A partir del año 2004, como consecuencia del incremento del riesgo de ataques procedentes del terrorismo y del crimen organizado, surgieron una serie de iniciativas encaminadas a establecer mecanismos de protección de las infraestructuras estratégicas para los Estados. De esta forma, desde el punto de vista europeo, se adoptó la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.
Como consecuencia de estas medidas, en nuestro país se desarrollaron varias acciones desde diferentes ámbitos, como fue la aprobación de la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y su normativa de desarrollo.
Asimismo, la publicación del Real Decreto-Ley 12/2018, de septiembre, de seguridad de las redes y sistemas de información, tras la adopción de la Directiva 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión, vino a completar desde el ámbito sectorial el elenco de normas que rigen el Sistema de Protección de Infraestructuras Críticas.
Sin duda, la Ley 8/2011, en su preámbulo, realiza una declaración de intenciones cumplida a día de hoy, debido a que determina que la protección a dispensar a las infraestructuras críticas debe ser integral. Además, para una adecuada gestión de esa protección, en ella deben participar todos los actores involucrados (sector público y privado) mediante el desarrollo de un sistema organizativo basado en la colaboración y cooperación. Un sistema implementado bajo la dirección de la Secretaría de Estado de Seguridad, asistida por los demás integrantes del Sistema y, en concreto, por el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
Es, además, importante subrayar que la Estrategia de Seguridad Nacional de 2021 establece que “las infraestructuras críticas posibilitan el normal desarrollo de la actividad socio-económica y son objetivo de amenazas, tanto físicas como digitales, que podrían llevar a una interrupción o negación de servicios”. Por lo tanto, se apunta de nuevo el concepto de ‘seguridad integral’, que debe prevalecer en todas las actividades relacionadas con la protección de las infraestructuras críticas; es decir, un enfoque holístico que trate de aunar medidas concernientes a la seguridad general de los activos y las relativas a la seguridad lógica de las redes y sistemas de información como una parte más de este “todo” desde el que debe abordarse la protección.
Directiva de resiliencia de infraestructuras críticas
Sin embargo, desde esta construcción de la seguridad como un proceso integral se necesita progresar hacia los nuevos planteamientos que ya son una realidad. Actualmente, y desde diciembre de 2020, se está trabajando en dos propuestas de directivas que afectan, de manera directa, al ámbito de la protección de las infraestructuras críticas y de la seguridad de los servicios esenciales: la Directiva sobre la resiliencia de las entidades críticas y la Directiva sobre medidas para un alto nivel común de ciberseguridad en la Unión.
Evidentemente, la Unión Europea ha considerado la resiliencia como un objetivo fundamental, tal y como lleva haciendo el CNPIC desde sus orígenes. De ello parece oportuno establecer y avanzar en un concepto de resiliencia que incremente la fortaleza para resistir y la capacidad para recuperarse con la mayor rapidez posible. Avanzar en el sentido de tratar de plasmar el contenido de una compleja fórmula donde la fortaleza y las capacidades deben ser el punto de partida, pero no las únicas, debido a que la resiliencia implica y engloba mucho más. En concreto, la capacidad de generar confianza, persistencia y flexibilidad para transformar y adoptar las capacidades, los procedimientos y las líneas de actuación a los nuevos escenarios, así como proteger y dar una respuesta oportuna ante los riesgos que puedan afectar a las infraestructuras críticas.
