Plan Nacional de Protección de las Infraestructuras Críticas

La necesaria revisión a fondo del Plan Nacional de Protección de las Infraestructuras Críticas de 2007, se ha llevado a cabo, recientemente, a través de la Instrucción 01/2016 de 10 de febrero, de la Secretaría de Estado de Seguridad, que de esta manera completa la legislación emanada en 2011 sobre la materia, actualizándola a las nuevas circunstancias y adaptando sus medidas de carácter operativo a la estructura, procedimientos y niveles de activación del vigente PPPA.

Como ya se conoce, en lo alto de la pirámide de instrumentos de planificación establecidos para la protección de las infraestructuras críticas españolas se encuentra el Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC). Se trata de un documento clasificado, registrado en el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC), cuya primera versión fue aprobada por la Secretaría de Estado de Seguridad en mayo de 2007

El PNPIC es un instrumento de programación del Estado, cuyo objetivo fundamental es mantener seguras las infraestructuras españolas que proporcionan los servicios esenciales a la sociedad. Para ello, a lo largo de su contenido, recoge una serie de medidas de prevención y protección frente a las amenazas que puedan afectar a tales infraestructuras, tanto si son de carácter físico como si se trata de tecnologías de la información y de las comunicaciones.

Este plan recoge, además, los criterios y directrices que sigue el Estado para movilizar sus capacidades operativas frente a ataques deliberados, así como los mecanismos de coordinación establecidos con los operadores críticos en estos casos. En ese sentido, el PNPIC contiene varios niveles de seguridad que se activarán en función de la amenaza y la probabilidad de que ésta se materialice (siempre en coordinación con el Plan de Prevención y Protección Antiterrorista). A medida que aumente el nivel de seguridad, se establecen de manera gradual diferentes dispositivos y medidas de protección, que requerirán según el caso la intervención de las Fuerzas y Cuerpos de Seguridad, de las Fuerzas Armadas y, obviamente, de los operadores de las infraestructuras críticas.

No obstante, desde la aprobación del primer Plan Nacional de Protección de las Infraestructuras Críticas en 2007, se han producido enormes avances en el campo de la protección de las infraestructuras críticas, que van desde el ámbito normativo (con la aprobación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y el Real Decreto 704/2011 que desarrolla la citada ley), hasta el ámbito más operativo, con la implantación del Sistema de Protección de Infraestructuras Críticas.

Durante estos años, nuestra sociedad se ha enfrentado a nuevas amenazas de carácter global, fundamentalmente la amenaza del terrorismo en sus diferentes vertientes, entre las que se incluye el ciberterrorismo. Estas nuevas amenazas afectan a los Estados en general, y en particular al conjunto de infraestructuras sobre las que se asientan los servicios esenciales de la sociedad.

Este nuevo escenario ha propiciado una profunda revisión de nuestro sistema de seguridad, entre las que cabe destacar la Instrucción número 3 de la Secretaría de Estado de Seguridad, por la que se actualiza el Plan de Prevención y Protección Antiterrorista (PPPA) de mayo de 2015, en el que se incluye como una parte importante la protección de las infraestructuras críticas.

La necesaria revisión a fondo del Plan Nacional de Protección de las Infraestructuras Críticas de 2007, se ha llevado a cabo, recientemente, a través de la Instrucción 01/2016 de 10 de febrero, de la Secretaría de Estado de Seguridad, que de esta manera completa la legislación emanada en 2011 sobre la materia, actualizándola a las nuevas circunstancias y adaptando sus medidas de carácter operativo a la estructura, procedimientos y niveles de activación del vigente PPPA.

Características del nuevo PNPIC

El nuevo Plan Nacional de Protección de las Infraestructuras Críticas se estructura en un cuerpo principal y en un anexo, donde se recogen las medidas a implantar en cada nivel de activación del mismo por los diferentes agentes participantes. Al igual que el Plan de Prevención y Protección Antiterrorista, este plan está clasificado.

El vigente PNPIC supone la culminación del Sistema de Protección de Infraestructuras Críticas emanado de la Ley 8/2011, PIC, y de la implantación de todas las herramientas de planificación previstas en dicha norma. Asímismo significa, como principal novedad, la puesta en marcha de medidas operativas concretas sobre dos presupuestos fundamentales:

• la inclusión, por primera vez, de la figura del operador crítico como partícipe del sistema de seguridad nacional en el plano operativo.
• la inserción, también por primera vez, de medidas de ciberseguridad en un documento de estas características, dando contenido así al concepto de seguridad integral que emana de la Ley 8/2011 y que constituye la piedra angular del trabajo que desarrolla el CNPIC.

