Ley 8/2011: protección de infraestructuras críticas
La Ley 8/2011 aparece con un objetivo ambicioso: proporcionar la protección que, por su particular valor y vulnerabilidad, necesitan las infraestructuras críticas.
Resulta difícil sobreestimar la importancia de la conocida como ley PIC. A fin de cuentas, se trata de garantizar la funcionalidad e integridad de las infraestructuras críticas , neutralizando los posibles daños que las amenazan.
Las infraestructuras críticas resultan fundamentales para el funcionamiento de una sociedad. Como tales, un ciberataque exitoso podría poner en peligro no solo la seguridad nacional, sino la vida de los ciudadanos, además de tener graves consecuencias económicas.
Teniendo en cuenta que, en la actualidad, muchas de las infraestructuras críticas dependen en gran medida de la tecnología de la información y las comunicaciones, la protección contra los ciberataques se sitúa ahora en el centro de las preocupaciones.
En este sentido, la Ley 8/2011 trata de solventar algunas de las incógnitas con que se encuentran este tipo de operadores a la hora de protegerse ante las ciberamenazas.
Por ello, analizamos qué es exactamente la Ley 8/2011, qué implicaciones tiene para los operadores y algunas pautas clave para cumplirla.
¿Qué es la Ley 8/2011?
La Ley 8/2011, ley de protección de infraestructuras críticas o Ley PIC supone un esfuerzo para atender la seguridad y protección de infraestructuras críticas.
Más concretamente, aparece publicada en el BOE como Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
A modo de resumen, la Ley 8/2011 establece dos objetivos:
- Catalogación de infraestructuras críticas, es decir, las consideradas como esenciales. Se recogen en el Sistema Nacional de Protección de Infraestructuras Críticas, un compendio de las instituciones, órganos y empresas (tanto del sector público como del privado) con responsabilidad en el funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos. Algunos ejemplos incluyen el CNPIC, ministerios, CCAA, corporaciones locales, o grupos de trabajo sectoriales, entre otros.
- Determinación de las medidas de protección para estas infraestructuras, incluyendo la seguridad en tecnologías de la información y comunicaciones.
Reglamento PIC
En España, la protección de infraestructuras críticas se compone de tres documentos:
- La Directiva europea 2008/114/CE del Consejo del 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas a nivel europeo
- La Ley PIC, que traspasa la Directiva al contexto español y aparece como Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas.
- El Reglamento PIC (Real Decreto 704/2011, de 20 de mayo), que aprueba el reglamento efectivo que se aplicará a las infraestructuras críticas
Así, el reglamento PIC hace referencia al conjunto de regulaciones que se orientan a la protección de infraestructuras críticas.
A lo largo de este reglamento, se establecen asuntos como:
- Definición de responsabilidades de los agentes que integran el el Sistema de Protección de las Infraestructuras Críticas
- Establecimiento de los instrumentos de planificación de dicho Sistema.
- Definición de los mecanismos de protección específicos a desarrollar
Se ofrece así una perspectiva integral hacia la seguridad para infraestructuras críticas, considerando tanto aspectos físicos como cibernéticos. A su vez, este marco normativo permite aglutinar Administraciones Públicas y entidades privadas, regulando las medidas de protección adecuadas para cada caso.
Sectores designados como prestadores de servicios esenciales
Un aspecto importante de la Ley 8/2011 es su definición de las infraestructuras críticas como “aquellas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”.
Más concretamente, establece 12 categorías de infraestructuras críticas:
- Administración
- Agua
- Alimentación
- Energía
- Espacio
- Industria química
- Industria nuclear
- Instalaciones de investigación
- Salud
- Sistema financiero y tributario
- Tecnologías de la información y las comunicaciones
- Transporte
Principales aportaciones de la Ley PIC 8/2011
1. Definición de las infraestructuras críticas
La Ley 8/2011 contiene la definición de aquellas instituciones, órganos y empresas consideradas como críticas debido a su responsabilidad en el correcto funcionamiento de los servicios esenciales, o su papel directo en la seguridad de los ciudadanos.
Afecta a entidades procedentes tanto del sector público como del privado.
2. Sus textos normativos
La ley PIC define además un conjunto de textos normativos con medidas de protección a ejecutar por los integrantes del del Sistema de Protección de Infraestructuras Críticas.
Estos textos concretan por tanto las actuaciones que deben llevar a cabo los integrantes de este sistema, incluyendo los conocidos como PES (Planes Estratégicos Sectoriales), adjudicados a cada sector considerado como crítico, los PSO (Plan de Seguridad del Operador) y PPE (Plan de Protección Específico), ambos documentos que debe presentar cualquier operador considerado como crítico.
Establece además la obligación de la Administración competente (apoyada por el cuerpo policial) de desarrollar un PAO (Plan de Apoyo Operativo).
3. Realización de un Catálogo Nacional de Infraestructuras Estratégicas
Entre las medidas de la Ley 8/2011 se encuentra también la organización de la información completa de las características de cada una de las infraestructuras estratégicas nacionales. Para ello, se han habilitado plataformas específicas que lo facilitan, incluyendo el sistema HERMES.
4. INCIBE-CERT especializado
Si bien se cuenta con el CNPIC (Centro Nacional de Protección de Infraestructuras Críticas), la ley PIC pone asimismo en marcha el INCIBE, un CERT especializado en la protección ante ciberamenazas a las infraestructuras críticas a nivel nacional.
Factores a tener en cuenta para la implantación de las exigencias del reglamento PIC
A las exigencias planteadas por la Ley 8/2011 se une la Ley Orgánica 9/2022, de 28 de julio, que pone en marcha una serie de medidas adicionales para la protección de las infraestructuras críticas.
Se añade así la obligación de los Operadores Críticos a obtener una certificación respecto a las medidas tomadas, e incluirla en el Plan de Seguridad del Operador y los Planes de Protección Específicos.
En este sentido, algunos de los factores a tener en cuenta para garantizar el cumplimiento de la ley PIC por parte de los Operadores Críticos incluyen:
- Aprobación de los responsables previstos para ejecutar los planes y la certificación. Destaca el papel del Responsable de Seguridad y Enlace, que deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior; además del Delegado de Seguridad por cada infraestructura crítica
- Implicación de la organización a nivel integral, incluyendo la alta dirección
- Identificación de las infraestructuras críticas y el alcance de la normativa
- Elaboración del Plan de Seguridad del Operador (PSO) y de los Planes de Protección Específicos (PPEs), todo en función de los análisis de riesgos realizados
- La supervisión y el mantenimiento de estas medidas
En definitiva, la Ley 8/2011 establece toda una serie de medidas de profundo calado para los Operadores Críticos, en vistas a garantizar su continuidad y protección.
Desde S2 Grupo, nos ponemos del lado de la ciberseguridad integral con nuestra solución Gobierno, Riesgo y Cumplimiento. Ayudamos así a los Operadores Críticos en su camino hacia la ciberseguridad y el cumplimiento normativo. Como especialistas en ciberseguridad integral, logramos que las empresas obtengan la certificación que necesitan para cumplir la Ley 8/2011, poniendo además el foco en garantizar la seguridad de la información y las infraestructuras críticas. Ponte en contacto con nosotros y descubre cómo podemos ayudarte.
