Nuestro día a día está intrínsecamente conectado a las Infraestructuras Críticas. Desde la electricidad que alimenta nuestros hogares hasta el suministro de agua potable, el transporte que tomamos para ir al trabajo o los servicios de salud a los que acudimos al enfermar, dependemos de estas infraestructuras para satisfacer nuestras necesidades básicas y realizar actividades diarias. Ello supone que cualquier disrupción o incidente que éstas sufran tiene un impacto inmediato en nuestra calidad de vida, la economía y la estabilidad social. Por tanto, es esencial que se encuentren debidamente protegidas, de manera que podamos prevenir, evitar y mitigar daños. En el siguiente artículo, exploramos cómo podemos hacerlo, de acuerdo con la legislación vigente y las Guías de buenas prácticas del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
¿Qué son las infraestructuras críticas?
La Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas define en su artículo 2 qué debemos entender como “Infraestructura Crítica”: Son “las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. En otras palabras, son las instalaciones, redes y sistemas que sustentan los servicios que mantienen las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de un país, o sus instituciones y Administraciones Públicas, y no hay posibilidad de que otra infraestructura las reemplace o cubra sus funciones en caso de interrupción o incidente.
Las Infraestructuras Críticas pertenecen o están a cargo de un Operador Crítico designado como tal por la Comisión Nacional para la Protección de las Infraestructuras Críticas, y éste puede pertenecer al sector público o privado.
¿Qué sectores hay con infraestructuras críticas en España?
Las Infraestructuras Críticas se clasifican entre 12 posibles sectores estratégicos, los cuales se consideran áreas laborales, económicas o productivas que mantienen las funciones sociales, salubres, de seguridad y bienestar básicas, o respaldan la autoridad estatal o seguridad del país.
De acuerdo con el anexo único de la Ley 8/2011, los sectores estratégicos con Infraestructuras Críticas son los siguientes:
- Administración.
- Espacio.
- Industria nuclear.
- Industria química.
- Instalaciones de investigación.
- Agua.
- Energía.
- Salud.
- Tecnologías de la Información y las Comunicaciones (TIC).
- Transporte
- Alimentación.
- Sistema financiero y tributario.
¿Qué obligaciones legales tiene un operador crítico con una o más infraestructuras críticas a su cargo?
El art. 13 de la Ley 8/2011 nos dice que los Operadores Críticos deberán, entre otros, elaborar el Plan de Seguridad del Operador (PSO), así como un Plan de Protección Específico (PPE) por cada Infraestructura Crítica bajo su control o propiedad. Esta obligación se repite en el art. 13 del Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas, el cual añade que deberán revisarse cada 2 años y cuando las circunstancias así lo ameriten debido a cambios sustanciales de los datos que contienen. Éstos deberán ser aprobados por el CNPIC.
En este sentido, los principales instrumentos regulatorios que deberán tenerse en cuenta son los siguientes:
- Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas.
- Resolución de 8 de septiembre de 2015, de la Secretaría de Estado de Seguridad, por la que se aprueban los nuevos contenidos mínimos de los Planes de Seguridad del Operador y de los Planes de Protección Específicos.
- Guía de buenas prácticas para Plan de Seguridad del Operador (PSO) del CNPIC (voluntario).
- Guía de buenas prácticas para Plan de Protección Específico (PPE) del CNPIC (voluntario).
Sin embargo, ello no obsta para que se deba considerar la normativa sectorial, autonómica o local específicas, y cualesquiera otras que resulten de aplicación.
¿Qué es un plan de seguridad del operador (PSO)?
Un PSO es un documento estratégico que define las políticas generales del Operador Crítico para garantizar la seguridad del conjunto de sus instalaciones y sistemas bajo su propiedad o gestión. En este sentido, contiene los siguientes elementos:
- Política general de seguridad del Operador Crítico.
- Estructura societaria, administrativa y jerárquica del Operador.
- Identificación y descripción de los servicios esenciales prestados por Operador.
- Interdependencias y coordinación del servicio esencial y del Operador con Autoridades y terceros.
- Metodología de análisis de riesgo integral que se adopta para evaluar riesgos físicos y cibernéticos.
- Criterios para implementar las medidas de seguridad con las que cuenta el Operador.
¿Qué es un plan de protección específico (PPE)?
Un PPE es un documento operativo en el que se definen las medidas concretas ya adoptadas y las que se adoptarán por parte del Operador Crítico con base en una evaluación de riesgos, en aras de garantizar la seguridad física y lógica de una Infraestructura Crítica concreta. Por tanto, contiene los siguientes elementos:
- Aspectos relacionados con la Política general de seguridad.
- Medidas organizativas, operacionales y técnicas con las que cuenta el Operador.
- Resultado del análisis de riesgos y Plan de Acción
¿Qué beneficios aporta contar con un plan de protección robusto?
Adoptar planes de protección en nuestra organización nos aporta múltiples ventajas, entre las que podemos identificar las siguientes:
- Resiliencia operativa: Fortalece la capacidad de la organización para resistir y recuperarse de eventos adversos, asegurando la continuidad de los servicios esenciales.
- Gestión de riesgos: Facilita la identificación, evaluación y gestión proactiva de riesgos, permitiendo prever, disminuir o evitar la materialización de amenazas potenciales.
- Coordinación eficiente: Mejora la coordinación y colaboración entre diferentes entidades, incluyendo organismos reguladores, autoridades y otras partes interesadas, para abordar de manera efectiva las amenazas a la seguridad.
- Optimización de recursos: Permite asignar recursos de seguridad de manera más eficiente, centrándose en las áreas y activos más críticos para la organización.
- Respuesta rápida y efectiva: Facilita una respuesta rápida y efectiva ante incidentes o emergencias.
- Cumplimiento normativo: Ayuda a garantizar el cumplimiento de las normativas y regulaciones específicas del sector, evitando sanciones y asegurando la integridad legal de la organización.
- Protección de la reputación: Contribuye a mantener la confianza del público, clientes y partes interesadas, al demostrar un compromiso serio con la seguridad.
Además, es posible alinear los planes con otras normativas y estándares nacionales o internacionales certificables de seguridad, tales como el Esquema Nacional de Seguridad, ISO 27001 o ISO 22301, de manera que supongan un primer paso de cara a su adopción.
¿Cómo te ayudamos en la protección de infraestruturas críticas desde Global Technology?
Desde el departamento de GRC de Global Technology te ayudamos a elaborar Planes de Seguridad del Operador y Planes de Protección Específicos, desde el punto en el que estés, hasta su aprobación por el CNPIC. Te acompañamos durante todo el camino y te asesoramos para analizar el estado, necesidades y riesgos de tu organización para identificar los procedimientos y medidas técnicas que mejor se adapten a tus necesidades.
Si quieres más información sobre cómo te podemos ayudar a cumplir con la normativa PIC, contacta con nosotros y estaremos encantados de compartir contigo nuestra experiencia.