Hay palabras que, al pronunciarse, reclaman acción. “Infraestructura crítica” no remite a un concepto neutro, técnico o burocrático. Apunta, más bien, a la fragilidad de lo esencial. En la base del sistema que sostiene la vida moderna -hospitales, agua potable, comunicaciones, suministro eléctrico- laten dispositivos que, si se apagan, apagan también el orden social. La energía es, en este sentido, más que un servicio: es un símbolo de continuidad y una tentación para quienes buscan alterarla.
España ha construido desde 2011 una arquitectura legal y operativa para proteger sus infraestructuras críticas. El Sistema PIC (Protección de Infraestructuras Críticas), impulsado por la Ley 8/2011 y desarrollado mediante un conjunto de planes, protocolos y catálogos, articula el marco de actuación para prevenir, detectar y responder ante amenazas físicas y cibernéticas que puedan afectar a sectores estratégicos, el energético entre ellos. No se trata solo de garantizar la disponibilidad de electricidad, gas o carburantes, sino de blindar la estabilidad del país frente a interrupciones deliberadas.
La securitización, entendida como el proceso por el cual un fenómeno es tratado como un problema de seguridad nacional, adquiere aquí un matiz técnico y jurídico. La infraestructura energética -centrales nucleares, redes eléctricas, oleoductos, plantas de regasificación- ha dejado de ser solo una cuestión de ingeniería o economía para pasar al terreno de lo securitario. Esta transición implica una doble transformación: en la forma en que el Estado percibe sus activos y en la forma en que se relaciona con los operadores que los gestionan.
Los atentados del 11-S en Estados Unidos, y su eco posterior en Europa, sirvieron como catalizador. Ya no se trataba únicamente de defender fronteras, sino de proteger nodos invisibles: transformadores, centros de control, servidores. Era ineludible, por tanto, la identificación de los sectores estratégicos y de los operadores esenciales. Más tarde se crea un sistema colaborativo en el que convergen Fuerzas y Cuerpos de Seguridad, operadores privados y organismos reguladores.
La clave reside en un principio: no se puede proteger lo que no se ha identificado ni evaluado. Por eso, en España, el Catálogo Nacional de Infraestructuras Estratégicas (CNIE), de carácter reservado, se convierte en piedra angular. En él se recoge el listado de infraestructuras cuya afectación tendría un impacto grave en la seguridad nacional. En el sector energético, estas pueden incluir, por ejemplo, centros neurálgicos de operación y distribución eléctrica, plantas de regasificación o depósitos estratégicos de hidrocarburos.
La arquitectura normativa del Sistema PIC en España se construye en torno a una lógica escalonada. A partir del Plan Nacional de Protección de Infraestructuras Críticas se crea un subnivel en el que se encuentran los Planes Estratégicos Sectoriales (PES), elaborados por los ministerios responsables, donde se identifican las amenazas principales del sector, se caracterizan los activos estratégicos y se marcan las líneas de protección generales. Son documentos de alto nivel, cuyo propósito no es bajar al detalle operativo, sino fijar un marco doctrinal de referencia para los operadores esenciales.
Del PES nace un compromiso más concreto: el Plan de Seguridad del Operador (PSO). Este documento, de elaboración obligatoria para cada operador crítico designado, traduce las directrices del PES a la realidad de la organización. Su finalidad es presentar una visión global del enfoque de seguridad del operador, describiendo sus sistemas de gestión, cultura preventiva, recursos humanos y técnicos destinados a la protección de activos esenciales. El PSO permite al Estado conocer la capacidad de autoprotección de la entidad, no solo desde una óptica técnica, sino también organizativa y estratégica. Aquí se valora la implicación de la alta dirección, la articulación de funciones, la formación del personal y la capacidad de adaptación frente a situaciones extraordinarias.
Solo una vez aprobado el PSO, cada operador debe desarrollar los Planes de Protección Específicos (PPE), que aterrizan en la infraestructura concreta. Cada PPE define con precisión las medidas físicas, organizativas y tecnológicas previstas para proteger una instalación determinada. Incluye análisis de vulnerabilidades, controles de acceso, protección perimetral, videovigilancia, procedimientos ante incidentes y medidas de recuperación. Además, estos planes deben estar coordinados con los dispositivos de seguridad pública, en especial con Policía Nacional y Guardia Civil, a través de los interlocutores policiales designados.
En este ecosistema, el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) ejerce de órgano vertebrador. Su papel no es solo supervisar la documentación presentada, sino también impulsar una cultura de seguridad basada en la colaboración público-privada. Emite instrucciones técnicas, valida estructuras de respuesta, promueve ejercicios y simulacros, y canaliza flujos de información en situaciones de alerta.
Las amenazas físicas, aunque menos sofisticadas, no han desaparecido: desde sabotajes hasta intrusiones físicas no autorizadas. Pero el riesgo más dinámico se aloja en el entorno digital. El sector energético español es blanco habitual de ataques tipo ransomware, intrusiones mediante phishing dirigido o intentos de suplantación de sistemas SCADA. Esta dimensión cibernética obliga a que los PPE integren capas de ciberdefensa, cifrado, segmentación de redes y monitorización continua. En este punto, la coordinación con el CCN-CERT y los CSIRT sectoriales es imprescindible.
No basta con tener planes: es necesario que estén vivos. Revisados, testeados y asumidos por quienes deben aplicarlos. Porque la verdadera frontera entre vulnerabilidad y resiliencia no está en el papel, sino en la capacidad real de activar una respuesta sincronizada cuando todo falla.
