Desde hace algunos años España, como el resto del mundo, se enfrenta a un cambio de escenario, con una serie de desafíos que dotan a la Seguridad Nacional de una mayor complejidad: el terrorismo internacional fundamentalmente, pero también la proliferación de armas de destrucción masiva o el crimen organizado, a los que debemos añadir los riesgos provenientes del ciberespacio, componen un muy complejo mapa de riesgos, amenazas y peligros que han llevado, en el ámbito de la Unión Europea, al desarrollo de un sistema de planificación de Seguridad y Protección de las infraestructuras críticas que comenzó a tomar forma con la aprobación de la Directiva 114/2008/CE.

La transposición de la mencionada Directiva dio lugar en España a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y al Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Ambas piezas definen el sistema organizativo de la Protección de Infraestructuras Críticas y establecen los mecanismos de coordinación.

El cuerpo normativo que, con origen en Europa, se va desarrollando, vela por la protección de las mencionadas infraestructuras tanto en el tramo nacional como atendiendo a la interconexión con el sistema europeo.

Recordemos que el artículo 2 apartado e. de la Ley 8/2011 define a las infraestructuras críticas como aquellas infraestructuras que siendo previamente estratégicas “su funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. La sociedad es enormemente vulnerable precisamente por su dependencia de estos servicios esenciales: electricidad, agua, alimentación, sanidad, etc. Y es esa vulnerabilidad la que motiva y da justificación al Sistema de Protección de Infraestructuras Críticas. Por ello, no es irrelevante recordar que ya la Estrategia de Seguridad Nacional de junio 2013 situaba a la Protección de las Infraestructuras Críticas como una de sus doce líneas de acción estratégicas.

Hay que destacar que todo el sistema de planificación de protección de infraestructuras críticas apunta a la prevención, defensa y mitigación contra el daño intencionado. El riesgo derivado de accidentes es atendido desde otros sistemas de planificación de seguridad y protección, lo que no obsta para que la normativa sobre protección de infraestructuras críticas asuma la necesidad de tener que integrar sistemas de planificación diversos, precisamente en  persecución del objetivo de mitigar el daño causado. Así, el apartado k. del artículo 2 de la Ley define la Protección de Infraestructuras Críticas como “conjunto de actividades destinadas a asegurar la funcionalidad, continuidad e integridad de las infraestructuras críticas con el fin de prevenir, paliar y neutralizar el daño causado por un ataque deliberado contra dichas infraestructuras y a garantizar la integración de estas actuaciones con las demás que procedan de otros sujetos responsables dentro del ámbito de su respectiva competencia”. Insistamos en ello: el Sistema PIC no sólo asume la necesidad de tener que integrar sus actuaciones con otras de otros sujetos responsables, sino que, además, lo garantiza[1].

El sistema de planificación en España comienza con el Plan Nacional de Protección de Infraestructuras Críticas, que es el documento estructural que presta coherencia a todo el sistema, pues “permitirá dirigir y coordinar las actuaciones precisas para proteger las infraestructuras críticas en la lucha contra el terrorismo”[2].

PICEl PNPIC, junto al Catálogo Nacional de Infraestructuras Estratégicas son las principales herramientas para la gestión de la seguridad de nuestras infraestructuras, y ambas han de sustentarse sobre la base de una coordinación eficaz entre Administraciones y gestores o propietarios de las infraestructuras. El PNPIC es un documento “clasificado conforme a lo que establece la legislación vigente en materia de secretos oficiales”[3] que “establecerá los criterios y las directrices precisas para movilizar las capacidades operativas de las Administraciones públicas en coordinación con los operadores críticos, articulando las medidas preventivas necesarias para asegurar la protección permanente, actualizada y homogénea de nuestro sistema de infraestructuras estratégicas frente a las amenazas provenientes de ataques deliberados contra ellas”[4].

A partir del Plan Nacional se van desarrollando diferentes Planes Estratégicos Sectoriales -uno por cada uno de los sectores estratégicos; en algunos casos uno por cada subsector estratégico- cuya aprobación determina el hecho de que determinadas entidades sean designadas Operadores Críticos[5] y determinadas instalaciones, asimismo, críticas[6].

PIC

El conocimiento del marco normativo del sector ha de ser el primer paso para el conocimiento profundo de su realidad, a partir de lo cual se pasará a trabajar en el análisis de la estructura sectorial y, tras ello, se realizará el análisis estratégico de riesgos y amenazas, es decir, aquellos riesgos y amenazas que puedan afectar a la Seguridad Nacional. En definitiva, el alcance territorial del PES es todo el territorio nacional.

