TEMA 15.

MEDIDAS PARA LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

Ley 8/2011, 28 abril y RD 704/2011, 20 mayo
- Objeto: establecer estrategias para mejorar la prevención, preparación y respuesta del Estado frente a amenazas.
- Ámbito de aplicación: infraestructuras críticas ubicadas en territorio nacional. Excepto: infraestructuras MD y FCS. La aplicación
de esta ley se hará sin perjuicio de las competencias del CNI, energía nuclear y Aviación civil.
- Definiciones:
✓ Infraestructuras estratégicas: instalaciones, redes, sistemas sobre las que descansa el funcionamiento servicios esenciales.
✓ Infraestructuras críticas: infraestructuras estratégicas cuyo funcionamiento es indispensable sin soluciones alternativas,
por lo que su perturbación o destrucción causaría grave impacto sobre los servicios esenciales.
✓ Infraestructuras críticas europeas: afecta gravemente al menos a 2 EM.
✓ Zona crítica: zona geográfica continua, varias infraestructuras críticas a cargo de operadores diferentes e interdependientes.
✓ Operador crítico: entidad u organismo responsable de las inversiones o funcionamiento de las infraestructuras críticas.
✓ Criterios horizontales: parámetros para determinar la criticidad, gravedad y consecuencias de la perturbación o
destrucción de una infraestructura crítica. Nº personas afectadas, impacto económico, medioambiental y público y social.
✓ Análisis de riesgos: estudio hipótesis de amenazas posibles.
✓ Interdependencias: efectos que una perturbación produciría en otras instalaciones.
✓ Protección infraestructuras críticas: actividades para prevenir, paliar y neutralizar daño causado por un ataque.
✓ Información sensible: datos específicos que de revelarse podrían utilizarse para perturbar o destruir.
✓ Nivel de seguridad: activación por el MI a través del SES prevista en el PNPIC.
✓ Seguridad lógica: para evitar ciberataques informáticos. Seguridad física: supervisión y establecimiento protocolos.
✓ Servicio esencial: servicio necesario para mantenimiento funciones sociales básicas e instituciones y AAPP.
✓ Sector estratégico: áreas diferenciadas. Subsector estratégico: ámbitos en los que se dividen los sectores estratégicos.
- Registro administrativo con información completa, actualizada y contrastada de todas las infraestructuras
estratégicas del país, incluyendo críticas y críticas europeas. Comprende más de 3.500.
CATÁLOGO NACIONAL - Finalidad: prevenir, proteger y reaccionar ante una amenaza.
DE - Contenido: descripción, ubicación, titularidad, administración, servicios, contactos y nivel de seguridad.
INFRAESTRUCTURAS Tiene la calificación de secreto.
ESTRATÉGICAS - Competencia: MI a través SES, para clasificar como estratégica, crítica o crítica europea, así como para
(CNIE) incluirla en el catálogo. CNPIC se encargará de identificarlas como críticas.
- Custodia, gestión y mantenimiento: MI a través del SES. Actualización CNPIC cuando los operadores
comuniquen nuevos datos o con periodicidad anual.
INSTRUMENTOS FINALIDAD ELABORADO PRESENTADO APROBADO REVISIÓN ACTUALIZADO
MI activa los niveles SES - SES 5 años SES CNPIC aprobado
PNPIC 1 Bajo 2 Moderado 3 por el SES
Medio 4 Alto 5 Muy Alto
Difusión limitada
PLANES ESTRATÉGICO Estudio y planificación Grupo 12 meses Comisión 2 años Ministerios
SECTORIAL (PES) Confidencial Trabajo ministerios aprobada Comisión
PLANES DE SEGURIDAD 1 por operador crítico Operadores 6 meses SES propuesta 2 años Operadores
DEL OPERADOR (PSO) Difusión limitada críticos CNPIC 2 meses operador, aprobado CNPIC
apru CNPIC
PLANES DE PROTECCIÓN Documentos operativos Operadores 4 meses SES propuesta 2 años Operadores
ESPECÍFICO (PPE) x cada infra. Limitada críticos CNPIC 2 meses operador CNPIC/DELEGADO
PLANES DE APOYO Medidas AAPP infra. Cuerpo 4 meses SES propuesta 2 años Cuerpo policial
OPERATIVO (PAO) PPE. Confidencial polcial estatal CNPIC cuerpo plicia estatal o autonom.