El Sistema de Protección de Infraestructuras Críticas (PIC), impulsado por la Ley 8/2011, ha dotado a España de una arquitectura legal robusta para afrontar los riesgos que pesan sobre el funcionamiento de sectores estratégicos. Este andamiaje normativo ha permitido identificar operadores esenciales, diseñar planes escalonados (PES, PSO y PPE) y establecer cauces de colaboración público-privada. Sin embargo, la realidad ha demostrado que un marco jurídico, por sí solo, no basta para prevenir el colapso cuando confluyen múltiples factores operativos, técnicos y sociales.
Los apagones recientes en España (2025) y República Checa (2025), junto con la lección histórica de Nueva York en 1977, muestran que los fallos en cascada rara vez obedecen a una única causa. Más bien, son el resultado de una secuencia encadenada de vulnerabilidades, en las que el derecho positivo, si no se adapta a tiempo, corre el riesgo de convertirse en blindaje formal de sistemas estructuralmente frágiles. A pesar de que la Directiva (UE) 2022/2557 y el marco NIS2 han actualizado los criterios de resiliencia, la transposición efectiva en España ha sido parcial y lenta. La falta de mecanismos sancionadores eficaces, de auditorías técnicas independientes y de obligaciones claras para las energías renovables intermitentes genera huecos en la red que la legislación aún no ha cerrado.
La caída del sistema eléctrico español el 28 de abril de 2025, con una pérdida súbita del 60 % de la carga en menos de cinco segundos, reveló que algunos de estos huecos no eran meras hipótesis. Se materializaron en forma de desconexiones masivas, respuestas automáticas fallidas y ausencia de reservas sincronizadas para contener la caída. Ni los protocolos de prevención, ni los simulacros, ni la existencia de planes documentados evitaron que el país quedara a oscuras durante horas. En este contexto, la efectividad del Sistema PIC no debe medirse por la solidez de sus papeles, sino por su capacidad real de mantener en pie una red en plena conmoción.
Uno de los dilemas más profundos a los que se enfrenta la securitización de infraestructuras críticas es el equilibrio entre seguridad y transparencia. El apagón de España en abril de 2025 ha puesto en evidencia esta tensión: mientras el sistema eléctrico colapsaba, la información oficial se “dosificaba” y las responsabilidades quedaban difusas entre operadores, generadoras, distribuidoras y organismos públicos. La ciudadanía, en su desconcierto, recibía partes parciales, explicaciones técnicas fragmentadas y una narrativa de «efectos en cascada» que pocos entendieron y muchos interpretaron como evasiva.
La reacción de países vecinos y organismos internacionales fue inmediata. Austria, por ejemplo, criticó la falta de asunción clara de responsabilidades, destacando la falta de explicaciones completas sobre el origen real del fallo. En paralelo, medios como The New York Times o El País señalaban la opacidad con que se gestionó el informe oficial. Incluso desde dentro del Gobierno español se apuntó a que la falta de comunicación transparente había perjudicado la credibilidad institucional en la gestión de crisis técnicas.
Este patrón no es nuevo. En 1977, cuando la ciudad de Nueva York sufrió uno de los apagones más extensos de su historia, el desconcierto institucional fue similar, pero con consecuencias aún más graves: saqueos, incendios, disturbios masivos y una erosión profunda de la confianza pública. La diferencia es que, entonces, no existía una estructura como el Sistema PIC. Hoy, sin embargo, sí la hay. Y cuando las normas existen pero no se aplican con transparencia, el efecto puede ser incluso más corrosivo: la norma deja de inspirar confianza para convertirse en coartada.
Si la securitización quiere ser más que una formalidad, debe construir narrativas operativas claras, planes conocidos y responsabilidades trazables. De lo contrario, cada apagón no solo apagará luces: apagará también legitimidades.
La seguridad de una infraestructura crítica no se prueba ni en las reuniones ni en los informes. Se prueba en la calle, cuando todo falla. Y en ese sentido, los apagones de República Checa (julio de 2025) y de España (abril de ese mismo año) han sido pruebas en vivo, no planificadas, del estado real de preparación de los sistemas de respaldo. En el caso de la República Checa, un simple fallo en un cable de fase provocó la caída de subestaciones clave, paralizó el metro de Praga y obligó a hospitales, prisiones y otras instalaciones a operar con generadores. No hubo ataque, no hubo ciberamenaza, no hubo fallo estructural: solo un elemento mal supervisado que arrastró al resto.
En España, la situación fue aún más compleja. Las unidades de respaldo no arrancaron como se esperaba, los protocolos de arranque en negro no se aplicaron de forma simultánea y la coordinación entre operadores dejó huecos. En algunas zonas, la recuperación se produjo en tres horas; en otras, tardó más de diez. Las líneas de comunicación entre operadores críticos, fuerzas de seguridad y organismos técnicos no funcionaron con la fluidez esperada en un país con uno de los marcos normativos más avanzados de Europa en materia de protección de infraestructuras.
Todo ello demuestra que el Sistema PIC, con todo su andamiaje, necesita descender más al terreno. Simulacros híbridos, pruebas de estrés, ejercicios de recuperación sin previo aviso, supervisión de los PSO y PPE más allá del papel. Porque si no se entrena el sistema como si el fallo fuera a ocurrir mañana, lo que ocurre es que el sistema falla cuando el fallo llega. Y eso no se puede permitir. Porque el fallo no es una posibilidad abstracta. Como mostraron Nueva York, España y Praga, el fallo llega. La pregunta es si el sistema que debería proteger lo esencial estará, entonces, despierto. O si lo encontraremos también a oscuras.
