La protección de las entidades esenciales e importantes, y más especialmente las que están designadas como operadores críticos, es uno de los ejes sobre los que se vertebran las estrategias y acciones del Ministerio del Interior. Este modelo se fundamenta en la especialización y aprovechamiento de las capacidades de sus distintos organismos y parte de una premisa básica: que la protección de esas entidades, tanto en el ámbito físico como en el digital, constituyen un elemento consustancial a la seguridad pública.
La seguridad pública es mencionada ya en nuestra Constitución, y la Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad viene a concretar ese precepto, encomendando la protección de la seguridad pública a las Fuerzas y Cuerpos de Seguridad, incardinadas en el Ministerio del Interior.
Realidades
Asimismo, de igual manera que el concepto amplio de seguridad pública es desglosado en diferentes normas del entorno competencial del citado ministerio, ocurre con respecto a estas entidades, y es precisamente aquí donde pivota de forma plenamente coordinada su protección al adaptarse a sus dos realidades: la física y la digital. Para ello, España y el Ministerio del Interior tomaron buena nota de la «Estrategia de la Unión Europea para una Unión de la Seguridad: integrar las medidas individuales en un nuevo ecosistema de seguridad, 2020-2025» y de la «Estrategia de Ciberseguridad de la Unión Europea para la Década Digital, 2020-2030».
En ese y otros tantos documentos de la Unión se resalta la necesidad de afrontar la seguridad de los servicios esenciales de forma especializada, pero con estrecha coordinación en los ámbitos físicos y digital. Lo que más tarde ha venido a concretarse en la publicación de dos directivas diferenciadas: la Directiva 2022/2555, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS 2); y la Directiva 2022/2557, relativa a la resiliencia de las entidades críticas (Directiva CER).
La coordinación entre CNPIC y OCC es crucial en la protección de las entidades prestadoras de servicios esenciales
En línea con todo lo anterior, este Ministerio del Interior adoptaba este modelo en su Real Decreto de estructura 734/2020, encomendando, por un lado, la protección física de las infraestructuras críticas al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC); y, por otro, la ciberseguridad de los operadores de servicios esenciales identificados como críticos a la Oficina de Coordinación de Ciberseguridad (OCC). Dos organismos diferenciados, pero bajo la superior coordinación de la Dirección General de Coordinación y Estudios de la Secretaría de Estado de Seguridad. De esta forma, se optimiza la especialización de los conocimientos de su personal y las capacidades técnicas de ambos organismos, y se garantiza su coordinación y cooperación.
Riesgos y amenazas en la protección de las entidades esenciales
Los riesgos y amenazas de una infraestructura física y los que puedan acontecer a las redes y sistemas de la misma entidad pueden ser, y así ocurre en la generalidad de las ocasiones, de una naturaleza tan dispar que las medidas para su prevención, mitigación, reacción y respuesta sean completamente distintas (en recursos, tiempos, costes, formación requerida, etcétera). Sin embargo, de materializarse el daño en uno de los dos ámbitos, el impacto en el otro puede ser parejo. Por ello, la especialización, coordinación y agilidad entre estos dos organismos, importante en otras ramas de la seguridad pública, es crucial en la protección de las entidades prestadoras de servicios esenciales para la sociedad.
Centrándonos más en la vertiente de protección lógica de entidades esenciales y críticas (la comprendida en el ámbito de aplicación de la Directiva NIS 2), es necesario poner el foco en la relación entre la ciberseguridad y la cibercriminalidad toda vez que, aunque no todo ciberincidente implica la comisión de una infracción penal, sí existe una identificación casi total entre ciberataque y delito, que necesariamente generará una respuesta de investigación por parte de las Fuerzas y Cuerpos de Seguridad del Estado (FCSE).
De nuevo, el Ministerio del Interior continúa avanzando en la generación de capacidades idóneas para responder a esas dos dimensiones de la ciberseguridad de las entidades esenciales, contando con organismos especializados en ambas, pero en constante comunicación y coordinados.
Respecto a la ciberseguridad, el Real Decreto-ley 12/2018 de seguridad de las redes y sistemas de información y el Real Decreto 43/2021 que lo desarrolla establecen que la Secretaría de Estado de Seguridad es la autoridad nacional competente para las entidades esenciales designadas como críticas; autoridad ejercida a través de la OCC, que será, además, operador conjunto del Incibe-CERT en caso de incidentes con afectación de operadores críticos.
Persecución
Por otra parte, la prevención y persecución de la cibercriminalidad a nivel nacional se lleva a cabo por las FCSE, que están bajo el mando directo de esa misma Secretaría de Estado de Seguridad. De este modo, la coordinación a la que se ha hecho mención más arriba se reitera y refuerza también aquí, creando una sinergia entre las capacidades de la OCC y de las FCSE al retroalimentarse en el intercambio de informaciones que devienen en inteligencia y operatividad.
Las investigaciones criminales pueden iniciarse y avanzar sustancialmente al contar con los datos técnicos recabados de primera mano por la operación conjunta de la OCC en el Incibe-CERT. La información debidamente procesada y sujeta a todas las garantías legales procedente de las investigaciones de las FCSE permiten tener un conocimiento actualizado y consistente de las amenazas detectadas para poder modular las medidas de seguridad de las entidades esenciales críticas.
Cooperación
Al principio hemos mencionado la influencia de la Unión Europea, y es nuevamente relevante aquí, con los ejemplos de ENISA y Europol: dos agencias de nivel europeo con un cada vez mayor nivel de cooperación y compartición de información entre la ciberseguridad y la lucha contra la cibercriminalidad.
Finalizamos resaltando que la Directiva NIS 2 y la Directiva CER, en proceso de trasposición, vienen a confirmar, en su tratamiento diferenciado pero profundamente coordinado de los dos aspectos principales de la seguridad de las entidades esenciales y críticas, la idoneidad del modelo aplicado por el Ministerio del Interior en esta materia.
