La Protección de Infraestructuras Críticas (III)

En entradas anteriores, vimos qué se entendía por Infraestructuras Críticas, cuáles son sus características fundamentales, cuáles son los sectores estratégicos donde podemos encontrarlas, los principales servicios que prestan y las actividades que realizan. Hoy finalizaremos la serie con las últimas apreciaciones fundamentales al concepto que estamos tratando.

Un aspecto novedoso y fundamental que introducía la Ley 08/2011 por la que se establecen medidas de Protección de las Infraestructuras Críticas (LPIC), era la obligatoriedad de la colaboración entre los titulares de las Infraestructuras Críticas (la mayoría de las cuales como vimos, son de titularidad privada) y el CNPIC. En este proceso de entendimiento obligatorio, juega un papel fundamental la designación por parte del Operador del Servicio,  de un Responsable de Seguridad que además debe actuar  como interlocutor o representante del operador en su relación con el CNPIC. Este responsable/representante del departamento de seguridad de la Infraestructura Crítica ha de ser por imperativo legal, un Director de Seguridad, habilitado pertinentemente por el Ministerio del Interior. Éste será además el encargado de supervisar la redacción, implantación y actualización del Plan de Seguridad, que obligatoriamente también debe tener la Infraestructura Crítica.

Dentro de este nuevo marco de reinterpretación de la seguridad de estos servicios esenciales, el 24 de junio de 2011, el Consejo de Ministros aprobó la Estrategia Española de Seguridad. En dicho documento, concretamente en su capítulo 4, se recogen las infraestructuras, suministros y servicios críticos así como las principales amenazas ante las que están expuestas, haciendo una mención expresa a los ciberataques. Desde el 2011, la Estrategia Española de Seguridad se ha ido actualizando año tras año hasta este 2015.

En efecto, la gran mayoría de las Infraestructuras Críticas tienen un nivel de dependencia tecnológico altísimo y son especialmente susceptibles a ciberataques que pueden llegar a superar en daños a los ocasionados por ataques mediante medios físicos. La mencionada Ley 08/2011, desde la concepción global e integral de la seguridad de dichas instalaciones,   establece la necesidad de que en los Planes de Seguridad de los operadores, se contemplen las amenazas cibernéticas así como las medidas de protección a adoptar para reducir el riesgo.

Este proceso legislativo, parece haber culminado por ahora, con la aprobación del borrador, de lo que será la futura Ley Orgánica de Seguridad Nacional. A la espera de su publicación definitiva en el BOE,  según los organismos oficiales, la nueva ley persigue potenciar las capacidades del Estado para responder a desafíos y amenazas y define competencias en materias como la ciberseguridad, seguridad marítima y seguridad financiera, así como el medio ambiente, la energía, los transportes y las telecomunicaciones.

Nunca hasta ahora las infraestructuras que prestan servicios básicos a la ciudadanía y a las administraciones públicas, han sido tan importantes para el normal funcionamiento de las sociedades occidentales y a la vez habían estado tan amenazadas. También es cierto que nunca hasta ahora  había habido una toma de conciencia tan homogénea y extendida entre el sector privado y público acerca de la necesidad de su protección para el mantenimiento de los servicios prestados.