Este es un tema de Compliance; es decir, que tenemos que cumplir la ley.  ¿Qué ley? En este caso es la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas”, así como el Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Hay más normas relacionadas que luego iremos comentando, pero por ahora nos centramos en estas dos.

• Servicio Esencial, Ley de infraestructuras Críticas, ¿qué es esto?
• Ley 8/2011, art. 2. Definiciones.

“A los efectos de la presente Ley, se entenderá por:

1. a) Servicio esencial: el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas; (…)
2. e) Infraestructuras críticas: las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.”

Resumiendo, que las Infraestructuras Críticas son los activos o elementos que dan soporte al Servicio Esencial.

Vale, pero yo sigo igual. ¿Qué son las Infraestructuras Críticas?

Las Infraestructuras Críticas son el conjunto de activos esenciales para el funcionamiento de una sociedad y de su economía y que son:

• Necesarias para suministro de servicios esenciales.
• Indispensables. No hay solución alternativa.
• De carácter públicos y/o privados.
• Con grave impacto sobre la sociedad.

Una vez entrados en materia, destacar un detallito, esta información es secreta:

• Ley 8/2011, Art. 3:

“El Catálogo Nacional de Infraestructuras Estratégicas tiene, conforme a lo dispuesto en la legislación vigente en materia de secretos oficiales, la calificación de SECRETO, conferida por Acuerdo de Consejo de Ministros de 2 de noviembre de 2007”

Por lo tanto, olvidaros de iros a las Redes Sociales a pregonar que el Servicio X, de la empresa Y, ha sido nombrado Servicio Esencial. Un poquito de mesura.

Continuamos con la Ley 8/2011. Vamos a destacar uno de los pilares fundamentales, los roles.

En cuanto a los roles, se deben crear los siguientes:

• Artículo 16. El Responsable de Seguridad y Enlace.
• 1. Los operadores críticos nombrarán y comunicarán al Ministerio del Interior un Responsable de Seguridad y Enlace con la Administración en el plazo que reglamentariamente se establezca.
• 2.En todo caso, el Responsable de Seguridad y Enlace designado deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior según lo previsto en la normativa de seguridad privada o con la habilitación equivalente, según su normativa específica.”

• Artículo 17. El Delegado de Seguridad de la Infraestructura Crítica.

“1. Los operadores con Infraestructuras consideradas Críticas o Críticas Europeas por el Ministerio del Interior comunicarán a las Delegaciones del Gobierno o, en su caso, al órgano competente de la Comunidad Autónoma con competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público donde aquéllas se ubiquen, la existencia de un Delegado de Seguridad para dicha infraestructura.”

Otro de los pilares son los planes, estos se encuentran en el RD 704/2011.

De los planes que se mencionan en este RD:

1. 1. CAPÍTULO I. El Plan Nacional de Protección de las Infraestructuras Críticas
   2. CAPÍTULO II. Los Planes Estratégicos Sectoriales

• CAPÍTULO III. Los Planes de Seguridad del Operador

• CAPÍTULO IV. Los Planes de Protección Específicos

1. CAPÍTULO V. Los Planes de Apoyo Operativo

Solo están bajo nuestra responsabilidad el tres y el cuatro, que es donde vamos a poner el foco.

• ¿Qué es un Plan de Seguridad del Operador (PSO)?
• Art. 22. 1:

“1. Los Planes de Seguridad del Operador son los documentos estratégicos definidores de las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.”

• ¿Qué debe contener dicho Plan?
• Política general y marco de gobierno.
• Relación de servicios esenciales.
• Metodología de AARR (amenazas físicas y lógicas).
• Criterios de aplicación de medidas de seguridad integral.
• Documentación complementaria.

• ¿Cuánto tiempo tenemos para presentarlo?

• Art. 22. 2:

“2. En el plazo de seis meses a partir de la notificación de la resolución de su designación, cada operador crítico deberá haber elaborado un Plan de Seguridad del Operador y presentarlo al CNPIC, que lo evaluará y lo informará para su aprobación, si procede, por el Secretario de Estado de Seguridad u órgano en el que éste delegue.”

• ¿Cada cuánto tiempo se revisa
• Artículo 24:

“1. Los Planes de Seguridad del Operador deberán ser revisados cada dos años por los operadores críticos y aprobados por el CNPIC. Éste podrá requerir en cualquier momento información concreta sobre el estado de implantación del Plan de Seguridad del Operador.”

