Usted asumió el año pasado la dirección del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), abriendo una nueva etapa en el Centro. ¿Cómo está evolucionando internamente este organismo?
Hace casi dos años que me propusieron dirigir el Centro, lo que supuso asumir un gran reto y una enorme responsabilidad. El CNPIC nació en 2007 con unas misiones de inicio muy importantes, que quedaron recogidas en la ley que traspuso la Directiva Europea sobre Infraestructuras Críticas Europeas y en la normativa posterior que desarrolló y complementó a dicha ley. Pero esas misiones, que han ido evolucionando y aumentando con el paso del tiempo llegando a adquirir una complejidad mayor, y en un momento de evolución de la seguridad muy complejo derivado de las nuevas amenazas globales y de la evolución tecnológica en la que se encuentran inmersas las sociedades democráticas, han supuesto la adaptación del Centro organizativa y funcionalmente para poder acometer sus responsabilidades con mayor eficacia.
Aun así, no sólo el Centro ha tenido que adaptar su funcionamiento cotidiano por las distintas realidades sociales vividas, sino que también lo ha hecho su personal. Igualmente, sus profesionales han tenido que evolucionar adoptando una visión técnica y estratégica mucho más amplia que cuando comenzó este camino. Un progreso que continúa, dado el momento actual de cambios en el que nos encontramos en esta materia.
El Sistema de Protección de Infraestructuras Críticas quedó completo hace dos años con el último Plan Estratégico Sectorial aprobado. ¿Cuáles son ahora los objetivos prioritarios para que dicho sistema evolucione y se adapte a las necesidades de las amenazas actuales?
Tras la aprobación del Plan Estratégico Sectorial de la Administración por parte de la Comisión Nacional de Protección de Infraestructuras Críticas, que supuso el culmen del Sistema de Protección de Infraestructuras Críticas [Sistema PIC] a nivel sectorial, comenzó un periodo de enorme importancia que consistió en completar la planificación a nivel táctico y operacional. El objetivo era que las infraestructuras críticas nacionales se dotaran de un plan de protección para cada una de ellas, que fuera capaz de hacer frente a los entornos multiamenaza a los que se ven sometidas diariamente.
Actualmente la evolución del marco legal europeo, que ha fijado sus objetivos en la continuidad del mercado interior, ha visto nacer diferentes normas con un alto impacto en este campo de actuación. En este entorno de transición entre el actual Sistema PIC y su evolución natural, que finalizará con la adecuación de las nuevas normas europeas al ámbito nacional, estamos trabajando para diseñar un “Sistema v.2”. Dicho sistema incluirá novedades de interés para los operadores críticos y de servicios esenciales, los cuales pasarán a denominarse “entidades críticas”, que incluirán en sus políticas de seguridad una mayor perspectiva de las distintas amenazas que incluso puedan impactar a nivel de empresa y que deberán incluirse en los denominados planes de resiliencia.
Esta adaptación es la línea de trabajo prioritaria para la Secretaría de Estado de Seguridad, y por lo tanto debe serlo también para el CNPIC. Estamos trabajando intensamente en el desarrollo de la citada norma para que su impacto sea mínimo en los operadores, si bien tendrá que incluir todos los requisitos que se han recogido en la normativa europea.
Vivimos en una época de constante inestabilidad en torno a la seguridad, desde lo local a lo global. ¿Cuáles son los riesgos y amenazas que más les preocupan por su posible impacto en las infraestructuras críticas?
En la teoría de hechos consumados encontramos la confirmación de que las nuevas amenazas de la pasada década se han consolidado como globales y permanentes. Este escenario no sólo se ha consolidado, sino que se ha visto incrementado.
Pero no me refiero a las nuevas amenazas que deberán tenerse en cuenta para la realización de los análisis de riesgos que demandará la normativa, referidas a las catástrofes naturales o al cambio climático, sino a otro nuevo orden de amenazas que, bien por su frecuencia bien por su novedad, son las más preocupantes. Entre ellas se pueden encontrar algunas de carácter transversal, como los ciberataques, las amenazas híbridas o la amenaza interna, así como otras de carácter más sectorial, como las interrupciones en el suministro de energía, posibles crisis económicas con alto impacto en cadenas de suministro o pandemias. Muchas de éstas amenazas derivan de entornos geoestratégicos exógenos a los que el propio Estado pueda desplegar, como los conflictos armados que se están dando en el entorno del Mediterráneo y en Ucrania.