Operador Crítico

Los principales actores participantes en el PNPIC son:

• El Centro Nacional de Protección de las Infraestructuras y Ciberseguridad (CNPIC): órgano ministerial encargado del impulso, la coordinación y la supervisión  de cuantas actividades tiene encomendadas la Secretaría de Estado de Seguridad en relación con la Protección de las infraestructuras críticas, por lo que asume las funciones de coordinación del PNPIC.
• El Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO): órgano directivo de la Secretaría de Estado de Seguridad, competente en la recepción, integración y análisis de la información estratégica disponible en la lucha contra todo tipo de terrorismo y radicalismo violento, encargado en lo respectivo a este plan de la evaluación de la amenaza terrorista contra el Sistema de Protección de Infraestructuras Críticas (Sistema PIC).
• Las Fuerzas y Cuerpos de Seguridad: encargadas de la protección a través de dispositivos preventivos y reactivos de las infraestructuras críticas que se encuentran ubicadas en su área de responsabilidad.
• Los Operadores Críticos (OC): los propietarios y/o gestores de las infraestructuras críticas que prestan servicios esenciales a la sociedad.

De todos ellos, el único agente que no está presente en el Plan de Prevención y Protección Antiterrorista, y tampoco lo estaba en el anterior PNPIC, es la del operador crítico. El Plan Nacional de Protección de las Infraestructuras Críticas actual prevé que esta figura, nacida de la Ley 8/2011, sea corresponsable en la seguridad común en la parte que le afecta, determinando una serie de obligaciones y medidas operativas (que aparecen relacionadas tanto en el cuerpo como en el anexo del plan) para su cumplimiento, y conectándolo además con el propio PPPA. En este sentido, al operador crítico se le requiere, entre otras cosas que:

• Designe obligatoriamente un responsable de Seguridad y Enlace que será, a todos los efectos, el punto de contacto natural entre el CNPIC y su organización.
• Sus Planes de Protección Específicos (documentos de carácter operativo) tengan una gradación donde se recojan los diferentes niveles de activación del plan, que deberán estar además coordinados con los planes que diseñen los cuerpos policiales competentes.
• Acceda para el intercambio de información y la actualización de datos de sus activos a una plataforma facilitada por el CNPIC (PI3).
• Active los protocolos que se deriven del nivel de alerta declarado, en coordinación con las Fuerzas y Cuerpos de Seguridad (FCS) a través del delegado de Seguridad en la infraestructura.
• Participe, en su caso, en una mesa sectorial para el seguimiento y coordinación de las medidas de protección activadas y para el establecimiento de los procedimientos de colaboración y comunicación necesarios.

Finalmente, en el anexo del plan vienen recogidas todas las medidas graduales exigidas de los operadores por cada uno de los cinco niveles de alerta, así como las responsabilidades y cometidos de los diferentes órganos del Ministerio del Interior (Fuerzas y Cuerpos de Seguridad del Estado, CITCO y CNPIC) en cada uno de ellos.

Este plan recoge, además, los criterios y directrices que sigue el Estado para movilizar sus capacidades operativas frente a ataques deliberados

Medidas de ciberseguridad

Estas medidas se incluyen como complemento a las existentes en el marco de la seguridad física, para la consecución de la seguridad integral a la que ya hace referencia la Ley 8/2011 PIC. De esta forma, por primera vez, se prevén estos procedimientos, en una instrucción operativa dictada por el secretario de Estado de Seguridad. Entre otros aspectos se regulan en este plan:

• El rol que desempeña tanto el CERTSI_ como la Oficina de Coordinación Cibernética en los diferentes niveles de alerta que se declaren.
• La necesidad, por parte de los operadores críticos, de reportar incidentes, en función de la criticidad de los mismos y del nivel de alerta declarado, a los anteriores organismos.
• La determinación de umbrales de seguridad digital y de labores de vigilancia digital a desarrollar tanto por los operadores críticos como por las instituciones públicas responsables.
• La designación de responsables de Seguridad de la información de los operadores críticos (CISOs) como puntos de contacto previstos para reportar y coordinar con el CERTSI_ a través de la Oficina de Coordinación Cibernética y con el conocimiento de sus respectivos responsables de Seguridad y Enlace.

Los procedimientos concretos de intervención e intercambio de información.

Consideraciones finales

Como resumen, hay que apuntar que el vigente Plan Nacional de Protección de las Infraestructuras Críticas, aprobado a través de la Instrucción 01/2016 de 5 de febrero, de la Secretaría de Estado de Seguridad, al mismo tiempo que completa la batería legislativa que deriva de la Ley PIC, homogeniza las medidas operativas que contiene el Plan de Prevención y Protección Antiterrorista en vigor desde mayo de 2015, identificándose con los niveles de alerta consignados en éste último.

Finalmente, el PNPIC de febrero de 2016 extiende responsabilidades y cometidos en ambos ámbitos a un nuevo actor, el operador crítico, estableciendo así un doble enlace operativo vinculante con la Secretaría de Estado de Seguridad y con las unidades de las Fuerzas y Cuerpos de Seguridad a nivel territorial.