No entendimento do governo, deve-se promover a diversidade de provedoras de serviço por região e por faixas de frequências com intuito de promover a concorrência e a consequente qualidade dos serviços prestados, bem como a sua continuidade no caso de falha de prestação de serviços por determinada prestadora de serviços ou cessionária.
Além disso, estabelece que os equipamentos e software devem ser auditados. Para isso, obriga a utilização de processos de auditoria que assegurem a segurança cibernética dos sistemas utilizados na rede 5G, mas esses processos podem ser fornecidos de forma conjunta com as prestadoras de serviços e empresas interessadas em fornecer tecnologia 5G. A preocupação do Gabinete de Segurança Institucional é com relação a existência de vulnerabilidades e backdoors em sistemas de tecnologia 5G, implantados de forma intencional ou involuntária.
Pela norma, a empresa prestadora de serviços de telecomunicações, nos termos da legislação vigente, deverá dispor de mecanismos de interoperabilidade com as demais prestadoras, por meio de mecanismos seguros. E, a fim de evitar que redes roaming acessem os sistemas de núcleo, as empresas prestadoras de serviço deverão implementar o SEPP (Security Edge Protection Proxy) no 5G para fornecer funções de proteção nas fronteiras daquelas redes.
As funções definidas são de esconder a topologia; de filtrar mensagens; de estabelecer canais TLS (Transport Layer Security); e de implementar proteção de segurança na camada de aplicação para mensagens do tipo roaming através de redes IPX (Internetwork Packet Exchange). A prestadora deverá também implementar as funções de detecção e de mitigação de “tempestades” de pacotes maliciosos, de forma a prevenir e minimizar os efeitos de ataques cibernéticos do tipo negação de serviço DDoS (Distributed Denial of Service), sem prejuízo de que pelo menos uma das funções possua a responsabilidade de prever o monitoramento de metadados de tráfego de rede, para identificação de padrões anormais.
Outra exigência é de que a empresa provedora de serviços deverá implementar o isolamento de segurança NFV (Network Function Virtualization) como uma solução end-to-end que estará, obrigatoriamente, disponível nos equipamentos a serem utilizados, os quais adotarão ao menos os padrões nos moldes do SEC009 (Multi-tenant hosting management security) e do SEC002x (Security feature management of open source software), definidos pela ETSI (European Telecommunications Standards Institute).
O GSI exige que, mensalmente, as prestadoras de serviço registrem o estado de configuração dos equipamentos de sua rede (resultado do gerenciamento de configuração), contendo informações como topologia de rede, versões de hardware e de software dos equipamentos, a fim de auxiliar a atividade de auditoria. Além disso, determina que os incidentes de segurança cibernética ocorridos deverão ser informados, imediatamente, ao Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo do Departamento de Segurança da Informação do Gabinete de Segurança Institucional da Presidência da República.