Seguritecnia 378

42 SEGURITECNIA Septiembre 2011 Protección de Infraestructuras Críticas pecto a la protección de infraestructu- ras críticas”. Por otra parte, teniendo en cuenta las políticas de cada país, hay que concluir que estas políticas varían mucho en cuanto a la definición, objeti- vos y enfoque. Como parte del trabajo para el pre- sente artículo, CoESS llevó a cabo una encuesta entre sus miembros, en los re- glamentos nacionales sobre protección de infraestructuras críticas. Completa- ron cuestionarios, observándose gran- des diferencias entre países en cuestio- nes tan básicas como la definición de lo que constituye una “infraestructura crí- tica” o cómo se debe realizar la segu- ridad y la protección de estas infraes- tructuras. Tal vez lo más sorprendente es que en varios de los países no dispo- nían de una definición oficial de lo que es una infraestructura crítica y, por lo tanto, no hay reglas sobre cómo debe ser asegurada y protegida. Hay por tanto una importante omi- sión respecto al conocimiento de lo que son las infraestructuras críticas a estructuras críticas europeas en manos de los Estados. CoESS, no obstante, considera que los principios relativos a la definición, el en- foque, la metodología y la aplicación de la presente directiva puede inspirar o ser un ejemplo para los países miem- bros de la UE que aún no han enfocado, de una manera sustancial, la seguridad y la protección de las infraestructuras críticas en sus políticas nacionales. Políticas nacionales Hoy día, la mayoría de los miembros de la UE, así como otros países europeos, han dedicado tiempo a prestar aten- ción y analizar la cuestión de la protec- ción de infraestructuras críticas nacio- nales. Muchos de los programas y polí- ticas nacionales en este campo existen. Sin embargo, CoESS tiene la sensación de “que estos programas y las políticas siguen estando demasiado en el plano político y no proporcionan una orienta- ción suficiente o directrices/instruccio- nes para el día a día de la seguridad res- en dicha disposición. Cada país miem- bro debe asegurarse de que sus ele- mentos ECI tienen cada uno un PSO. Si algún operador de infraestructuras crí- ticas no ha logrado elaborar un plan, el país miembro podrá adoptar “las me- didas que considere adecuadas” para que lo haga. Los Estados miembros deben infor- mar cada dos años (en España el CNPIC obliga a hacerlo anualmente) a la Comi- sión Europea acerca de “datos genéri- cos de forma resumida sobre los tipos de riesgos, amenazas y vulnerabilidades encontradas por el sector ECI”. La Comisión no tendrá ningún pa- pel en la evaluación de la calidad de los planes de seguridad del operador y, por lo tanto, no podrá disponer de ellos ni conocerlos. La Directiva se centra en la energía (petróleo eléctrica y gas) y transporte (carretera, ferrocarril, aéreo, terrestre y transporte marítimo y puertos), pero será revisada para determinar si hay que añadir otro tipo de sectores, y menciona las TIC (Tecnologías de la Información y Comunicaciones) como uno posible. Aunque esta iniciativa constituye un primer paso importante hacia un enfo- que más integrado de la UE, los efectos de la Directiva son más bien limitados ya que deja de lado a la gran mayoría de la infraestructuras críticas que no caen bajo esa denominación por parte de la UE y, por lo tanto, quedan fuera del ámbito de dicha disposición normativa. La Directiva 1 2008/114/CE del Con- sejo, de 8 de diciembre de 2008, sobre la identificación y designación de infra- estructuras críticas europeas y la eva- luación de la necesidad de mejorar su protección se puede leer en: http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ:L:2008:345:0075:0 082:EN:PDF De hecho, la mayor parte de la infra- estructura crítica más importante si- gue siendo nacional o incluso local. Igualmente, las obligaciones que la di- rectiva impone a los países miembros son más bien tímidas y dejan la mayor parte de la responsabilidad y la toma de decisiones con respecto a las infra- En la UE existen grandes diferencias entre países en cuestiones tan básicas como la definición de “infraestructura crítica”