Ley de Protección de Infraestructuras Críticas

Normativa de Medidas para la Protección de las Infraestructuras Críticas

La ciberseguridad de las infraestructuras críticas es un elemento determinante para la seguridad de cualquier Estado. Un ciberataque de un grupo terrorista, un ciberdelincuente o un país enemigo podría colapsar el tráfico en el ciberespacio, suspendiendo servicios esenciales para la comunidad.

De acuerdo a la definición contemplada en la Estrategia de Seguridad Nacional 2017, las infraestructuras críticas son aquellas infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas. Las infraestructuras estratégicas incluyen las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información y de la comunicación sobre las que descansa el funcionamiento de los servicios esenciales. Los servicios esenciales son necesarios para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento del sector público.

Fuente: Presidencia de Gobierno – Estrategia de Seguridad Nacional 2017

 

La mayor amenaza de estos activos, debido a la dependencia cada vez mayor que estas infraestructuras tienen de las tecnologías de la información, son los ciberataques.

Uno de los objetivos de esta estrategia es impulsar la seguridad en el desarrollo tecnológico, esto significa, entre otras, la adopción de las medidas necesarias para garantizar sistemas bien protegidos, configurados y gestionados. Sin olvidarnos, además, de la gobernanza de las tecnologías emergentes: big data, inteligencia artificial, etc.

Se establecen también 15 líneas de acción estratégicas para los ámbitos de las Seguridad Nacional, entre las cuales se encuentran:

& Ciberseguridad: reforzar, impulsar y promover los mecanismos normativos, organizativos y técnicos, así como la aplicación de medidas, servicios, buenas prácticas y planes de continuidad para la protección, seguridad y resiliencia en sectores estratégicos, como las infraestructuras críticas y servicios esenciales.

& Protección de las Infraestructuras Críticas: asegurar la correcta provisión de los servicios esenciales para la sociedad, haciendo más robusto y resiliente el sistema de infraestructuras críticas sobre el que se sustenta.

& Seguridad energética: promover la seguridad de las infraestructuras energéticas frente a amenazas cibernéticas.

Ley PIC

La Ley PIC 8/2011 (Protección de Infraestructuras Críticas) es la normativa que marca la definición de las infraestructuras críticas e infraestructuras estratégicas y sus principales aportaciones son las siguientes:

& Creación del Sistema Nacional de Protección de Infraestructuras Críticas (estructura organizativa donde se distribuyen las funciones y responsabilidades).

& Sistema de planificación PIC: textos normativos (Planes Estratégicos Sectoriales, Planes de Seguridad del Operador, Planes de Apoyo Operativo y Planes de Protección Específicos) que definen medidas para la protección de las infraestructuras críticas.

& Catálogo Nacional de Infraestructuras Estratégicas: características específicas de las infraestructuras existentes.

& Gestión de incidentes: CNPIC e INCIBE.

El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano encargado del impulso, coordinación y supervisión de todas las actividades en relación con la protección de las infraestructuras críticas en el territorio nacional, además, es el responsable de la designación de una infraestructura como crítica.

En este sentido, las Infraestructuras Estratégicas y Críticas relacionadas con servicios públicos esenciales están clasificadas en los doce apartados siguientes:

& Sector Energético: Eléctrico, hidrocarburos, gas.

& Sector Tecnologías Información: Telefonía, radio, televisión.

& Sector Transportes: Aeropuertos, puertos, ferrocarril y carreteras.

& Sector Hídrico: Depósitos, embalses, tratamiento, y distribución.

& Sector Salud: Biológico, asistencia hospitalaria, vacunas y laboratorios.

& Sector Alimentación: Centros de almacenamiento y distribución.

& Sector Finanzas: Mercados regulados, pago y compensación.

& Sector Nuclear: Producción y almacenamiento radiológico.

& Sector Químico: Sustancias químicas, armas y explosivos.

& Sector de Investigación: Laboratorios y almacenamientos.

& Sector Espacio: Centros de control y telecomunicaciones.

& Sector Administración: Altas Instituciones del Estado, Defensa, Interior, Partidos Políticos, Servicios de Emergencia.

La Protección de Infraestructuras Críticas requerirá en ocasiones el uso de métodos y tecnologías propias de la Ciberseguridad Industrial, pero no todas las acciones de la Ciberseguridad Industrial estarán asociadas a una Infraestructura Crítica.

Fuente: Centro de Ciberseguridad Industrial (CCI)