El Plan Estratégico Sectorial (PES) nos ha de ofrecer, por tanto, un conocimiento a nivel estratégico del sector en cuestión. Es decir:

PIC

En el estudio estratégico de riesgos se deben analizar las vulnerabilidades y las amenazas, tanto físicas como lógicas. Y los resultados habrán de guiar los Planes de Seguridad del Operador del sector, dotando al Sistema de la congruencia necesaria. El Plan Estratégico Sectorial ofrecerá, además, a los Operadores Críticos recomendaciones sobre cómo afrontar la gestión de los riesgos, con atención específica al terrorismo y otras acciones deliberadas, que aún teniendo baja probabilidad de ocurrencia tuvieran un alto impacto sobre la ciudadanía.

Además de lo mencionado el PES nos ofrecerá propuestas, tanto técnicas como organizativas, que orienten la implantación de medidas que ayuden a contener los riesgos analizados previamente. Por lo que, finalmente, el Operador habrá de dotarse de medidas de carácter preventivo, como también de carácter reactivo, sin olvidar aquéllas que nos permitan, por un lado, mitigar los daños y consecuencias y, por otro, mantener la continuidad del servicio.

En resumen, el Plan Estratégico Sectorial debe obtener conocimiento completo de cómo funciona el sector, de qué se compone, cuáles son sus activos, qué es insustituible, etc., para guiar el trabajo de los Operadores dentro del Sistema PIC. El PES es elaborado por el Grupo de Trabajo Interdepartamental, bajo la coordinación de CNPIC y con la participación de los operadores; su aprobación corre a cargo de la Comisión Nacional para la Protección de las Infraestructuras Críticas.

La designación de un operador como crítico significa la obligación de realizar un Plan de Seguridad del Operador, que viene a ser un documento en el que el propio operador establece los criterios de su política general de seguridad, es decir, para todas y cada una de las instalaciones de las que dispone, y cuya aprobación significa abrir el camino al cuarto paso del sistema de planificación: la elaboración de un Plan de Protección Específico por cada una de las instalaciones designadas como críticas.  Este Plan de Protección Específico sí es ya lo que entendemos como un Plan de Seguridad al estilo clásico, aunque eso sí, con unos criterios seguritarios de mayor calado y que incluye la integración con todos los actores que tengan algún papel en la seguridad de la instalación.

A través de los Contenidos Mínimos de los PSO y de los PPE la Secretaría de Estado de Seguridad establece unos niveles mínimos de seguridad, que como siempre en este entorno, ayudarán a mantener la congruencia del sistema al completo. CNPIC, asimismo, elabora unas Guías de Buenas Prácticas para la elaboración de los Planes de Seguridad del Operador y de Protección Específico.

La finalización y aprobación del Plan de Protección Específico da lugar al último paso del Sistema de Planificación PIC, paso que asumen las Fuerzas y Cuerpos de Seguridad y que no es otro que el Plan de Apoyo Operativo.  El PAO -elaborado como ha quedado dicho por las Fuerzas y Cuerpos de Seguridad- está basado en el Plan de Protección Específico previamente aprobado y, fundamentalmente, en el Plan de Acción, y su objetivo primordial ha de ser el diseño de un plan reactivo que apoye lo ya definido por el Operador en su PPE. La activación de un PAO significará la puesta en marcha de medidas de carácter complementario a aquéllas que, de carácter gradual, estén predefinidas en el Plan de Protección Específico.

Con la finalización del Plan de Apoyo Operativo se cierra el proceso de Planificación PIC, aunque teniendo siempre en cuenta que los planes deben estar en permanente revisión y atentos a la evolución de los acontecimientos que puedan afectarnos.

El Sistema PIC establece un esquema para la planificación y un desarrollo de los procedimientos de comunicación e intercambio de información, en el que, además, es rasgo fundamental que siempre estaremos tratando con información sensible[7], es decir, con información que requiere control y protección contra su divulgación.

El mecanismo de comunicación del Sistema PIC garantiza la confidencialidad y seguridad de los datos estableciendo un canal adecuado para ello y en el que los participantes disponen de un punto de contacto singular. Podemos traducir contacto singular como contacto y relación personal.

Esta relación singular, personal, conlleva el requisito de continuidad en las personas que representan a la organización, y que esta representación sea otorgada a nivel individual e incluyendo la capacidad de decidir en nombre de la propia organización. Esto último constituye el fundamento de la creación de las figuras de Responsable de Seguridad y Enlace y de Delegado de Seguridad. Cada uno de ellos se constituirán en contacto singularizado con la Autoridad: el primero en el nivel estratégico, el segundo en el nivel técnico-operativo.

