El actual ecosistema de protección de infraestructuras críticas (PIC) viene marcado por la inminente trasposición de la Directiva 2022/2557 del Parlamento Europeo y del Congreso relativa a la resiliencia de las entidades críticas. Esta directiva europea marca y coincide, además, con la línea de trabajo por la que se apuesta desde el CNPIC, y describe una serie de acciones y novedades con el fin de adaptarse a un entorno actual cambiante desde distintos puntos de vista: tecnológico, geopolítico, económico, medioambiental o delincuencial. Nuevas amenazas acechan y es de obligación detectarlas, analizarlas y evaluarlas para protegerse, resistir y continuar prestando el servicio esencial con la menor incidencia posible para la ciudadanía y la estabilidad económica del país.
Gracias a la seriedad y a la importancia con la que se trabajó desde la creación de este Centro, actualmente están identificadas prácticamente la totalidad de las infraestructuras críticas de todos los sectores que la nueva directiva europea va a exigir. En un inicio, la antigua Directiva europea de Protección de Infraestructuras Críticas, de 2007, únicamente contemplaba dos sectores estratégicos, dejando a los Estados miembros la posibilidad de ampliarlos en función de sus particularidades nacionales.
A través de un estudio pormenorizado, se detectaron un total de 12 sectores estratégicos, a diferencia de otros países que no fueron tan diligentes y no llevaron a cabo un análisis tan exhaustivo. Este fue uno de los motivos para elaborar la nueva directiva, la cual incluye hasta un total de 11, coincidentes prácticamente en su totalidad con los establecidos ya en España. El otro gran motivo fue centrarse en la continuidad de negocio, como base para desarrollar un conjunto de actividades que incorpora el citado texto para que las entidades críticas alcancen la resiliencia en sus negocios.
Lo expuesto hace que, en un futuro inmediato, haya que elaborar simplemente un nuevo Plan Sectorial relativo a un subsector que se incorpora como novedad dentro del sector de la energía, que es el caso del subsector del hidrógeno.
Novedades del CNPIC
Por ello, para conseguir implantar esas medidas relacionadas con la continuidad de negocio, el CNPIC deberá elaborar una Evaluación Nacional de Riesgos alineada con la Estrategia Nacional, la cual deberá contemplar todo tipo de amenazas, ya sean de origen humano (como el terrorismo, la delincuencia organizada, el espionaje o la infiltración delictiva) o de origen natural (como las catástrofes naturales, las emergencias de salud pública o el cambio climático), sin olvidarnos de las ciberamenazas y las de carácter híbrido.
Será necesario hacer un especial hincapié en el análisis de las interdependencias entre infraestructuras críticas, entre sectores y en aquellas cuya prestación del servicio sea o requiera de servicios transfronterizos.
Sobre esta evaluación, los operadores deberán realizar para cada una de sus infraestructuras catalogadas una evaluación de riesgos, que será la antesala para posteriormente, una vez aprobada, elaborar un Plan de Resiliencia de la Entidad Crítica (en adelante, PREC), sobre la base de la Guía de buenas prácticas para la elaboración del PREC, en la cual ya se trabaja actualmente. Este plan, una vez esté en vigor la nueva ley y con los plazos que en ella se determinen, sustituirá a los actuales Plan de Seguridad del Operador y Plan de Protección Específico de las infraestructuras críticas, las cuales cambiarán de denominación pasando a ser entidades críticas.
Este nuevo PREC deberá incorporar medidas organizativas, técnicas y de seguridad, que engloben a todos los estamentos de la entidad crítica de una manera integral y que abarquen desde la alta dirección hasta el último empleado de la empresa, sin dejar a un lado los proveedores externos, que en muchas ocasiones se vuelven fundamentales.
Para dar respuesta a la amenaza de los ‘insider’, las entidades críticas podrán solicitar a través del CNPIC la verificación de identidad y antecedentes de empleados
Facultades del CNPIC
La futura nueva ley otorgará nuevas facultades al CNPIC, como son la posibilidad de realizar inspecciones, solicitarlas a la Comisión Europea, realizar auditorías o solicitar el resultado de estas últimas, junto con la posibilidad de solicitar información necesaria para una correcta evaluación. Se podrá supervisar el cumplimiento de las subsanaciones requeridas, en caso de haberse detectado deficiencias, en cuanto a su resiliencia en el análisis de los planes o inspecciones.
El incumplimiento de lo anterior, de los plazos de presentación, la falta de notificación ante incidentes o la negativa a cumplir los requerimientos de la autoridad competente, dará lugar a sanciones administrativas, sin perjuicio de la responsabilidad penal o específica del sector en cuestión. La incorporación de un régimen sancionador es otra de las novedades más importantes que se desarrollarán.
En ese sentido, el CNPIC se consolida como punto de contacto de las infraestructuras críticas con el resto de los Estados miembros. Desde la Comisión Europea se apuesta firmemente por el intercambio de información y buenas prácticas, ofreciéndose incluso para labores de asesoramiento. Como resultado de esta política de intercambio de información y para dar respuesta a una de las amenazas que más preocupa en el ecosistema de las infraestructuras críticas, como es la figura del insider, las entidades críticas podrán solicitar a través del CNPIC la verificación de identidad y sus antecedentes personales, tanto de aquellos empleados propios como de proveedores externos que posean derechos de acceso a las instalaciones o de manera remota pueden acceder, incluso durante el proceso de selección.
Nuevas amenazas
Siguiendo la línea de dar respuesta a nuevas amenazas, esta vez de la mano de las nuevas tecnologías, se trabaja desde hace meses para reducir, mitigar y en algunos casos hasta eliminar los riesgos derivados de la amenaza del uso de drones como vector de ataque. Varios operadores críticos de distintos sectores manifestaron su inquietud debido a las terribles consecuencias que podrían presentar para la prestación de su servicio esencial. Esta amenaza es tan actual y está en auge debido a su uso incluso en conflictos bélicos, donde se utilizan drones comerciales ligeramente modificados, los cuales implican un bajo coste que los hacen ideales para misiones suicidas, contravigilancias o incluso de espionaje. Desde el primer momento se trabajó para dar respuesta a esta necesidad y actualmente se trabaja junto con la Subdirección General de Sistemas de Información y Comunicaciones para la Seguridad (SGSICS) de la Secretaría de Estado de Seguridad para integrar determinadas infraestructuras críticas dentro de la red SIGLO CD. Esto da muestra, una vez más, de la colaboración público-privada, amparada siempre tanto por la Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad del Estado como por la Ley 5/2014 de Seguridad Privada.
En aras de esa mejora continua, seguimos formando parte de numerosos grupos de trabajo que tienen el foco en la resiliencia, tanto a nivel europeo como nacional. A su vez, participamos en eventos a nivel mundial, lo que visibiliza el buen hacer de España en todos los países de nuestro entorno, percibiéndose el nuestro como un país seguro, lo cual trae asociado indirectamente un efecto disuasorio sobre las amenazas de origen externo.