Desde hace algunos años España, como el resto del mundo, se enfrenta a un cambio de escenario, con una serie de desafíos que dotan a la Seguridad Nacional de una mayor complejidad: el terrorismo internacional fundamentalmente, pero también la proliferación de armas de destrucción masiva o el crimen organizado, a los que debemos añadir los riesgos provenientes del ciberespacio, componen un muy complejo mapa de riesgos, amenazas y peligros que han llevado, en el ámbito de la Unión Europea, al desarrollo de un sistema de planificación de Seguridad y Protección de las infraestructuras críticas que comenzó a tomar forma con la aprobación de la Directiva 114/2008/CE.
La transposición de la mencionada Directiva dio lugar en España a la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas y al Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas. Ambas piezas definen el sistema organizativo de la Protección de Infraestructuras Críticas y establecen los mecanismos de coordinación.
El cuerpo normativo que, con origen en Europa, se va desarrollando, vela por la protección de las mencionadas infraestructuras tanto en el tramo nacional como atendiendo a la interconexión con el sistema europeo.
Recordemos que el artículo 2 apartado e. de la Ley 8/2011 define a las infraestructuras críticas como aquellas infraestructuras que siendo previamente estratégicas “su funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales”. La sociedad es enormemente vulnerable precisamente por su dependencia de estos servicios esenciales: electricidad, agua, alimentación, sanidad, etc. Y es esa vulnerabilidad la que motiva y da justificación al Sistema de Protección de Infraestructuras Críticas. Por ello, no es irrelevante recordar que ya la Estrategia de Seguridad Nacional de junio 2013 situaba a la Protección de las Infraestructuras Críticas como una de sus doce líneas de acción estratégicas.
Hay que destacar que todo el sistema de planificación de protección de infraestructuras críticas apunta a la prevención, defensa y mitigación contra el daño intencionado. El riesgo derivado de accidentes es atendido desde otros sistemas de planificación de seguridad y protección, lo que no obsta para que la normativa sobre protección de infraestructuras críticas asuma la necesidad de tener que integrar sistemas de planificación diversos, precisamente en persecución del objetivo de mitigar el daño causado. Así, el apartado k. del artículo 2 de la Ley define la Protección de Infraestructuras Críticas como “conjunto de actividades destinadas a asegurar la funcionalidad, continuidad e integridad de las infraestructuras críticas con el fin de prevenir, paliar y neutralizar el daño causado por un ataque deliberado contra dichas infraestructuras y a garantizar la integración de estas actuaciones con las demás que procedan de otros sujetos responsables dentro del ámbito de su respectiva competencia”. Insistamos en ello: el Sistema PIC no sólo asume la necesidad de tener que integrar sus actuaciones con otras de otros sujetos responsables, sino que, además, lo garantiza.
El sistema de planificación en España comienza con el Plan Nacional de Protección de Infraestructuras Críticas, que es el documento estructural que presta coherencia a todo el sistema, pues “permitirá dirigir y coordinar las actuaciones precisas para proteger las infraestructuras críticas en la lucha contra el terrorismo”.
El PNPIC, junto al Catálogo Nacional de Infraestructuras Estratégicas son las principales herramientas para la gestión de la seguridad de nuestras infraestructuras, y ambas han de sustentarse sobre la base de una coordinación eficaz entre Administraciones y gestores o propietarios de las infraestructuras. El PNPIC es un documento “clasificado conforme a lo que establece la legislación vigente en materia de secretos oficiales” que “establecerá los criterios y las directrices precisas para movilizar las capacidades operativas de las Administraciones públicas en coordinación con los operadores críticos, articulando las medidas preventivas necesarias para asegurar la protección permanente, actualizada y homogénea de nuestro sistema de infraestructuras estratégicas frente a las amenazas provenientes de ataques deliberados contra ellas”.
A partir del Plan Nacional se van desarrollando diferentes Planes Estratégicos Sectoriales -uno por cada uno de los sectores estratégicos; en algunos casos uno por cada subsector estratégico- cuya aprobación determina el hecho de que determinadas entidades sean designadas Operadores Críticos y determinadas instalaciones, asimismo, críticas.
El conocimiento del marco normativo del sector ha de ser el primer paso para el conocimiento profundo de su realidad, a partir de lo cual se pasará a trabajar en el análisis de la estructura sectorial y, tras ello, se realizará el análisis estratégico de riesgos y amenazas, es decir, aquellos riesgos y amenazas que puedan afectar a la Seguridad Nacional. En definitiva, el alcance territorial del PES es todo el territorio nacional.
El Plan Estratégico Sectorial (PES) nos ha de ofrecer, por tanto, un conocimiento a nivel estratégico del sector en cuestión. Es decir:
En el estudio estratégico de riesgos se deben analizar las vulnerabilidades y las amenazas, tanto físicas como lógicas. Y los resultados habrán de guiar los Planes de Seguridad del Operador del sector, dotando al Sistema de la congruencia necesaria. El Plan Estratégico Sectorial ofrecerá, además, a los Operadores Críticos recomendaciones sobre cómo afrontar la gestión de los riesgos, con atención específica al terrorismo y otras acciones deliberadas, que aún teniendo baja probabilidad de ocurrencia tuvieran un alto impacto sobre la ciudadanía.
Además de lo mencionado el PES nos ofrecerá propuestas, tanto técnicas como organizativas, que orienten la implantación de medidas que ayuden a contener los riesgos analizados previamente. Por lo que, finalmente, el Operador habrá de dotarse de medidas de carácter preventivo, como también de carácter reactivo, sin olvidar aquéllas que nos permitan, por un lado, mitigar los daños y consecuencias y, por otro, mantener la continuidad del servicio.
En resumen, el Plan Estratégico Sectorial debe obtener conocimiento completo de cómo funciona el sector, de qué se compone, cuáles son sus activos, qué es insustituible, etc., para guiar el trabajo de los Operadores dentro del Sistema PIC. El PES es elaborado por el Grupo de Trabajo Interdepartamental, bajo la coordinación de CNPIC y con la participación de los operadores; su aprobación corre a cargo de la Comisión Nacional para la Protección de las Infraestructuras Críticas.
Ricardo Vidal
Director de Seguridad Dpto. nº 967
Coordinador/Tutor de Curso Superior de Protección de Infraestructuras Críticas
de la Facultad de Derecho de la Universidad de Granada y Centro Andaluz de Estudios y Entrenamiento