El Real Decreto 734/2020, de 4 de agosto, que desarrolla la nueva estructura orgánica básica del Ministerio del Interior, contiene alguna novedad que, desde el punto de vista de la protección de las infraestructuras críticas, resulta del máximo interés por inquietante: nos referimos al cambio de ubicación y dependencia de la OCC (conocida ahora como Oficina de Coordinación de Ciberseguridad). Por lo demás, si cabía esperar una elevación del rango orgánico del CNPIC en el seno de la Secretaría de Estado de Seguridad, no solo no se ha producido, sino que se le ha privado del componente de ciberseguridad incorporado en la anterior reforma, de 2017. Estas circunstancias merecen algunas reflexiones en cuanto pueden afectar a la continuidad del Sistema PIC, tal como lo conocemos.
Es importante tener presente que la Unión Europea afrontó la protección sistemática de los servicios esenciales siempre desde una perspectiva integral, criterio que ha sido seguido, como no podía ser de otra forma, por las respectivas legislaciones nacionales. En nuestro caso, la Ley 8/2011, de protección de las infraestructuras críticas, regula esta protección para hacer frente a ataques deliberados de todo tipo. El CNPIC fue un abanderado de esta política y sus intervenciones han contribuido, sin duda notablemente, a consolidar una doctrina de integración de las distintas facetas de la seguridad bajo una dirección única.
La Unión Europea afrontó la protección sistemática de los servicios esenciales siempre desde una perspectiva integral
Por otra parte, si bien la Directiva 2008/114 se aplica inicialmente a solo dos sectores estratégicos, energía y transportes, ella misma prevé su revisión para extenderse a otros, especialmente el de las TIC. Pero tal revisión no se ha producido, sino que se ha promulgado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, más conocida como Directiva NIS, que afecta notablemente a los servicios esenciales.
Garantizar los servicios esenciales
A este respecto, creemos que el objetivo final de las políticas de protección debe ser garantizar la continuidad de los servicios esenciales, mejorando tanto la seguridad de las infraestructuras físicas, como la de las redes y sistemas de la información que les dan soporte, o cualquier otro aspecto que incida en su producción. A mayor abundamiento, la crisis por la pandemia de COVID 19 nos enseña que no podemos perder en ningún caso la perspectiva integral. Por todo ello, no tiene sentido que la normativa venga a romper un modelo que estaba funcionando con acierto para crear un sistema nuevo, específico para el ámbito de la ciberseguridad. Personalmente, opino que la parte de la Directiva NIS que afecta directamente a la provisión de servicios esenciales debió incorporarse a nuestro ordenamiento mediante una actualización de la Ley PIC, completando así el modelo ya configurado.
No hay que olvidar que fue precisamente ese modelo el que llevó la seguridad de las principales empresas españolas a una dimensión nunca antes conocida, no solo por haberse acometido el cambio desde la sistematización, sino porque una ley sin régimen sancionador fue capaz de aunar voluntades en pos de un interés común: por primera vez la administración no se apoyaba en su potestad coercitiva, sino que ofrecía su mejor versión para potenciar la colaboración público-privada. Es posible que este resultado no se hubiera alcanzado sin un órgano como el CNPIC, que entendió a la perfección las claves para ese avance, al tiempo que apostaba decididamente por la seguridad integral, sin dejar de contar por ello con la participación de las áreas física y lógica, aplicando en cada momento los procedimientos operativos que mejor sirvieran al objetivo.
La Ley y su normativa de desarrollo diseñaron un sistema intencionadamente amplio, flexible y abstracto, que daba cabida a múltiples sectores estratégicos totalmente diferentes entre sí y a los más variados actores, para iniciar el camino de la concienciación y cambiar conceptos desfasados, mediante una planificación en la que todos podían participar. Aquel necesariamente complejo sistema debería dar cabida ahora a los nuevos actores que la normativa NIS ha incorporado a la protección de los servicios esenciales: Autoridades Competentes, Equipos de Respuesta a Incidentes, Punto de Contacto Único y otras Autoridades con las que deben cooperar los anteriores. Sin embargo, parece que se va desarrollando un sistema al margen del anterior, destinado solo al ámbito ciber. Paralelamente, al CNPIC se le priva del órgano especializado que debería facilitar el cumplimiento de las funciones que, en esta materia, le asigna el RDL 12/2018, de seguridad de las redes y sistemas de información.
