La protección de las infraestructuras críticas, debido en parte a las cada vez más abundantes referencias que pueden encontrarse en los medios de comunicación (especialmente en estos últimos meses), se ha convertido en una expresión de uso normalizado que pone de manifiesto que ha sido, es y será uno de los objetivos sobre los que es necesario seguir trabajando tanto a nivel estratégico en la Unión Europea como más operativo en los Estados miembros, como es en España.
En este sentido, el proceso de transformación constante en el que nos encontramos inmersos deriva en la aparición de amenazas que tratan de explotar nuevas vulnerabilidades de los diferentes sectores estratégicos definidos que prestan los servicios esenciales a la sociedad y que permiten el buen funcionamiento de la economía.
Esta cuestión se puso ya de manifiesto en la Estrategia de Seguridad Nacional de 2021, al establecer que “las infraestructuras críticas posibilitan el normal desarrollo de la actividad socio-económica y son objetivo de amenazas, tanto físicas como digitales, que podrían llevar a una interrupción o negación de servicios”. De esta forma, el mencionado documento, y por ende las políticas públicas encaminadas a la protección de las infraestructuras críticas, se fundamentan en cinco principios básicos: coordinación, responsabilidad compartida y cooperación público-privada, equilibrio y eficiencia, planificación escalonada y, por último, resiliencia.
Riesgo conjunto
Así, es evidente que el nivel y la importancia de los intercambios de todo orden, la multiplicación de la información y las comunicaciones y el grado de interrelación del tejido económico a nivel mundial son tales que determinadas amenazas en puntos aparentemente alejados entre sí representan un grave riesgo para el conjunto.
Pero, además de las interdependencias transfronterizas, no se debe olvidar que eventos recientes han puesto de manifiesto las interdependencias sectoriales, de tal modo que no existe actividad humana ni sector estratégico en nuestras sociedades que no se encuentre vinculado o dependa, de una u otra forma, de alguna de las infraestructuras críticas. Esta cuestión queda patente aún en mayor medida cuando se enlazan las condiciones de vida de los ciudadanos y el incremento en el uso de las tecnologías.
En consecuencia, es imprescindible abordar la protección de las infraestructuras críticas desde una perspectiva global donde se consideren todos los tipos de riesgos. Incluyendo, por supuesto, los cibernéticos; pero sin obviar ni minusvalorar la dimensión física a fin de aumentar la resiliencia de las mismas.
Son conocidos los numerosos patrones en los que la utilización de medios cibernéticos y no cibernéticos en combinación son empleados para hacer tambalear y poner en entredicho la seguridad de las infraestructuras críticas. De esta suerte, y por mencionar un ejemplo, esta circunstancia se aprecia en los casos en los que un ciberataque podría desencadenar un fallo del sistema (imposibilitando el acceso, etc.), generando, finalmente, un obstáculo que incapacita una respuesta inmediata.
Normativa: la Directiva de resiliencia para infraestructuras críticas
Todas estas cuestiones se traducen en la construcción de un apropiado marco regulatorio claro, el cual debe ser transparente y evitar duplicidades. Marco regulatorio que está siendo objeto de adaptaciones en la actualidad y que, en consecuencia, conducirá al refuerzo de la cultura de seguridad existente con un aumento de la resiliencia de las infraestructuras críticas.
Dentro de este último aspecto son varias las iniciativas que se están proyectando y que tendrán una aplicación casi inmediata en un breve plazo de tiempo. Entre ellas se encuentran, y con el ánimo de garantizar la coherencia normativa, la Directiva de resiliencia de entidades críticas (Directiva CER), que vendrá a derogar la Directiva 2008/114/CE del Consejo; la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 (Directiva NIS2); y el Reglamento sobre la resiliencia operativa digital (Reglamento DORA).
De ahí que, y a modo de cita, en la Directiva CER se regulen una serie de medidas específicas para asegurar la resiliencia, tales como la elaboración de una Estrategia nacional para aumentar la resiliencia de las entidades críticas o la realización o actualización de evaluaciones de riesgos que sean acordes con la naturaleza evolutiva de los riesgos y amenazas para las infraestructuras críticas.
Otros proyectos
Pero estos no son los únicos proyectos y acciones que se están concibiendo. Junto a las descritas, desde la Unión Europea se están desplegando diversas propuestas encaminadas a aumentar la resiliencia de las infraestructuras críticas ante la presente evolución de las amenazas y desde un enfoque coordinado a nivel europeo. Iniciativas que tienen en cuenta todos los riesgos y amenazas relevantes para dichas infraestructuras, dando cumplimiento al diseño del concepto de seguridad integral que debe prevalecer en todas las actividades relacionadas con su protección. Una premisa que se ha venido trazando desde el Centro Nacional de Protección de Infraestructuras críticas (CNPIC).
En definitiva, con este enfoque coordinado a nivel europeo se persiguen cinco propósitos:
- Mejorar la preparación y prevención mediante normativa destinada a aumentar la resiliencia de las infraestructuras críticas.
- Realizar pruebas de estrés en sectores prioritarios para obtener una evaluación específica de la resiliencia de una infraestructura crítica y de la entidad que la explota, basada en escenarios extremos, pero realistas, previamente definidos.
- Aumentar la capacidad de respuesta para hacer frente a posibles interrupciones de las infraestructuras críticas.
- Hacer un buen uso de las capacidades existentes para detectar posibles amenazas.
- Reforzar la cooperación internacional en materia de resiliencia de las infraestructuras críticas.
Por lo tanto, nos encontramos en un momento decisivo en el que resulta necesario seguir el avance en cultura de resiliencia, aumentando la capacidad de las infraestructuras críticas para la prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación en caso de un incidente que pueda perturbar la prestación de los servicios esenciales para el mantenimiento de funciones sociales vitales, la actividad económica, la salud pública y la seguridad o el medio ambiente.
Una cuestión que ha sido implementada y desarrollada desde el Sistema PIC, puesto que desde su nacimiento se han incorporado todas estas cuestiones en las que ahora se pretende avanzar. De esta forma, términos como el de “resiliencia” es tan novedoso para algunos como cotidiano para nuestro país. Y prueba de ello es que, durante la compleja época que atravesamos, el Sistema PIC ha sido, sin duda, uno más de los apoyos que ha permitido mejorar el funcionamiento de los servicios esenciales; cuestión de fondo de la legislación e iniciativas que se están elaborando.