos de la red, la dificultad intrínseca para llevar a cabo la sustitución de equipos, los ciclos de actualización de equipos, así como su impacto económico. En ningún caso, el plazo de sustitución de los equipos podrá ser inferior a un año y no mayor a cinco años, contados a partir de la clasificación como de alto riesgo.

El cumplimiento de las presentes disposiciones reglamentarias deberá ser consideradas para la operación de redes 5G y superiores y sus servicios, de conformidad con las disposiciones del artículo 49 numerales 1 y 3 de la Ley N°8642, Ley General de Telecomunicaciones.