Tema 15 — La protección de las infraestructuras críticas
Marco normativo: la Ley 8/2011
La protección de las infraestructuras críticas en España se regula principalmente por la Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas, y su Reglamento de desarrollo aprobado por Real Decreto 704/2011, de 20 de mayo. Esta normativa transpone la Directiva 2008/114/CE del Consejo, relativa a la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.
La ley se inserta en el marco del Sistema de Seguridad Nacional y tiene como objetivo establecer las estrategias y estructuras adecuadas que permitan dirigir y coordinar las actuaciones de los distintos órganos de las administraciones públicas en materia de protección de infraestructuras críticas. También regula la participación del sector privado, dado que la mayor parte de estas infraestructuras son de titularidad o gestión privada.
El sistema español de protección de infraestructuras críticas se denomina Sistema de Protección de Infraestructuras Críticas (SPIC) y es un conjunto de organismos, órganos y procedimientos que tienen como finalidad asegurar la protección de las infraestructuras críticas nacionales frente a cualquier amenaza, ya sea terrorista, tecnológica, natural o de cualquier otro tipo.
Datos clave
- Ley 8/2011, de 28 de abril: ley principal
- Reglamento: Real Decreto 704/2011, de 20 de mayo
- Transpone Directiva 2008/114/CE
- Sistema denominado SPIC (Sistema de Protección de Infraestructuras Críticas)
- Amenazas cubiertas: terroristas, tecnológicas, naturales y otras
- Gran parte de infraestructuras: titularidad o gestión privada
Concepto de infraestructura crítica e infraestructura estratégica
La Ley 8/2011 establece una distinción fundamental entre infraestructura estratégica e infraestructura crítica. Se entiende por infraestructura estratégica el conjunto de instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales para la sociedad española.
Las infraestructuras críticas son el subconjunto de las infraestructuras estratégicas cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Esta doble graduación permite enfocar los esfuerzos de protección más intensiva hacia las infraestructuras de mayor relevancia.
Para identificar si una infraestructura debe ser calificada como crítica se aplican criterios horizontales —como el impacto en la salud pública, el número de afectados, el impacto económico y el impacto medioambiental— y criterios sectoriales específicos para cada sector estratégico. La designación formal como infraestructura crítica da lugar a la aplicación de todas las medidas de protección previstas en la ley.
Datos clave
- Infraestructura estratégica: base del funcionamiento de los servicios esenciales
- Infraestructura crítica: subconjunto estratégico; sin alternativas, impacto grave si se perturba
- Criterios de identificación: horizontales (impacto salud, número afectados, económico, medioambiental) y sectoriales
- Designación formal: aplica todas las medidas de protección de la ley
- Distinción entre estratégica y crítica: clave para la intensidad de la protección
- Marco: artículos 2 y 4 de la Ley 8/2011
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC)
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) es el órgano directivo del Ministerio del Interior responsable del impulso, coordinación y supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad en relación con la protección de las infraestructuras críticas nacionales. Fue creado en 2007, antes de la aprobación de la Ley 8/2011, y asumió sus funciones con plena cobertura legal con la entrada en vigor de esta.
Entre las funciones del CNPIC se encuentran: la elaboración y actualización del Catálogo Nacional de Infraestructuras Estratégicas y Críticas; la elaboración de planes y normativa en materia de protección; la supervisión de la implantación de los planes de protección; la coordinación con los operadores críticos; el intercambio de información con los organismos análogos de otros países; y la elaboración de las guías de buenas prácticas para los sectores estratégicos.
El CNPIC actúa como punto de contacto con la Unión Europea y con otros países para los asuntos relacionados con la protección de infraestructuras críticas europeas. Asimismo, coopera estrechamente con el Centro Nacional de Inteligencia (CNI) y con el Centro de Inteligencia contra el Terrorismo y el Crimen Organizado (CITCO) en el análisis de amenazas.
Datos clave
- CNPIC: creado en 2007, regulado legalmente por Ley 8/2011
- Dependencia: Secretaría de Estado de Seguridad (Ministerio del Interior)
- Elabora y actualiza el Catálogo Nacional
- Punto de contacto con la UE para infraestructuras críticas europeas
- Coopera con CNI y CITCO en análisis de amenazas
- Supervisa la implantación de planes de protección
Sectores estratégicos
La Ley 8/2011 y su reglamento identifican doce sectores estratégicos en los que se encuadran las infraestructuras críticas nacionales. Estos sectores son: administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y comunicaciones (TIC), transporte, alimentación y sistema financiero y tributario.
