Desde que la especie humana comienza a organizarse en grupos de cualquier índole para obtener ventajas de la suma de sus fuerzas, empieza también la preocupación por la protección de lo que el grupo considera más valioso: sus tierras, sus tesoros, su rey… A medida que las sociedades evolucionan, van cambiando los valores a proteger y los procedimientos para hacerlo, si bien no dejan de constituir una preocupación de primer orden para quien tuviera la responsabilidad de dar continuidad al grupo.
Modernamente, en ese núcleo vital de los Estados hay que incluir los denominados servicios esenciales, necesarios para el mantenimiento de las funciones sociales básicas. Estos se han convertido en objetivo predilecto de grupos desestabilizadores de todo tipo, lo que exige notables esfuerzos para garantizar su continuidad a causa de su enorme complejidad y de las interdependencias existentes. En consecuencia, durante mucho tiempo, cada Estado ha tratado de proteger sus centros de producción estratégicos mediante normas sectoriales y dispositivos inconexos, superados hoy por la realidad de amenazas emergentes globalizadas.
En nuestro entorno, la Unión Europea decidió pasar a la acción a raíz de los atentados de Madrid de 2004. El propio Consejo Europeo realizó una Declaración sobre la lucha contra el terrorismo, en la que se comprometía a llevar a cabo políticas que reforzasen la protección de los ciudadanos, los servicios esenciales y los sistemas de producción. A tal efecto, en octubre de 2004, la Comisión Europea elaboró diversas Comunicaciones sobre terrorismo, una de las cuales se refiere a la protección de las infraestructuras críticas. Define estas últimas como aquellas “instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los Estados miembros”. Es decir, se acomete la seguridad de los servicios esenciales a través de la protección de las infraestructuras de todo tipo, consideradas críticas, que les dan soporte.
El resultado final del trabajo de los diferentes órganos de la Unión Europea es la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Con ella se afronta de una forma ordenada y global (para todas las infraestructuras y para todos los Estados de la Unión) la protección efectiva de nuestros servicios esenciales. Interesa señalar que la Directiva entiende por “protección”, todas las actividades destinadas a garantizar la funcionalidad, continuidad e integridad de las infraestructuras críticas con el fin de prevenir, paliar y neutralizar una amenaza, riesgo o vulnerabilidad.
Si bien es cierto que la Directiva hace referencia únicamente a los sectores de la energía y el transporte, con sus correspondientes subsectores, la norma de transposición, la Ley 8/2011, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC), va mucho más lejos y contempla los 12 sectores estratégicos conocidos. No obstante, es evidente que la Directiva no era más que el primer intento de abordar la cuestión a nivel de la Unión Europea y preveía su propia revisión a partir del 12 de enero de 2012. Sin embargo, a día de hoy, no se ha producido tal revisión.
En cambio, se ha abordado la protección de los servicios esenciales desde otra óptica: la de la seguridad de las redes y sistemas de información. Estas últimas desempeñan un papel crucial en la sociedad, dependemos de su fiabilidad y seguridad para las actividades económicas y sociales, a lo que se suma que vienen padeciendo incidentes de seguridad de intensidad creciente por su magnitud, frecuencia y efectos. En definitiva, si la Directiva 2008/114 (Directiva PIC) buscaba la protección integral (física y ciber) de las infraestructuras que por su criticidad constituyen el soporte básico de los servicios esenciales, la Directiva 1148/2016 (Directiva NIS) adopta medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, por cuanto dan soporte a servicios esenciales para la sociedad. Dos enfoques diferentes, un objetivo común: la continuidad de los servicios esenciales.
Al igual que ocurrió con la Ley PIC, que transpuso la Directiva PIC, el Real Decreto-Ley 12/2018 fue más lejos que la Directiva NIS en su transposición y extendió su ámbito de actuación a los mismos 12 sectores contemplados anteriormente. Se establece así un entramado de normas que, por dos caminos diferentes, se orientan a la protección de los servicios esenciales. Ahora bien, tanto el Sistema PIC, con un alto grado de implantación, como el modelo NIS, aun no completado en su totalidad, muestran algunas debilidades en su desarrollo que se deberían ir corrigiendo progresivamente. La actual crisis provocada por la pandemia del Coivd-19, junto a sus efectos devastadores, nos ofrece la oportunidad de contrastar la bondad de nuestro entramado de protección y ver hasta qué punto mejora nuestra resiliencia.
En este sentido, analizaremos ciertos aspectos básicos que evidencian la necesidad de modificar algunos planteamientos. Nos referimos, en primer lugar, al propio concepto de servicios esenciales, para seguir con el tipo de amenaza a considerar, la cuestión de la planificación, la identificación de los operadores esenciales y, finalmente, algunas reflexiones sobre la filosofía de la seguridad que debe impregnar el diseño de los modelos.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el contenido completo?