seguritecnia 447

52 SEGURITECNIA Noviembre 2017 Protección de Infraestructuras Críticas y Estratégicas 10º ANIVERSARIO DEL CNPIC de operador esencial tiene un calado inferior al concepto de operador crí- tico, pero, siempre que el servicio que preste dependa de las redes y los siste- mas de información, debe ser conside- rado sujeto obligado en la Ley NIS. Por ello, es necesario alinear el contenido de la Ley PIC con el de la nueva Ley NIS, evitando de este modo crear inseguri- dad jurídica a los operadores. El segundo nivel de operador de ser- vicio esencial es el que corresponde a los operadores esenciales que no sean críticos. Aunque estos no han sido identificados profusamente al no exigir la Ley PIC obligaciones para los mismos, sin embargo, la fórmula para identificarlos también podemos en- contrarla en la Ley PIC. Así, pueden ser útiles tanto el Grupo de Trabajo PIC, para desarrollar el proceso de identi- ficación de estos operadores, como la Comisión Nacional PIC, para desig- narlos, aprovechando el mismo pro- cedimiento de identificación y desig- nación que se hace con los operado- res críticos. Ciberseguridad . La normativa PIC es- tablece el concepto de seguridad in- tegral en la gestión de las infraestruc- turas y sistemas críticos, considerando la seguridad física y la ciberseguridad como un “todo indivisible” que los operadores deben gestionar desde una sola estrategia. Este concepto, mucho más ambicioso que el de se- guridad regulado en la Directiva PIC, permite identificar, a través de la nor- mativa de planificación y desarro- llo –guías de contenidos mínimos de los Planes de Seguridad del Opera- dor (PSO) y Planes de Protección Es- pecíficos (PPE)–, interdependencias con proveedores de servicios TIC de los operadores de servicios esenciales contratados, posibles vulnerabilidades y otros importantes datos referentes a la ciberseguridad que coinciden, en gran medida, con los requerimientos de la Directiva NIS. Además, los CSIRT nacionales ya es- tán trabajando en la resolución de in- para el mantenimiento de actividades sociales y económicas vitales y deter- minar si las entidades enumeradas en los sectores y subsectores que prestan esos servicios cumplen los criterios de identificación de los operadores. En este sentido, la Ley PIC y su re- glamento de desarrollo ya establecen mecanismos para identificar los ser- vicios esenciales a través de los Pla- nes Estratégicos Sectoriales (PES) (2) . Lo que sí es necesario identificar es si esos servicios dependen de redes y sistemas de información para consi- derarlos como servicios esenciales NIS. Por ello, y con el fin de identificar estos últimos, debemos acudir al Catálogo Nacional de Infraestructuras Estratégi- cas regulado en la Ley PIC, donde fi- guran todas las infraestructuras que prestan servicios esenciales, entre las cuales se encuentran no solo activos físicos, sino también las redes y los sis- temas que proporcionan, en su caso, dichos servicios. Operadores críticos y operadores de servicios esenciales . El concepto de operador crítico (entidad u organismo que presta un servicio esencial de ca- rácter indispensable y que, en el caso de destrucción o perturbación, tendría un grave impacto) debe aprovecharse para identificar a los operadores esen- ciales NIS de primer orden. El concepto gulando aspectos que no estaban con- siderados en la misma. Por ello, invocando al espíritu del principio de eficiencia jurídica, debe- mos respetar lo ya regulado a la hora de desarrollar otra norma que, sin ser idéntica a la anterior, responde a los mismos fines. ¿Qué puede ser de utilidad en el sis- tema PIC nacional para la transposi- ción de la Directiva NIS? Sectores estratégicos . La Ley PIC es- tablece como sectores estratégicos los dos referidos en la Directiva PIC (Ener- gía y Transporte) y otros en la misma lí- nea que la Directiva NIS (Sistema Finan- ciero y Tributario, Tecnologías de la In- formación y las Comunicaciones, Salud y Agua). Además, amplía sectores no considerandos por la Directiva NIS (Ins- talaciones de Investigación, Industria Nuclear, Espacio, Administración, Indus- tria Química y Alimentación). Servicios esenciales . Este es un con- cepto clave. La esencia de ambas nor- mas es proteger los servicios esencia- les que se prestan en esos sectores es- tratégicos y garantizarlos en la mayor medida posible. La Directiva NIS esta- blece que se deben valorar, como mí- nimo para cada uno de los subsecto- res que se indican en ella, qué servi- cios han de considerarse esenciales