Reglamentariamente se determina que el Responsable de Seguridad y Enlace representará al operador ante la Secretaría de Estado de Seguridad en lo relativo a la seguridad de sus infraestructuras y canalizará las necesidades informativas y operativas. De los operadores críticos privados sabemos que su único punto de contacto en el ámbito PIC en el Centro Nacional de Protección de Infraestructuras Críticas. Y puesto que CNPIC, a través de la S.E.S., depende del Ministerio de Interior se consideró que quien fuera designado Responsable de Seguridad y Enlace debería tener una titulación y habilitación reconocida por dicho Ministerio. De ahí que fuera la de Director de Seguridad la figura elegida para ello. Sin embargo, esta exigencia es descontada de la figura del Delegado de Seguridad.

Para que la información circule de forma eficaz y segura se crea un sistema de gestión con una adecuada política de protección de la información; política ésta sostenida sobre la base de la necesidad de conocer.

 

¿QUÉ ES INFORMACIÓN? Información es todo conocimiento que puede ser comunicado, presentado o almacenado en cualquier forma.

 

¿QUÉ ES INFORMACIÓN CLASIFICADA? Información Clasificada es cualquier información o material que requiere protección contra su divulgación no autorizada y a la que se ha asignado, con las formalidades y requisitos previstos en legislación, una clasificación de seguridad.

 

¿QUÉ SON MATERIAS CLASIFICADAS? Están definidas en la Ley 9/68, de 5 de abril, modificada por la Ley 48/78, de 7 de octubre, sobre Secretos Oficiales (LSO), como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda dañar o poner en riesgo la seguridad y defensa del Estado, y que se califican en las categorías de SECRETO y RESERVADO, en atención al grado de protección que requieren.

 

¿QUÉ SON MATERIAS OBJETO DE RESERVA INTERNA? Se definen como los asuntos, actos, documentos, informaciones, datos y objetos cuyo conocimiento por personas no autorizadas pueda afectar a la seguridad del Estado, amenazar sus intereses o dificultar el cumplimiento de su misión. Se clasifican en las categorías de CONFIDENCIAL y DIFUSIÓN LIMITADA, en atención al grado de protección que requieren. Estos grados no están definidos en la LSO, aunque están reconocidos internacionalmente y en normativas de desarrollo de la Ley.

Oficina Nacional de Seguridad

En España, este sistema es HERMES. Para acceder a él es necesaria una acreditación para la gestión de la información clasificada, apoyada, como ha quedado dicho sobre la necesidad de conocer. Los requisitos de seguridad de HERMES son elevados: soporte de comunicaciones seguras Malla B.

Hermes, por un lado, y a través de la Plataforma ARGOS, custodia, gestiona y mantiene el Catálogo Nacional de Infraestructuras Estratégicas, y por otro sirve, a través de ∏3 (Pi3) como Plataforma de Intercambio de Información sobre Infraestructuras, es decir, de canal que comunica y enlaza a los Agentes del Sistema PIC.

PIC

Para impulsar, coordinar y supervisar todas las actividades encomendadas a la Secretaría de Estado de Seguridad en materia de Protección de las Infraestructuras Críticas nace el Centro Nacional para la Protección de las Infraestructuras Críticas.

 PIC

CNPIC, desde su creación, “ha venido trabajando en la arquitectura de un sistema de protección de las infraestructuras críticas nacionales que se adapte a las necesidades específicas de nuestro país y permita dar respuesta a los retos de seguridad que tenemos planteados en esta materia”[8].

CNPIC ha sido calificado, acertadamente, como el motor del Sistema PIC. No sólo impulsa, coordina y supervisa el Sistema, sino que también realiza labores de desarrollo y seguimiento de los instrumentos de planificación, gestiona y mantiene el Catálogo Nacional de Infraestructuras Estratégicas y se centra en la búsqueda de una seguridad integral, atendiendo de forma especial a la ciberseguridad. Además, es CNPIC el punto de contacto e interlocución entre los operadores críticos y la Secretaría de Estado de Seguridad en las materias que aquí tratamos.

[1] La capacidad de recuperación está ligada a la Protección Civil.

[2] Ley 8/2011, artículo 14.2.

[3] RD 704/2011, artículo 17.2

[4] RD 704/2011, artículo 16.2

[5] Ley 8/2011, art. 2.: “m) Operadores críticos: las entidades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica con arreglo a la presente Ley”.

[6] Ley 8/2011, art. 2: “e) Infraestructuras críticas: las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.

[7] Ley 8/2011, artículo 2.l.: Información sensible sobre protección de infraestructuras estratégicas: los datos específicos sobre infraestructuras estratégicas que, de revelarse, podrían utilizarse para planear y llevar a cabo acciones cuyo objetivo sea provocar la perturbación o la destrucción de éstas.

[8] Sánchez Gómez, Fernando J.: Protección de infraestructuras críticas en España: marco regulatorio y organizativo, en Seguridad y Ciudadanía, Revista del Ministerio del Interior, nº 11, enero-junio 2014.