AGENTES SISTEMA DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS

SECRETARÍA DE ESTADO DE SEGURIDAD (SES)
Órgano superior MI responsable del Sistema de Protección de las Infraestructuras Críticas a nivel nacional. Le corresponde:
- Diseñar y dirigir la estrategia nacional de protección de infraestructuras críticas.
- Aprobar el PNPIC y declarar los niveles de seguridad.
- Clasificar una infraestructura como estratégica, crítica o crítica europea.
- Aprobar los PSO, PPE y PAO. Aprobar, previo informe del CNPIC, la declaración de una zona como crítica a propuesta Del. Gobierno.
CENTRO NACIONAL DE PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS (CNPIC)
Órgano ministerial con nivel orgánico RPT, depende orgánicamente SES y funcionalmente DG de Coordinación y Estudios. Funciones:
Asistir al SES, actuando como órgano de contacto y coordinación. Ejecutar y mantener actualizado PNPIC. Mantener operativo y
actualizado CNIE. Establecer contenidos mínimos y supervisar la elaboración PSO, PPE y PAO. Proponer la declaración de una zona
como crítica. Punto nacional de contacto con otros organismos. Evaluar (PSO), validar (PAO), analizar (PPE).
MINISTERIOS Y ORGANISMOS INTEGRADOS EN ELSISTEMA
Al menos un ministerio por cada sector estratégico. Un ministerio puede tener competencias sobre 2 o más sectores. Impulsar las políticas
de seguridad. Colaborar con el SES en la designación operadores críticos. Designar una persona para los grupos de trabajo sectoriales.
Participar clasificación de una infraestructura como crítica y elaboración de los PES, así como su revisión y actualización.
DELEGACIONES DEL GOBIERNO EN LAS CCAA. Y CIUDADES CON ESTATUTO DE AUTONOMÍA
Proponer al SES la declaración de zona crítica.
CORPORACIONES LOCALES
COMISIÓN NACIONAL PARA LA PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS (COMISIÓN)
Órgano colegiado adscrito al SES, se reúne 1 vez al año. Preside SES, secretario CNPIC. Por parte MI acuden DGP, DGC, DG Protección
Civil y Emergencias. Grupo de Trabajo interdepartamental, así como representante CA y entidades locales (con voz y voto).
Aprobar PES y designar operadores críticos.
GRUPO DE TRABAJO INTERDEPARTAMENTAL PARA LA PROTECCIÓN DE LAS INFRAESTRUCTURAS CRÍTICAS
Se reúne 2 veces al año. Preside director CNPIC. Secretario funcionario CNPIC. MI acuden representante DAO PN, GC Y DGPCE.
Representante CA y entidades locales (voz y voto). Elaborar PES para presentar a la Comisión y propone a esta operadores críticos.
OPERADORES CRÍTICOS
Agentes del Sistema (público y privado), al menos gestionan 1 infraestructura crítica. Colaboración técnica a la SES, a través CNPIC.
Elaborar PSO y PPE. Designar Responsable de Seguridad y Enlace (Operador). Designar Delegado de Seguridad (IC) -> 3 meses.
CIBERSEGURIDAD
Conjunto de tecnologías, procedimientos y servicios encaminados a proteger los activos de una empresa u organismo, a través de TIC.
- Estrategia Nacional de Ciberseguridad (2019): aprobada por el Consejo de Seguridad Nacional. Principios rectores de la
Seguridad Nacional: unidad de acción, anticipación, eficiencia y resiliencia. Objetivo general: garantizar uso seguro y fiable
ciberespacio. 5 objetivos específicos, 7 líneas de acción y 65 medidas.
- Organismos:
✓ Instituto Nacional de Ciberseguridad (INCIBE): adscrito a la Secretaría de Estado de Digitalización e Inteligencia Artificial
(SEDIA), perteneciente al Ministerio de Asuntos Económicos y Transformación Digital. Misión: reforzar la ciberseguridad y
confianza en las TIC.
▪ INCIBE-CERT: centro de respuesta a incidentes que comprometan las redes. Es operado por INCIBE a través de SEDIA.
En incidentes que afecten a operadores críticos será operado conjuntamente por INCIBE y CNPIC.
▪ Oficina de Seguridad del Internauta (OSI): objetivo formar a la ciudadanía en materia de ciberseguridad.
✓ Centro Criptológico Nacional (CNN): adscrito al CNI, garantiza la seguridad de las TIC en el ámbito de la Administración.
✓ Centro Tecnológico de Seguridad (CETSE): situado en El Pardo. En él se ubican CNPIC y Subdirección General de
Sistemas de Información y Comunicaciones para la Seguridad.
✓ Oficina de Coordinación de Ciberseguridad (OCC): depende funcionalmente SES y está integrada orgánicamente CNPIC.
Punto de contacto nacional operativo en ciberdelincuencia. 3 grupos: 1ºAnálisis y tratamiento información / 2ºAnálisis
amenazas y vulnerabilidades / 3ºMonitorización del estado de la ciberseguridad.
✓ Presidencia del Gobierno facilitará el uso de la MALLA B (sistema de soporte de comunicaciones estratégicas seguras).
✓ Mando Conjunto de Ciberdefensa (MCCD): encargada de los ciberataques que afecten a la defensa nacional.
✓ Agencia Europea de Seguridad de Redes y de la Información (ENISA): Atenas, asistencia técnica a EM en ciberseguridad.