Cada sector estratégico está supervisado por un Ministerio de referencia —denominado Ministerio Responsable del Sector (MRS)— que elabora los Planes Estratégicos Sectoriales (PES) y designa a un responsable de la coordinación dentro del propio ministerio. Los operadores críticos deben comunicarse con el CNPIC a través del cauce establecido por el MRS correspondiente.
La inclusión de nuevos sectores o la modificación de los existentes puede realizarse por resolución del Consejo de Ministros a propuesta del Ministerio del Interior, previo informe de la Comisión Nacional para la Protección de las Infraestructuras Críticas. La dinámica tecnológica y las nuevas amenazas hacen que la lista de sectores estratégicos esté sujeta a revisión periódica.
Datos clave
- 12 sectores estratégicos identificados por la Ley 8/2011
- Sectores: administración, espacio, nuclear, química, investigación, agua, energía, salud, TIC, transporte, alimentación, sistema financiero
- Ministerio Responsable del Sector (MRS): elabora Planes Estratégicos Sectoriales
- Modificación de sectores: Consejo de Ministros previo informe CNPIC
- Cada operador crítico se coordina a través del MRS
- Lista sujeta a revisión periódica
El Catálogo Nacional de Infraestructuras Estratégicas y Críticas
El Catálogo Nacional de Infraestructuras Estratégicas y Críticas es el registro administrativo en el que se inscriben todas las infraestructuras estratégicas del territorio nacional, con indicación de cuáles de ellas tienen la condición de críticas. Es elaborado y mantenido por el CNPIC, tiene carácter reservado y su contenido está sujeto al más estricto secreto en aplicación de la Ley de Secretos Oficiales.
El catálogo es la herramienta básica de la política de protección de infraestructuras críticas, ya que permite conocer en todo momento el mapa de activos esenciales del país y el nivel de protección que recibe cada uno de ellos. La inclusión en el catálogo tiene efectos jurídicos directos: los operadores de las infraestructuras incluidas quedan sujetos a las obligaciones de la Ley 8/2011, en particular a la elaboración de los planes de protección previstos en la norma.
La actualización del catálogo es continua, y las altas y bajas se producen a propuesta de los Ministerios Responsables de Sector y de los Delegados del Gobierno, tras el correspondiente proceso de evaluación y ponderación de los criterios de criticidad establecidos en la ley.
Datos clave
- Catálogo elaborado y mantenido por el CNPIC
- Carácter reservado; sometido a la Ley de Secretos Oficiales
- Inclusión: conlleva obligaciones de la Ley 8/2011 para el operador
- Altas y bajas a propuesta de MRS y Delegados del Gobierno
- Base para conocer el mapa de activos esenciales del país
- Actualización continua
Los operadores críticos: concepto y obligaciones
Los operadores críticos son las entidades —públicas o privadas— responsables de las inversiones o del funcionamiento cotidiano de una infraestructura que ha sido designada como crítica por el CNPIC. Su designación formal como operadores críticos comporta una serie de obligaciones establecidas en la Ley 8/2011 y en el Real Decreto 704/2011.
La principal obligación de los operadores críticos es la elaboración, implantación y mantenimiento actualizado del Plan de Seguridad del Operador (PSO) y del Plan de Protección Específico (PPE) para cada una de sus infraestructuras críticas. Además, deben nombrar a un Responsable de Seguridad y Enlace (RSE), que actúa como interlocutor único con el CNPIC y con las Fuerzas y Cuerpos de Seguridad.
Los operadores también están obligados a comunicar al CNPIC e inmediatamente a las autoridades competentes cualquier incidente o amenaza que pueda afectar a la seguridad de sus infraestructuras, a colaborar en las inspecciones y auditorías ordenadas por la autoridad competente y a financiar las medidas de protección que se les impongan dentro de los márgenes establecidos por la ley.
Datos clave
- Operadores críticos: entidades públicas o privadas responsables de infraestructuras críticas
- Obligación: elaborar y mantener PSO y PPE
- Designar un Responsable de Seguridad y Enlace (RSE)
- Comunicar incidentes y amenazas al CNPIC y autoridades competentes
- Colaborar en inspecciones y auditorías
- Financiar las medidas de protección impuestas
El Plan Estratégico Sectorial (PES) y el Plan de Protección Específico (PPE)
El Plan Estratégico Sectorial (PES) es el instrumento de planificación elaborado por cada Ministerio Responsable de Sector en coordinación con el CNPIC. Contiene el análisis de los riesgos específicos del sector, las medidas de prevención y protección generales aplicables a todas las infraestructuras del sector, los criterios de evaluación y priorización, y las líneas de coordinación entre los operadores y las autoridades competentes.