Nos encontramos en un momento donde la mayor certeza que tenemos es precisamente que somos conscientes de la gran incertidumbre que existe respecto al futuro a corto y medio plazo en este escenario de amenazas cambiantes. Por ello, es fundamental que continuemos evaluando y abordando estos nuevos riesgos para proteger nuestras infraestructuras estratégicas y las empresas que las operan, de manera que garanticemos una mayor resiliencia frente a éstas.
¿Qué proyectos específicos está llevando a cabo el CNPIC para reforzar la seguridad de las infraestructuras críticas?
El CNPIC desarrolla varias líneas de acción en este sentido. De una parte, está volcado en el apoyo a distintos consorcios empresariales para que empresas españolas compitan en el marco de los proyectos que se pretenden financiar desde Europa a través de varias fuentes de financiación. Esto supone un plus de innovación para el desarrollo de tecnologías aplicadas a la protección de infraestructuras estratégicas y para las posibles empresas que hicieran uso de estas tecnologías.
Por otro lado, en el marco de la Presidencia de España del Consejo de la UE, el CNPIC representa a España en el Grupo de Trabajo de Resiliencia de Entidades Críticas, liderando el mismo. En este grupo se está desarrollando el llamado Blueprint de Infraestructuras Críticas que, una vez consensuado y aprobado, establecerá los procedimientos y herramientas para dotar de una respuesta más efectiva a los Estados miembros ante la materialización de un incidente grave con impacto transfronterizo. En este sentido, la coordinación de los Estados afectados y la intervención y apoyo del Grupo de Expertos de la Comisión Europea, así como del propio Grupo de Trabajo del Consejo, agilizarán la respuesta y coordinarán las distintas medidas que se pongan a disposición de los países afectados.
La aprobación de la Directiva sobre Resiliencia de las Entidades Críticas (conocida como Directiva CER) supondrá un nuevo paradigma de la seguridad de las ahora llamadas entidades críticas. ¿Cuáles son los cambios más destacados de este nuevo modelo concebido desde la Unión Europea?
Obviando las cuestiones técnicas, que todavía están por definirse completamente, lo cierto es que el cambio más sustancial que reside en la esencia de esta nueva directiva es la perspectiva con la que se aproxima al problema real de este marco. La anterior directiva europea hablaba de las infraestructuras críticas como activos vitales para el funcionamiento de las sociedades democráticas, que estaban sometidas a distintas amenazas, fundamentalmente aquellas que tenían un origen humano, principalmente las de origen terrorista. Esto suponía una mirada atenta a los acontecimientos que habían tenido lugar en los últimos años en todo el mundo, y para los que no nos habíamos preparado adecuadamente.
Resuelta esa “mejor preparación” para lo que pudiera venir, y aprovechando el análisis con resultado negativo de cómo se había implementado dicha norma en los distintos Estados, entiendo que la Unión Europea (y digo esto con una perspectiva crítica) se olvidó de todo aquello que vivimos, sacó ventaja del estado de arte y puso el foco en la posible resolución de otro tipo de situaciones críticas, fundamentalmente con un impacto en la economía interior. En ese sentido, se han diseñado mecanismos similares a los que estableció con aquella primera norma. Tal es así, que el elemento que se sitúa como motor de arrastre de esta directiva, y también de otras tantas, es el funcionamiento del mercado interior europeo.
Para desarrollar este nuevo marco de actuación, era necesario ampliar el escenario e incluir nuevos elementos respecto a la primera norma que proporcionaran ese concepto novedoso. Es ahí donde aparece el tan actual concepto de resiliencia, contemplando cualidades como la resistencia y recuperación de la entidad crítica de forma global, frente al de seguridad y protección de la propia infraestructura crítica.
Además, no sólo cambia el enfoque en cuanto a qué entidades deben implementar las medidas diseñadas, sino que también lo hace en relación con lo que hay que considerar una amenaza para éste. Por ello incorpora de forma explícita aquellas amenazas definidas como híbridas, las de origen natural y otras, lo que supone un mayor espectro de estudio de posibles elementos disruptivos para el operador, y, por lo tanto, para los distintos Estados miembros.
Por último, uno de los elementos clave y que supone el principal éxito de la nueva directiva es la mayor identificación de sectores estratégicos y servicios, así como una mayor definición de contenido de fondo. Esto supondrá, independientemente del margen de regulación de los Estados, una implantación mucho más homogénea en la Unión, que facilitará la gestión de los incidentes, sobre todo cuando el impacto sobrepase los límites de un Estado.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este contenido.
¿Quieres leer el contenido completo?