La Comisión Nacional para la Protección de Infraestructuras Críticas (Comisión PIC) aprobó, el pasado 30 de junio, el Plan Estratégico Sectorial de la Administración, el último de estos planes (uno por cada sector estratégico nacional recogido en la Ley 8/2011, de 20 de abril, sobre medidas para la protección de las infraestructuras críticas, conocida como Ley PIC). Por tanto, con la aprobación del Plan Estratégico de la Administración culmina el proceso de creación del Sistema Nacional de Protección de Infraestructuras Críticas (Sistema PIC), que comenzó en 2014. No hay duda de que este es un momento importante porque, por un lado, finaliza una etapa, pero al mismo tiempo comienza otra, con retos e incertidumbres que deberemos afrontar.
Antes de adentrarnos en la materia, hay que decir que el actual sistema de bienestar de la sociedad, tal como la conocemos, se sustenta en un conjunto de servicios, llamados esenciales, que resultan indispensables para su funcionamiento y mantenimiento, y que los ciudadanos usamos todos los días. Estos servicios se prestan a través de distintas infraestructuras, de carácter tanto público como privado, que están repartidas por todo el territorio nacional.
Con la publicación de la Ley PIC se dio soporte legal a todo el ámbito de actuación PIC. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), órgano creado en el año 2007, dependiente de la Secretaría de Estado de Seguridad y encargado de la coordinación de las infraestructuras críticas, comenzó a planificar la aproximación que debía realizarse a los sectores estratégicos recogidos en la citada ley. Además, la norma establece que el estudio de cada uno de los sectores ha de llevarse a cabo a través de los Planes Estratégicos Sectoriales (PES), que permiten, entre otros objetivos, conocer el funcionamiento del sector, detectar los puntos vulnerables y objeto de especial protección ante posibles amenazas e identificar qué empresas gestionan o son propietarias de las infraestructuras que ofrecen los servicios esenciales.
La modalidad de aprobación de los PSO será superada próximamente por un esquema o certificación de protección integral PIC
Los primeros PES aprobados por la Comisión PIC fueron los correspondientes a la Energía, la Industria Nuclear y el Sistema Financiero. A continuación se fueron sucediendo los PES de cada uno de los sectores, hasta que la Comisión PIC aprobó en sus últimas reuniones los planes sectoriales para Alimentación, Transporte Urbano y Salud (2018), Instalaciones de Investigación (2019) y, finalmente, Administración (2021). De esta manera, quedaron cubiertos los 12 sectores estratégicos que establece la Ley PIC y que engloban la gran mayoría de los servicios esenciales.
Objetivos cumplidos
Podemos decir que el modelo PIC español ha cumplido ya los primeros objetivos que se marcaron allá por 2011. Entre ellos están:
- Disponer de una estructura de dirección permanente, liderada por la Secretaria de Estado de Seguridad del Ministerio del Interior y asistida por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), órgano pionero que actúa como director y coordinador de las actividades relacionadas con la correcta prestación de los servicios esenciales.
- Mantener un catálogo nacional actualizado en el que están identificadas, designadas y priorizadas todas nuestras infraestructuras.
- Haber conseguido, más allá de la figura del operador crítico, una implicación colaborativa del sector privado, basada en el concepto de la cooperación público-privada y en el intercambio de información sensible.
- Disponer de un modelo de planificación escalonado en cuya cúspide se mantiene el Plan Nacional de Protección de las Infraestructuras Críticas, alineado con el Plan de Prevención y Protección Antiterrorista.
- Promover la capacidad de resiliencia y redundancia para poder sobreponerse y recuperarse con celeridad ante posibles incidentes de todo tipo.
- Y, finalmente, incluir como una de las prioridades fundamentales tanto la ciberseguridad como la protección de las redes y sistemas de información que forman parte de las infraestructuras críticas. Todo ello enmarcado dentro del concepto de seguridad integral que preside todo el Sistema PIC.
Por tanto, a día de hoy, con la elaboración y finalización de un total de 18 PES, podemos afirmar que el grado de seguridad de la ciudadanía ha aumentado, implantándose una cultura de seguridad homogénea en el ámbito de los servicios esenciales, donde la seguridad y la protección de activos era considerado, hasta ese momento, de manera residual.
El Sistema PIC es la mejor respuesta para que nuestro bienestar no se resienta por el colapso de los servicios esenciales
Sin embargo, el Sistema PIC fue concebido precisamente como un algo vivo y en constante evolución. Ahora estamos en uno de esos momentos de “encrucijada” donde, tras la aprobación del último PES y a partir de lo ya obtenido, debemos marcarnos nuevas metas y objetivos, pues tenemos por delante nuevos retos que enfrentar.
Somos conscientes de que las amenazas a nuestras entidades e infraestructuras están cada vez más expuestas a los ataques desde el ciberespacio. Por eso es imprescindible abordar esta problemática creciente de manera más amplia que hace unos años, aunque la manera en la que el CNPIC efectuó esta integración fuera en su momento un hito por su innovación, un momento en el que la amenaza cibernética era apenas conocida. Por eso se optó, hace aproximadamente un año, por potenciar el esfuerzo en ciberseguridad del Ministerio del Interior, con la creación de la Oficina de Coordinación de Ciberseguridad, para enfocar este nuevo servicio en los aspectos técnico-operativos que se deducen de las nuevas modalidades de ciberataques contra nuestras infraestructuras y entidades críticas y de servicios esenciales. No obstante, no se rompe el concepto de seguridad integral, ya que la seguridad física no puede desligarse de la seguridad lógica, de la cual forma parte la seguridad de las redes y sistemas de información de las infraestructuras críticas que proporcionan nuestros servicios esenciales. De esta manera lo reflejan los operadores críticos en sus respectivos Planes de Seguridad del Operador y Planes de Protección Específicos, que vienen siendo revisados y aprobados por el CNPIC. Esta modalidad de aprobación de planes será, por cierto, superada próximamente por un esquema o certificación de seguridad integral PIC.
Por último, también hay que mencionar los cambios de índole normativo que se están gestando en Europa, de la mano de la proyectada aprobación de dos directivas: la de seguridad de las redes y sistemas de información (más conocida como NIS2) y la de resiliencia de entidades críticas (conocida como CER); que se estudian al mismo tiempo que un futuro Reglamento sobre resiliencia operativa digital del sector financiero (conocido como DORA). Toda esta nueva batería legislativa responde a la necesidad de garantizar que los servicios esenciales para la sociedad se presten sin interrupciones no necesarias y con calidad: de ahí que el foco de todas ellas se haya puesto sobre la resiliencia de estos servicios.
¡Sigue leyendo!
Aquí te hemos mostrado tan sólo una parte de este artículo.
¿Quieres leer el contenido completo?
