En el año 2011, la inmensa mayoría de personas se enteró de que España abordaba un nuevo desafío para proteger determinadas infraestructuras esenciales para nuestro día a día: las infraestructuras críticas. El 28 de abril de dicho año se publicaba una ley, que todos conoceríamos como PIC, que recogía las cuestiones que se debían establecer para determinados tipos de entidades en unas instalaciones concretas. Sería un organismo creado en 2007 el que determinaría qué era o no infraestructura crítica. Lo peculiar, en ese momento, es que esto venía precedido de una Directiva del Consejo de la Unión Europea: la 2008/114. Esto ahora parece algo bastante normalizado, no era tan frecuente hace más de una década.

Años después y con la lógica evolución, también en lo relativo a ataques y los riesgos, la Unión Europea toma la decisión de dar una vuelta a esto de las infraestructuras críticas. Con los procesos de normalización como DORA, NIS2 o CRA por poner ejemplos, no podía ser que entidades clave para Europa quedarán sin homogeneizar a nivel de seguridad, aunque con las particularidades de características físicas de estos entornos. Así, en 2022, a través de la Directiva 2557 de resiliencia de las entidades críticas, se daba el banderazo de salida para que, a partir de enero del 2023, los países miembros llevaran a cabo su transposición.

Si hay sectores que ya están regulados por otra norma, no les será de aplicación la futura ley

Esto suena a lo de NIS2, en muchos aspectos, ¿no? Pues recientemente se ha hecho pública el anteproyecto de ley para dicha transposición. Es realmente un camino paralelo a la de la NIS2, ya que son necesarias las dos normas para hablar de forma homogeneizada en una escala de criticidad de entidades. Liderado por el Ministerio de Interior, el anteproyecto tiene un marcado acento en la evaluación orientado al riesgo. Es algo que ya existía en la ley todavía en vigor, pero quizás no de una manera tan acusada. Aquí, nuevamente se ve esa necesidad de homogeneización con el conjunto de directivas que en estos años han salido de la Unión Europea, donde la orientación al riesgo es una máxima.

Hay peculiaridades para establecer quién o quién no está supeditado a esta ley. Igual que con la NIS2. Si hay sectores que ya están regulados por otra norma, no les será de aplicación la futura ley, por mucho que actualmente estén recogidos por la Ley de Infraestructuras Críticas. Es el caso del sector bancario, donde la normativa DORA, que es específica para ellos hace que no sea requerido que les apliquen dos leyes homogeneizadas de forma concurrente. Ya hablamos en su momento con NIS2, del concepto de que una ley especial o específica prevalece sobre la general. Pues aquí, ocurre lo mismo.

El anteproyecto establece también el cambio del actual órgano del Ministerio del Interior encargado del impulso, la coordinación y supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad en relación con la Protección de Infraestructuras Críticas en el territorio nacional: el CNPIC. Pasará a denominarse CNPREC: el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas, siendo el punto de contacto único para las entidades críticas, a excepción de entidades públicas, que en su dependencia con una Administración Pública podrá emplear este como autoridad de comunicación. Este órgano elaborará el Plan Nacional de Protección y Resiliencia de Entidades Críticas.

Es importante no solo la necesidad de recuperarse ante un impacto, sino aprender para salir reforzado

Ese punto de resiliencia parece que no, pero cambia algunas cosas. Uno importante es no solo la necesidad de recuperarse ante un impacto, sino aprender para salir reforzado, anticiparse cuando sea factible y también comunicar. Y otro aspecto que también puede pasar por alto al principio, pero que tiene un impacto muy serio, es que no hablamos de Infraestructuras Críticas, hablamos ya de Entidades Críticas. Por lo tanto, hay un cambio de actuación, expandiendo la aplicación de la norma en un concepto muy superior al que previamente se daba centrado en instalaciones concretas de una entidad.

Será también este organismo el que defina el Esquema Nacional de Certificación en materia de resiliencia de entidades críticas y normas de estandarización. Este esquema vendrá a sustituir a los documentos, procesos y gobernanza que actualmente las entidades nombradas como infraestructura críticas, han desarrollado a través de los Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE). Aunque no se conoce todavía dicho Esquema, muy probablemente es fácil aventurarse a deducir que estará alineado con otros estándares ya existentes, y que muchas entidades privadas y pública están ya aplicando. 

Las similitudes con NIS 2 son más que evidentes, pero hay alguna cuestiones propias por la sensibilidad de este tipo de infraestructuras:

• La consideración de las amenazas físicas, incluyendo también los riesgos tanto de índole meteorológicos como los derivados de desastres naturales.
• La posibilidad de llevar a cabo la solicitud de investigación de idoneidad de una persona a través de sus antecedentes personales para operar en una entidad crítica.
• Tomar en consideración como probables, riesgos que tengan una naturaleza híbrida. Es decir, que puedan provenir de un ataque físico y lógico de forma vinculada.

Así con esta futura ley tendremos establecidos los requisitos, regulación y comunicación de Entidades Críticas. Y, con la también futura aprobación de la transposición de la NIS2, de las entidades esenciales e importantes. Todos armonizados y regulados. Con la cadena de suministro además en el foco, parece que no vaya a haber empresa en toda Europa que esté ajena a estas normas.