En efecto, la reciente reorganización del Ministerio del Interior sitúa a la Oficina de Coordinación de Ciberseguridad, que antes dependía orgánicamente del CNPIC, como instrumento del Gabinete de Coordinación y Estudios de la SES para que este asuma la función de ejercer como canal específico de comunicación entre los Centros de Respuesta a Incidentes Cibernéticos (CSIRT) nacionales de referencia y la Secretaría de Estado de Seguridad, además de otras funciones derivadas de la Directiva 2013/40/UE, relativa a los ataques contra los sistemas de información, así como para desempeñar la coordinación técnica en materia de ciberseguridad entre dicha Secretaría de Estado y sus organismos dependientes. En definitiva, el protagonismo en materia de ciberseguridad, dentro de las competencias del Ministerio del Interior, se desplaza hacia el Gabinete de Coordinación y Estudios de la SES.
Fuerzas y Cuerpos de Seguridad y seguridad privada
A este respecto, las circunstancias determinarán si debe abrirse un debate sobre la fórmula más adecuada de coordinar las actuaciones de las Fuerzas de Seguridad del Estado en materia de ciberdelincuencia, aunque puede afirmarse ya que el sistema de reparto puede no ser eficiente para un ámbito de actuación nuevo como el ciberespacio, que escapa a los límites, más geográficos que funcionales, establecidos en la vieja Ley Orgánica 2/1986, de Fuerzas y Cuerpos de Seguridad. Un motivo más para pedir al legislador un esfuerzo para crear un marco operativo que responda a las necesidades de la seguridad pública tanto como a las capacidades de las propias Fuerzas de Seguridad, que, en todo caso, deberán sumarse en beneficio del interés general. Dicho esto, procede, no obstante, seguir a San Ignacio de Loyola, cuando recomienda que “en tiempos de desolación, nunca hacer mudanza”.
Entre tanto, es evidente que las funciones de la Secretaría de Estado en materia de ciberseguridad se extienden más allá del ámbito de las infraestructuras críticas y, desde ese punto de vista, la nueva ubicación de la OCC parece lógica. En cambio, resulta más difícil de entender que un órgano como el CNPIC, que viene demostrando su capacidad de liderazgo y la trascendencia de su función directiva en el ámbito de las infraestructuras críticas, no goce de un rango orgánico superior que le sitúe bajo la dependencia directa del Secretario de Estado de Seguridad, lo que le proporcionaría mayor agilidad y autonomía en el ejercicio de sus funciones, potenciando su acreditada condición de motor del Sistema PIC. Lejos de esto, se recorta su capacidad de acción en el ámbito de la ciberseguridad, pese a que nunca debería interferir con las funciones asignadas al Gabinete de Coordinación y Estudios.
Resulta difícil de entender que un órgano como el CNPIC no goce de un rango orgánico superior que le sitúe bajo la dependencia directa del Secretario de Estado de Seguridad
Periodo de incertidumbre
En definitiva, esta situación supone un retroceso para el proceso de integración de la seguridad, en el que tantos esfuerzos se habían invertido. Más aún, se abre un período de incertidumbre sobre el clima de confianza que venía presidiendo el funcionamiento del Sistema PIC y, lo que es peor, sobre la supervivencia del propio Sistema, toda vez que surgirán dudas respecto a los actores llamados a integrarlo y sobre la autoridad del órgano que venía liderándolo. Un órgano que puso en marcha, desde cero, un modelo de cooperación público-privada que ha situado a España como referente en la protección de infraestructuras críticas, a base de promover sinergias entre los operadores y la propia administración y que ha sabido también aprovechar esa experiencia para extender el modelo incluso a otros actores ajenos al Sistema, como ha sucedido en la fase aguda de la crisis por la COVID 19, en la que su conocimiento de la realidad de cada sector estratégico le ha permitido allanar el camino para que operadores no críticos vinculados a los servicios esenciales, pudieran seguir contribuyendo a su continuidad.
Quien pretenda cambiar este Sistema, poniendo en riesgo los avances conseguidos debería estar muy seguro de que el modelo alternativo mejorará al anterior. Por algo decía Sócrates que “el secreto del cambio es enfocar toda la energía, no en luchar contra lo viejo sino en construir lo nuevo”.