Silueta autor hombre.
Alberto Fuentes Zurdo Jefe del Servicio de Planes y Operaciones Centro Nacional de Protección de Infraestructuras Críticas (CNPIC)

De CNPIC a CNPREC

Protección Infraestructuras Críticas

La transposición de la Directiva (UE) 2022/2557 sobre Resiliencia de Entidades Críticas sitúa al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) en el epicentro de los cambios que llegan, tanto hacia fuera como hacia dentro del propio centro.

El proyecto de Ley de Protección y Resiliencia de Entidades Críticas se encuentra en su última fase y, con él, la implantación de una Estrategia Nacional y una Evaluación Nacional de Riesgos, que implica un análisis a nivel nacional de las amenazas existentes para los sectores estratégicos sobre la base de un nuevo árbol de amenazas. A las amenazas ya existentes en el actual Sistema PIC de origen deliberado, como el terrorismo, el crimen organizado o el espionaje, se unen otras nuevas también de carácter deliberado, como las denominadas amenazas híbridas o las internas, a través de la figura del insider, además de otras en las que no interviene el ser humano, como las de origen natural, las epidemias o catalizadores como el cambio climático.

Está claro que los cambios que vienen exigen un esfuerzo tanto del CNPIC como de los operadores críticos. La adaptación a las directrices marcadas por la Unión Europea exige la elaboración de nuevas estrategias y un nuevo árbol de amenazas; pero, además, se trabaja sobre una nueva metodología de análisis de riesgos y una guía para la elaboración del futuro plan de protección y resiliencia, sin olvidar el esquema de certificación PREC.

Evaluaciones y planes

Sobre la base de la Evaluación Nacional de Riesgos, las entidades críticas habrán de realizar una Evaluación de Riesgos de la Entidad Crítica; es decir, analizar cómo las amenazas que les sean de aplicación afectan a la prestación de los servicios esenciales en los que operan. Una vez aprobada por la Secretaría de Estado de Seguridad, deberán elaborar un Plan de Protección y Resiliencia de la Entidad Crítica, en el que se describan todas las medidas de carácter organizativo, técnico y de seguridad a implementar para reducir al máximo los riesgos y acortar los periodos de interrupción de la prestación de los servicios esenciales en caso de disrupción. Todo ello obligará a reducir los tiempos de respuesta por parte de todos los intervinientes, con el objetivo de garantizar la continuidad de los servicios esenciales.

El actual sistema se centra en la protección de infraestructuras designadas como críticas. Sin embargo, a partir de la aprobación de la nueva Ley de Protección y Resiliencia de Entidades Críticas, el centro de atención será la prestación del servicio esencial. Es evidente que proteger el servicio esencial implica, de forma implícita, dotar de una especial protección a todos aquellos activos críticos en los que se sustenta, sin olvidar en ningún caso las infraestructuras críticas.

La resiliencia va más allá de la prevención y la protección, puesto que implica un compromiso con la continuidad en la prestación de uno o varios servicios esenciales en caso de producirse un incidente disruptivo. En este contexto, la variable tiempo se vuelve fundamental, ya que es necesario definir con precisión los tiempos objetivos de recuperación, qué medidas hay que activar y qué puestos de trabajo y funciones son críticas.

Hacia un nuevo sistema

El CNPIC lleva tiempo trabajando no solo en la transposición de la directiva europea, sino también en el futuro reglamento y en el resto de los textos que acompañarán la aprobación de la ley.

Este trabajo no solo se está abordando desde el punto de vista normativo, sino también desde una perspectiva de inteligencia y operativa, puesto que el objetivo no es únicamente aprobar una ley por imperativo de nuestras obligaciones y compromisos europeos, sino desarrollar un marco verdaderamente útil para la ciudadanía y para la estabilidad del funcionamiento diario en términos de seguridad pública. Para ello, es esencial garantizar la correcta prestación de todos y cada uno de los servicios esenciales recogidos en la lista de sectores estratégicos.

En ese camino hacia la implantación de un nuevo sistema, el CNPIC está ampliando conocimientos y recabando información procedente de otras agencias, especialmente en lo referente a catástrofes naturales, una cuestión que no se abordaba desde el ámbito PIC. En los últimos años, desgraciadamente, en España hemos sufrido las consecuencias de la erupción del volcán de La Palma, la depresión aislada en niveles altos (DANA) en Valencia o los incendios generalizados repartidos por toda la geografía nacional durante el pasado verano. Todas estas situaciones obligan a gestionar información y elaborar inteligencia, del mismo modo que se hacía con el terrorismo o el crimen organizado.

CNPIC: Protección y Resiliencia de Entidades Críticas

Mención aparte merece el análisis de las amenazas híbridas, especialmente a raíz de los incidentes acontecidos en el norte de Europa en el último año, tales como sabotajes a cables submarinos o vuelos de drones en entornos aeroportuarios, que, además de interrumpir temporalmente un servicio esencial, generan alarma social e inseguridad en la población. El CNPIC lleva tiempo analizando estas amenazas, así como sus vulnerabilidades asociadas y las posibles soluciones para reducirlas, mitigarlas o incluso neutralizarlas, participando en grupos de trabajo a todos los niveles, tanto nacionales como europeos.

Otro objetivo que se mantiene en el tiempo es reforzar la colaboración público-privada, dado que muchos de los operadores críticos pertenecen al sector privado, pero prestan servicios esenciales para el país. Por ello, ambas partes están llamadas a mantener una colaboración estrecha. El operador debe comprometerse y realizar un esfuerzo en la implantación de medidas de resiliencia acordes con las exigencias que establezca la ley, mientras que el centro debe analizar dichas medidas desde nuevas perspectivas, siempre desde un enfoque cooperativo y a través de los instrumentos establecidos.

Es evidente que se aproxima un cambio con la próxima aprobación de la Ley de Protección y Resiliencia de Entidades Críticas y, como en todo proceso de transformación, es el momento de mejorar y consolidar al CNPIC como punto de referencia a nivel europeo en la protección de servicios esenciales e infraestructuras críticas. Todo ello apoyado en un Plan Nacional de Protección de Infraestructuras Críticas plenamente instaurado desde hace años y en Planes Estratégicos Sectoriales en prácticamente la totalidad de los sectores estratégicos incluidos en la directiva europea de aplicación. Sobre la base de lo ya construido, es el momento de dar un paso más: pasar de la protección a la protección y resiliencia; pasar de CNPIC a CNPREC.