Seguritecnia 478

50 SEGURITECNIA Septiembre 2020 E l Real Decreto 734/2020, de 4 de agosto, que desarrolla la nueva estructura orgánica bá- sica del Ministerio del Interior, contiene alguna novedad que, desde el punto de vista de la protección de las infraestruc- turas críticas (PIC), resulta del máximo interés por inquietante: nos referimos al cambio de ubicación y dependencia de la OCC (conocida ahora como Ofi- cina de Coordinación de Ciberseguri- dad). Por lo demás, si cabía esperar una elevación del rango orgánico del CNPIC (que ha recuperado su denominación inicial de Centro Nacional de Protección de Infraestructuras Críticas) en el seno de la Secretaría de Estado de Seguridad, no solo no se ha producido, sino que se le ha privado del componente de ciber- seguridad incorporado en la anterior re- forma, de 2017. Estas circunstancias me- recen algunas reflexiones en cuanto pueden afectar a la continuidad del Sis- tema PIC, tal como lo conocemos. Es importante tener presente que la Unión Europea afrontó la protección sis- temática de los servicios esenciales siem- pre desde una perspectiva integral, crite- rio que ha sido seguido, como no podía ser de otra forma, por las respectivas le- gislaciones nacionales. En nuestro caso, la Ley 8/2011, de protección de las in- fraestructuras críticas (Ley PIC), regula esta protección para hacer frente a ata- ques deliberados de todo tipo. El CNPIC fue un abanderado de esta política y sus intervenciones han contribuido, sin duda notablemente, a consolidar una doctrina de integración de las distintas facetas de la seguridad bajo una dirección única. ridad de las principales empresas espa- ñolas a una dimensión nunca antes co- nocida. No solo por haberse acometido el cambio desde la sistematización, sino porque una ley sin régimen sanciona- dor fue capaz de aunar voluntades en pos de un interés común: por primera vez, la Administración no se apoyaba en su potestad coercitiva, sino que ofre- cía su mejor versión para potenciar la colaboración público-privada. Es posi- ble que este resultado no se hubiera al- canzado sin un órgano como el CNPIC, que entendió a la perfección las claves para ese avance, al tiempo que apos- taba decididamente por la seguridad integral, sin dejar de contar por ello con la participación de las áreas física y ló- gica, aplicando en cada momento los procedimientos operativos que mejor sirvieran al objetivo. La Ley y su normativa de desarro- llo diseñaron un sistema intencionada- mente amplio, flexible y abstracto, que daba cabida a múltiples sectores estra- tégicos totalmente diferentes entre sí y a los más variados actores, para iniciar el camino de la concienciación y cam- biar conceptos desfasados mediante una planificación en la que todos po- dían participar. Aquel necesariamente complejo sistema debería dar cabida ahora a los nuevos actores que la nor- mativa NIS ha incorporado a la protec- ción de los servicios esenciales: Auto- ridades Competentes, Equipos de Res- puesta a Incidentes, Punto de Contacto Único y otras autoridades con las que deben cooperar los anteriores. Sin em- bargo, parece que se va desarrollando Por otra parte, si bien la Directiva 2008/114 se aplica inicialmente a solo dos sectores estratégicos, energía y transportes, ella misma prevé su revi- sión para extenderse a otros, especial- mente el de las TIC. Pero tal revisión no se ha producido, sino que se ha pro- mulgado la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (más conocida como Direc- tiva NIS), que afecta notablemente a los servicios esenciales. A este respecto, creemos que el ob- jetivo final de las políticas de protec- ción debe ser garantizar la continuidad de los servicios esenciales, mejorando tanto la seguridad de las infraestruc- turas físicas, como la de las redes y sis- temas de la información que les dan soporte, o cualquier otro aspecto que incida en su producción. A mayor abun- damiento, la crisis por la pandemia de COVID-19 nos enseña que no podemos perder en ningún caso la perspectiva integral. Por todo ello, no tiene sentido que la normativa venga a romper un modelo que estaba funcionando con acierto, para crear un sistema nuevo, es- pecífico para el ámbito de la ciberse- guridad. Personalmente, opino que la parte de la Directiva NIS que afecta di- rectamente a la provisión de servicios esenciales, debió incorporarse a nues- tro ordenamiento mediante una actua- lización de la Ley PIC, completando así el modelo ya configurado. No hay que olvidar que fue precisa- mente ese modelo el que llevó la segu- César Álvarez Coordinador de proyectos de la Fundación Borredá La continuidad del Sistema PIC A vista de