Seguritecnia 496

/ Julio-Agosto 2022 56 Autoridades Avanzar en la resiliencia de las infraestructuras críticas Director del Centro Nacional de Protección de Infraestructuras Críticas José Luis Pérez A partir del año 2004, como consecuencia del in- cremento del riesgo de ataques procedentes del terrorismo y del crimen organizado, surgieron una serie de iniciativas encaminadas a establecer mecanismos de protección de las infraestructuras estratégicas para los Estados. De esta forma, desde el punto de vista euro- peo, se adoptó la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de in- fraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Como consecuencia de estas medidas, en nuestro país se desarrollaron varias acciones desde diferentes ámbitos, como fue la aprobación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su normativa de desarrollo. Asimismo, la publicación del Real Decreto-Ley 12/2018, de septiembre, de seguridad de las redes y sistemas de informa- ción, tras la adopción de la Directiva 2016/1148 del Parlamen- to Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión, vino a completar desde el ámbito sectorial el elenco de normas que rigen el Sistema de Protección de Infraestructuras Críticas. Sin duda, la Ley 8/2011, en su preámbulo, realiza una declaración de intenciones cumplida a día de hoy, debido a que determina que la protección a dispensar a las infraestructuras críticas debe ser in- tegral. Además, para una adecuada gestión de esa protección, en ella deben participar todos los actores involucrados (sector público y privado) mediante el desarrollo de un sistema organizativo basa- do en la colaboración y cooperación. Un sistema implementado bajo la dirección de la Secretaría de Estado de Seguridad, asistida por los demás integrantes del Sistema y, en concreto, por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Es, además, importante subrayar que la Estrategia de Seguri- dad Nacional de 2021 establece que “las infraestructuras críti- cas posibilitan el normal desarrollo de la actividad socio-econó- mica y son objetivo de amenazas, tanto físicas como digitales, que podrían llevar a una interrupción o negación de servicios”. Por lo tanto, se apunta de nuevo el concepto de ‘seguridad inte- gral’, que debe prevalecer en todas las actividades relacionadas con la protección de las infraestructuras críticas; es decir, un enfoque holístico que trate de aunar medidas concernientes a la seguridad general de los activos y las relativas a la seguridad lógica de las redes y sistemas de información como una parte más de este “todo” desde el que debe abordarse la protección. Nuevas directivas Sin embargo, desde esta construcción de la seguridad como un proceso integral se necesita progresar hacia los nuevos planteamientos que ya son una realidad. Actualmente, y des- de diciembre de 2020, se está trabajando en dos propuestas de directivas que afectan, de manera directa, al ámbito de la protección de las infraestructuras críticas y de la seguridad de los servicios esenciales: la Directiva sobre la resiliencia de las entidades críticas y la Directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión. Evidentemente, la Unión Europea ha considerado la resilien- cia como un objetivo fundamental, tal y como lleva haciendo el CNPIC desde sus orígenes. De ello parece oportuno establecer y avanzar en un concepto de resiliencia que incremente la forta- leza para resistir y la capacidad para recuperarse con la mayor rapidez posible. Avanzar en el sentido de tratar de plasmar el con- tenido de una compleja fórmula donde la fortaleza y las capaci- dades deben ser el punto de partida, pero no las únicas, debido a que la resiliencia implica y engloba mucho más. En concreto, la capacidad de generar confianza, persistencia y flexibilidad para transformar y adoptar las capacidades, los procedimientos y las líneas de actuación a los nuevos escenarios, así como proteger y dar una respuesta oportuna ante los riesgos que puedan afectar a las infraestructuras críticas.