Juan José Zurdo
Juan José Zurdo Santamaría Jefe del Servicio de Normativa y Coordinación CNPIC

Infraestructuras Críticas Sistema PIC y Directiva NIS: simbiosis normativa

Normas de ciberseguridad.

En nuestra compleja sociedad actual, en la que convergen varias administraciones (europea, nacional, regional y local), se crean todo tipo de normas jurídicas: sectoriales, transversales, nacionales, territoriales, generales, especiales, etc., que obligan al ciudadano medio a conocerlas bajo la máxima de que “la ignorancia de las leyes no excusa de su cumplimiento”, por lo que una persona debe ser prácticamente una enciclopedia andante para no cometer alguna irregularidad en las normas que le son aplicables.

Cierto es que, necesariamente, las sociedades complejas requieren un extraordinario número de normas que regulen la infinidad de relaciones jurídicas que se crean a diario como consecuencia de vivir en una sociedad avanzada y moderna. Pero esas sociedades no deben caer en verborreas normativas que generen duplicidades innecesarias o inseguridad jurídica por exceso, no sabiendo con seguridad a qué concreta norma deben atenerse sus ciudadanos. Por ello, es obligación de los poderes públicos que las normas que nos regulen sean claras, no establezcan dobles imposiciones y no sean contradictorias con otras que también nos puedan afectar.

Estamos viviendo una época de profunda transformación de nuestra sociedad marcada por el acceso a la información que nos proporcionan las redes y los sistemas. Esta revolución tecnológica, que nos está permitiendo evolucionar vertiginosamente, tiene una contrapartida: los riesgos asociados. Nos enfrentamos a nuevas amenazas casi a diario y la magnitud del impacto de las amenazas futuras es una incertidumbre. Por ello, el concepto de la seguridad está evolucionando hacia la llamada seguridad integral, la gestión integral de la seguridad física con la ciberseguridad. En la aplicación de este nuevo concepto se han visto involucradas, en mayor medida, las entidades que prestan servicios esenciales, entre otras causas, por las obligaciones que se les imponen desde distintas regulaciones.

La predisposición de las mismas a reforzar su seguridad se ve muchas veces condicionada a la percepción que tengan sobre sus propias vulnerabilidades en relación a las amenazas conocidas. Y en ese punto, un dato objetivo que no debe obviarse es el avance inexorable de la ciberdelincuencia y el ciberterrorismo.

Nuevas estructuras

El Ministerio del Interior está teniendo en cuenta esta realidad. Así, el nuevo Real Decreto 770/2017, de 28 de julio, por el que se desarrolla su estructura orgánica básica, ha consolidado a la Oficina de Coordinación Cibernética (OCC) no solo como el órgano de coordinación técnica en materia de ciberseguridad entre la Secretaría de Estado de Seguridad y sus organismos dependientes, sino también como el canal específico de comunicación entre los operadores de servicios esenciales y los centros de respuesta a incidentes cibernéticos (CERT o CSIRT, por sus siglas en inglés). La OCC realiza sus funciones bajo la dependencia funcional del secretario de Estado de Seguridad y orgánica del Centro Nacional para la Protección de Infraestructuras Críticas (CNPIC) que, con la nueva estructura, ha pasado a llamarse Centro de Protección de Infraestructuras y Ciberseguridad. De este modo, el CNPIC no solo tiene encomendada la protección de todo tipo de infraestructuras estratégicas del Estado –incluyendo, por supuesto, las críticas–; ahora, además, deberá gestionar la ciberseguridad de las cuestiones que afecten a la competencia del Ministerio del Interior.

La Directiva PIC identifica únicamente dos sectores estratégicos (Energía y Transporte) y, además, limita la identificación de infraestructuras críticas que prestan servicios esenciales a las infraestructuras críticas europeas

Por otro lado, y reforzando esta línea estratégica, en las cúpulas tanto de la Policía Nacional como de la Guardia Civil se han creado nuevas estructuras orgánicas con el objetivo prioritario de combatir la ciberdelincuencia y el ciberterrorismo.

Esta apuesta por la ciberseguridad y la ciberdelincuencia debe llevar aparejado un reforzamiento de los medios humanos y tecnológicos en cada uno de los nuevos órganos creados. En este contexto, la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y los sistemas de información en la Unión Europea (UE), es un ejemplo de la preocupación existente por la seguridad de las redes y los sistemas, en este caso de los operadores, ya sean de naturaleza pública o privada, que prestan servicios esenciales a la sociedad.

Infraestructuras críticas

Directiva NIS

He tenido la oportunidad de hablar con algunos de los responsables de Seguridad y Enlace de operadores críticos, quienes me han transmitido su preocupación por la futura transposición de la citada disposición normativa –popularmente conocida como Directiva NIS–, prevista para mayo de 2018, dado el posible solapamiento de futuras obligaciones con las ya establecidas en la Ley PIC y su normativa de desarrollo. Por ello, quiero dedicar estas líneas a explicar cómo estamos trabajando para que la confluencia de ambas normas procure un sistema lo más armonizado, eficaz y eficiente posible, de tal forma que los operadores críticos no se vean obligados a cumplir las mismas exigencias por vías distintas ni sufrir dobles imposiciones de la misma naturaleza.