El Plan de Protección Específico (PPE) es el documento operativo elaborado por el operador crítico para cada una de sus infraestructuras críticas. Desarrolla las medidas concretas de seguridad aplicables a esa infraestructura en particular, teniendo en cuenta su naturaleza, sus vulnerabilidades específicas y las amenazas identificadas. El PPE debe ser aprobado por el Secretario de Estado de Seguridad, previo informe del CNPIC.
Ambos planes deben actualizarse periódicamente y revisarse cuando se produzcan cambios significativos en la infraestructura, en el entorno de amenaza o en la normativa aplicable. La confidencialidad de los planes es esencial para no facilitar información a potenciales agresores.
Datos clave
- PES: elaborado por el Ministerio Responsable de Sector
- Contiene: análisis de riesgos, medidas generales, criterios de evaluación
- PPE: elaborado por el operador crítico para cada infraestructura
- PPE aprobado por: Secretario de Estado de Seguridad
- Ambos planes: actualización periódica obligatoria
- Confidencialidad: esencial para ambos planes
El Plan de Seguridad del Operador (PSO) y el Plan de Apoyo Operativo (PAO)
El Plan de Seguridad del Operador (PSO) es el documento marco de seguridad integral elaborado por cada operador crítico que engloba el conjunto de sus políticas generales de seguridad para todas las infraestructuras críticas bajo su responsabilidad. A diferencia del PPE, el PSO tiene un carácter estratégico y horizontal y no se refiere a una infraestructura concreta sino al operador en su conjunto. Debe ser remitido al CNPIC y aprobado por el Secretario de Estado de Seguridad.
El Plan de Apoyo Operativo (PAO) es el instrumento elaborado por las Fuerzas y Cuerpos de Seguridad y, en su caso, por las Fuerzas Armadas, para el reforzamiento de la protección de infraestructuras críticas en supuestos de elevación del nivel de amenaza. Define los mecanismos de coordinación entre las FCS y los operadores, las actuaciones de vigilancia y protección adicionales que deben desplegarse, y los protocolos de respuesta ante incidentes.
La articulación entre PSO, PPE y PAO forma el núcleo del sistema de planificación de la protección de infraestructuras críticas. Estos planes se complementan entre sí y deben guardar coherencia con el Plan Nacional de Protección de las Infraestructuras Críticas (PNPIC), que es el documento de referencia estratégica del SPIC.
Datos clave
- PSO: plan marco del operador para todas sus infraestructuras; aprobado por Secretario de Estado de Seguridad
- PAO: elaborado por FCS y en su caso Fuerzas Armadas
- PAO: entra en vigor al elevar el nivel de amenaza
- Jerarquía: PNPIC -> PES -> PSO -> PPE / PAO
- PSO: carácter estratégico y horizontal del operador
- PPE: carácter operativo para infraestructura específica
Comisión Nacional y estructuras de coordinación
La Ley 8/2011 crea la Comisión Nacional para la Protección de las Infraestructuras Críticas, órgano colegiado de máximo nivel adscrito al Ministerio del Interior, presidido por el Secretario de Estado de Seguridad. Está integrada por representantes de los ministerios con responsabilidad sectorial, de las comunidades autónomas, de las fuerzas armadas y de los operadores críticos más representativos. Sus funciones son la aprobación de los planes estratégicos sectoriales, la evaluación del nivel de amenaza y la coordinación general del SPIC.
Por debajo de la Comisión Nacional existen los Grupos de Trabajo Sectoriales, que reúnen a los representantes del ministerio responsable del sector, del CNPIC y de los operadores críticos del sector para elaborar y revisar los Planes Estratégicos Sectoriales y abordar los problemas operativos específicos de cada ámbito.
Las Fuerzas y Cuerpos de Seguridad del Estado actúan como garantes últimos de la protección de las infraestructuras críticas y disponen de unidades especializadas para este cometido. La coordinación con las policías autonómicas y locales se instrumenta a través de los instrumentos de cooperación previstos en la Ley Orgánica 2/1986, de Fuerzas y Cuerpos de Seguridad.
Datos clave
- Comisión Nacional: presidida por el Secretario de Estado de Seguridad
- Integrada por: ministerios sectoriales, CCAA, Fuerzas Armadas y operadores críticos
- Funciones: aprobación PES, evaluación de amenaza, coordinación SPIC
- Grupos de Trabajo Sectoriales: nivel operativo de coordinación
- FCS: garantes últimos de la protección
- Coordinación con policías autonómicas y locales: LO 2/1986