• ¿Y un Plan de Protección Específico (PPE)?
• Art. 25:

“Los Planes de Protección Específicos son los documentos operativos donde se deben definir las medidas concretas ya adoptadas y las que se vayan a adoptar por los operadores críticos para garantizar la seguridad integral (física y lógica) de sus infraestructuras críticas.”

Deben estar alineados con el PSO y contener:

• Organización de la seguridad.
• Descripción de la infraestructura.
• Resultado del AARR: medidas de seguridad (existentes y por implementar) permanentes, temporales y graduales, para las diferentes tipologías de activos a proteger y según los diferentes niveles de amenaza declarados a nivel nacional.
• Plan de acción propuesto (por cada activo evaluado en el AARR).
• Art. 25:

“En el plazo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador, cada operador crítico deberá haber elaborado un Plan de Protección Específico por cada una de sus infraestructuras críticas así consideradas por la Secretaría de Estado de Seguridad y presentarlo al CNPIC. Igual procedimiento y plazos se establecerán cuando se identifique una nueva infraestructura crítica.”

• Art. 27:

“1. Los Planes de Protección Específicos deberán ser revisados cada dos años por los operadores críticos”

Mencionar, que para ambos planes existen unas guías de buenas prácticas donde se desarrollan todas las actividades necesarias.

Y para finalizar con este RD, destacar nuestro punto de contacto:

• Art. 7. El Centro Nacional para la Protección de las Infraestructuras Críticas.

“El CNPIC del Ministerio del Interior, orgánicamente dependiente de la Secretaría de Estado de Seguridad, tendrá el nivel orgánico que se determine en la correspondiente relación de puestos de trabajo, y desempeñará las siguientes funciones:

1. a) Asistir al Secretario de Estado de Seguridad en la ejecución de sus funciones en materia de protección de infraestructuras críticas, actuando como órgano de contacto y coordinación con los agentes del Sistema.»

Como hemos mencionado al principio, existen otras dos leyes que hay que tener en cuenta. 

El 6 de julio del 2016, el Parlamento Europeo aprobó la Directiva 2016/1148, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, conocida como la Directiva NIS (Security of Network and Information Systems).

Este Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, es la transposición de la citada Directiva NIS al ordenamiento jurídico español.

• ¿Y qué tiene que ver con la Ley 8/2011 de Infraestructuras Críticas?
• Lo vemos en su Art. 1:

“1. El presente real decreto-ley tiene por objeto regular la seguridad de las redes y sistemas de información utilizados para la provisión de los servicios esenciales y de los servicios digitales, y establecer un sistema de notificación de incidentes.”

De esta ley destacamos dos puntos cruciales:

• Art.16.3:

“Responsable de Seguridad de la Información: Persona, unidad u órgano colegiado responsable de la seguridad de la información»

Este rol es diferente de los dos anteriores.

• Título VII, Régimen Sancionador. Art. 37:

Infracción Grave o Muy Grave (hasta 1.000.000 €)»

Este régimen sancionador se suma a los ya aplicables, como son:

• L.O. DE SEGURIDAD CIUDADANA: Art. 35 – Infracción Grave (hasta 600.000 €)
• LEY DE SEGURIDAD PRIVADA: Art. 59 – Infracción Grave o Muy Grave (Hasta 100.00 €)

Y no solo sanciones administrabas, también podemos tener sanciones penales:

• Hasta 3 años de Cárcel (CP). Art. 264: Daños informáticos en Infraestructuras Críticas. Arts. 263-267: Daños por negligencia, falta de diligencia u omisión
• Hasta 5 años de Cárcel (CP). Art 325: Contra el medio ambiente y el entorno

Y, por último, tenemos el Real Decreto 43/2021, de 26 de enero, por el que se desarrolla el Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información.

Este Real Decreto profundiza en un punto primordial de la gestión de la seguridad, como es la Gestión de Incidentes. 

Ya no se habla de si habrá o no habrá un incidente. Hoy en día, de lo que se habla es de cuándo se producirá un incidente y de cómo responderemos a dicho incidente.

Espero que este breve resumen os ayude a afrontar el reto de ser nombrado Servicio Esencia.

Tomás González

Equipo Govertis