El origen de la Directiva NIS está motivado por la creciente preocupación de los Estados miembros ante la amenaza que representa el ataque a las redes y los sistemas de información de los operadores que prestan servicios esenciales. En su artículo 1.4, establece que la misma se entenderá sin perjuicio, entre otras, de la Directiva 2008/114/CE de 8 de diciembre de 2008 (Directiva PIC), sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

Es importante tener en cuenta que, en España, la referencia a la hora de transponer la Directiva NIS, en lo relativo a la provisión de servicios esenciales, no debe ser la Directiva PIC, sino el desarrollo que nuestra propia legislación nacional

Efectivamente, hay cierta similitud entre ambas normas, pero la Directiva PIC es, a todas luces, insuficiente para cubrir las necesidades de la NIS. La Directiva PIC identifica únicamente dos sectores estratégicos (Energía y Transporte) y, además, limita la identificación de infraestructuras críticas que prestan servicios esenciales a las infraestructuras críticas europeas, es decir, aquellas que afecten a dos o más países de la UE. Por lo tanto, la Directiva PIC no comprende las infraestructuras de ámbito nacional, ni mucho menos todos los sectores a los que ahora se dirige la nueva Directiva NIS. Además, tampoco regula en su articulado aspectos relacionados con la ciberseguridad de los operadores de servicios esenciales ni el reporte de ciberincidencias en su operativa diaria, elementos considerados nucleares en la Directiva NIS.

No obstante, la transposición que en España se hizo de la ya mencionada Directiva 2008/114/CE fue mucho más ambiciosa y extensiva, recogiendo algunos de los conceptos demandados por la Directiva NIS. Entre ellos, la extensión de su ámbito de aplicación a 12 sectores estratégicos (incluyendo, entre ellos, los que ahora recoge la Directiva NIS), la identificación de las infraestructuras críticas nacionales y el refuerzo de la ciberseguridad a través del concepto de seguridad integral.

Por ello, es importante tener en cuenta que, en España, la referencia a la hora de transponer la Directiva NIS, en lo relativo a la provisión de servicios esenciales, no debe ser la Directiva PIC, sino el desarrollo que nuestra propia legislación nacional ha hecho de la misma. Así, en su transposición, a través de la Ley 8/2011 de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (Ley PIC), y su texto de desarrollo, el Real Decreto 704/2011, de 20 de mayo (Reglamento PIC), se fue más allá de las exigencias de la propia Directiva PIC, regulando aspectos que no estaban considerados en la misma.

Por ello, invocando al espíritu del principio de eficiencia jurídica, debemos respetar lo ya regulado a la hora de desarrollar otra norma que, sin ser idéntica a la anterior, responde a los mismos fines.

¿Qué puede ser de utilidad en el sistema PIC nacional para la transposición de la Directiva NIS?

  • Sectores estratégicos. La Ley PIC establece como sectores estratégicos los dos referidos en la Directiva PIC (Energía y Transporte) y otros en la misma línea que la Directiva NIS (Sistema Financiero y Tributario, Tecnologías de la Información y las Comunicaciones, Salud y Agua). Además, amplía sectores no considerandos por la Directiva NIS (Instalaciones de Investigación, Industria Nuclear, Espacio, Administración, Industria Química y Alimentación).
  • Servicios esenciales. Este es un concepto clave. La esencia de ambas normas es proteger los servicios esenciales que se prestan en esos sectores estratégicos y garantizarlos en la mayor medida posible. La Directiva NIS establece que se deben valorar, como mínimo para cada uno de los subsectores que se indican en ella, qué servicios han de considerarse esenciales para el mantenimiento de actividades sociales y económicas vitales y determinar si las entidades enumeradas en los sectores y subsectores que prestan esos servicios cumplen los criterios de identificación de los operadores.

En este sentido, la Ley PIC y su reglamento de desarrollo ya establecen mecanismos para identificar los servicios esenciales a través de los Planes Estratégicos Sectoriales (PES). Lo que sí es necesario identificar es si esos servicios dependen de redes y sistemas de información para considerarlos como servicios esenciales NIS. Por ello, y con el fin de identificar estos últimos, debemos acudir al Catálogo Nacional de Infraestructuras Estratégicas regulado en la Ley PIC, donde figuran todas las infraestructuras que prestan servicios esenciales, entre las cuales se encuentran no solo activos físicos, sino también las redes y los sistemas que proporcionan, en su caso, dichos servicios.

  • Operadores críticos y operadores de servicios esenciales. El concepto de operador crítico (entidad u organismo que presta un servicio esencial de carácter indispensable y que, en el caso de destrucción o perturbación, tendría un grave impacto) debe aprovecharse para identificar a los operadores esenciales NIS de primer orden. El concepto de operador esencial tiene un calado inferior al concepto de operador crítico, pero, siempre que el servicio que preste dependa de las redes y los sistemas de información, debe ser considerado sujeto obligado en la Ley NIS. Por ello, es necesario alinear el contenido de la Ley PIC con el de la nueva Ley NIS, evitando de este modo crear inseguridad jurídica a los operadores.

¡Sigue Leyendo!

Aquí te hemos mostrado tan sólo una parte de este contenido.

¿Quieres leer el contenido completo?

Leer Completo
Contenido seleccionado de la revista digital