seguritecnia 447

Protección de Infraestructuras Críticas y Estratégicas 10º ANIVERSARIO DEL CNPIC SEGURITECNIA Noviembre 2017 51 tiva NIS. Además, tampoco regula en su articulado aspectos relacionados con la ciberseguridad de los operadores de servicios esenciales ni el reporte de ci- berincidencias en su operativa diaria, elementos considerados nucleares en la Directiva NIS. No obstante, la transposición que en España se hizo de la ya mencionada Di- rectiva 2008/114/CE fue mucho más ambiciosa y extensiva, recogiendo algu- nos de los conceptos demandados por la Directiva NIS. Entre ellos, la extensión de su ámbito de aplicación a 12 secto- res estratégicos (incluyendo, entre ellos, los que ahora recoge la Directiva NIS), la identificación de las infraestructuras crí- ticas nacionales y el refuerzo de la ci- berseguridad a través del concepto de seguridad integral. Por ello, es importante tener en cuenta que, en España, la referencia a la hora de transponer la Directiva NIS, en lo relativo a la provisión de servi- cios esenciales, no debe ser la Directiva PIC, sino el desarrollo que nuestra pro- pia legislación nacional ha hecho de la misma. Así, en su transposición, a tra- vés de la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críti- cas (Ley PIC), y su texto de desarrollo, el Real Decreto 704/2011, de 20 de mayo (Reglamento PIC), se fue más allá de las exigencias de la propia Directiva PIC, re- armonizado, eficaz y eficiente posible, de tal forma que los operadores críti- cos no se vean obligados a cumplir las mismas exigencias por vías distintas ni sufrir dobles imposiciones de la misma naturaleza. El origen de la Directiva NIS está mo- tivado por la creciente preocupación de los Estados miembros ante la ame- naza que representa el ataque a las re- des y los sistemas de información de los operadores que prestan servicios esen- ciales. En su artículo 1.4, establece que la misma se entenderá sin perjuicio, en- tre otras, de la Directiva 2008/114/CE de 8 de diciembre de 2008 (Directiva PIC), sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Efectivamente, hay cierta similitud en- tre ambas normas, pero la Directiva PIC es, a todas luces, insuficiente para cu- brir las necesidades de la NIS. La Direc- tiva PIC identifica únicamente dos sec- tores estratégicos (Energía y Transporte) y, además, limita la identificación de in- fraestructuras críticas que prestan ser- vicios esenciales a las infraestructuras críticas europeas, es decir, aquellas que afecten a dos o más países de la UE. Por lo tanto, la Directiva PIC no comprende las infraestructuras de ámbito nacional, ni mucho menos todos los sectores a los que ahora se dirige la nueva Direc- ción de Infraestructuras Críticas (CNPIC) que, con la nueva estructura, ha pasado a llamarse Centro de Protección de In- fraestructuras y Ciberseguridad. De este modo, el CNPIC no solo tiene enco- mendada la protección de todo tipo de infraestructuras estratégicas del Es- tado –incluyendo, por supuesto, las crí- ticas–; ahora, además, deberá gestionar la ciberseguridad de las cuestiones que afecten a la competencia del Ministerio del Interior. Por otro lado, y reforzando esta línea estratégica, en las cúpulas tanto de la Policía Nacional como de la Guardia Ci- vil se han creado nuevas estructuras or- gánicas (1) con el objetivo prioritario de combatir la ciberdelincuencia y el ciber- terrorismo. Esta apuesta por la ciberseguridad y la ciberdelincuencia debe llevar aparejado un reforzamiento de los medios huma- nos y tecnológicos en cada uno de los nuevos órganos creados. En este con- texto, la Directiva (UE) 2016/1148 del Par- lamento Europeo y del Consejo de 6 de julio de 2016, relativa a las medidas des- tinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión Eu- ropea (UE), es un ejemplo de la preocu- pación existente por la seguridad de las redes y los sistemas, en este caso de los operadores, ya sean de naturaleza pú- blica o privada, que prestan servicios esenciales a la sociedad. Directiva NIS He tenido la oportunidad de hablar con algunos de los responsables de Seguridad y Enlace de operadores crí- ticos, quienes me han transmitido su preocupación por la futura transposi- ción de la citada disposición normativa –popularmente conocida como Direc- tiva NIS–, prevista para mayo de 2018, dado el posible solapamiento de futu- ras obligaciones con las ya estableci- das en la Ley PIC y su normativa de de- sarrollo. Por ello, quiero dedicar estas líneas a explicar cómo estamos traba- jando para que la confluencia de am- bas normas procure un sistema lo más