Las sociedades son cada día más complejas y cuentan con más servicios. Las infraestructuras de los estados y de entidades privadas tienen que dar respuesta a gran cantidad de necesidades sustentadas en lo que se conoce como estado del bienestar. Esto lleva a la exigencia de implementar todas aquellas medidas de seguridad que estén a su alcance y calibrar todos los escenarios posibles ante un incidente de seguridad.
A este respecto, surgen tres conceptos a tener en cuenta:
- Servicio esencial: Es el servicio necesario para el mantenimiento de las funciones sociales básicas, la salud, la seguridad, el bienestar social y económico de los ciudadanos, o el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.
- Infraestructura estratégica: Son las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales.
- Infraestructura crítica: Son las infraestructuras estratégicas, que proporcionan servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales.
Así pues, toda actividad esencial depende de la infraestructura crítica, desde las centrales eléctricas hasta el sistema de telecomunicaciones o los sistemas bancarios pasando por la sanidad. Una alteración del funcionamiento de esta infraestructura podría provocar graves consecuencias a la población y al Estado. Las infraestructuras críticas suelen ser un gran objetivo de atentados terroristas, ciberataques e incluso ataques híbridos por parte de gobiernos y servicios de inteligencia, de ahí que necesiten una protección más avanzada.
A nivel europeo, la “Directiva 2008/114/CE, de 8 de diciembre”, establece por infraestructura crítica:
“El elemento, sistema o parte de este situado en los Estados miembros que es esencial para el mantenimiento de funciones sociales vitales, la salud, la integridad física, la seguridad, y el bienestar social y económico de la población, cuya perturbación o destrucción afectaría gravemente a un Estado miembro al no poder mantener esas funciones”.
La protección de las infraestructuras críticas es un objetivo prioritario de la Unión Europea. Así se desarrolla en el “Programa Europeo para la Protección de las Infraestructuras Críticas” (PEPIC), de 7 de junio de 2007. Su plan de acción se sustenta en tres aspectos principales:
- Aspectos estratégicos y elaboración de medidas aplicables horizontalmente a todas las actividades en materia de protección de infraestructuras críticas (PIC);
- Protección de las Infraestructuras Críticas de la Unión Europea (ICE) y con miras a reducir su vulnerabilidad;
- En un marco nacional, ayudar a los Estados miembros a proteger sus Infraestructuras Críticas Nacionales (ICN).
A nivel nacional, en España, el Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) es el órgano del Ministerio del Interior encargado de la promoción, coordinación y supervisión de todas las políticas y actividades relacionadas con la protección de las infraestructuras críticas. El CNPIC fue creado en 2007, y su competencia está regulada por la “Ley 8/2011, de 28 de abril, de Infraestructuras Críticas”, y su normativa de desarrollo (“RD 704/2011, de 20 de mayo”).
