Pasar al contenido principal

LEY PIC y Reglamento PIC

¿A quién va dirigido?

La regulación PIC (Protección de Infraestructuras Críticas) es una regulación española derivada a su vez de una directiva europea, que afecta a los operadores críticos pertenecientes a cualquiera de los 12 sectores esenciales establecidos por la propia regulación.

¿Qué es?

La regulación PIC está compuesta, en la actualidad, por un conjunto de tres documentos regulatorios:

  • La Directiva europea 2008/114/CE del Consejo del 8 de diciembre de 2008 sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.
  • La Ley PIC que traspone la citada Directiva (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas).
  • El Reglamento PIC (Real Decreto 704/2011, de 20 de mayo, por el que se aprueba el Reglamento de protección de las infraestructuras críticas).

Esta legislación regula los agentes que integran el Sistema de Protección de las Infraestructuras Críticas, definiendo las responsabilidades de cada uno de ellos en el correcto funcionamiento de los servicios esenciales o en la seguridad de los ciudadanos, y determina los instrumentos de planificación de dicho Sistema. De manera particular establece las responsabilidades de los operadores críticos, como entidades u organismos responsables de las inversiones o del funcionamiento diario de una instalación, red, sistema, o equipo físico o de tecnología de la información designada como infraestructura crítica, y determina los mecanismos concretos que deberán desarrollar para satisfacer las necesidades de protección.

Así mismo, esta legislación es destacable por ser la primera que establece una aproximación integral a la seguridad, considerando su aplicación tanto a nivel físico como a nivel cibernético, de manera unificada.

Objetivos

Los objetivos de la regulación PIC se pueden resumir en los siguientes puntos:

  • Definir un sistema organizativo de protección de las infraestructuras críticas que aglutine a las Administraciones Públicas y entidades privadas afectadas.
  • Regular la protección de las infraestructuras críticas contra ataques deliberados de todo tipo, tanto de carácter físico como cibernético.
  • Establecer medidas de protección de las infraestructuras críticas que proporcionen una base adecuada para la coordinación de las entidades y organismos gestores o propietarios de infraestructuras que presten servicios esenciales para la sociedad, con el fin de lograr una mayor seguridad.

Beneficios

El marco de seguridad establecido por la regulación PIC beneficiará a las organizaciones afectadas desde diversos puntos de vista:

  • Instándoles a adoptar una visión integral de la seguridad, que aúne tanto la seguridad física como la ciberseguridad.
  • Garantizando la designación de figuras con responsabilidad en materia de seguridad tanto a nivel de operador crítico como a nivel de cada infraestructura crítica.
  • Asegurando la existencia de documentos estratégicos que definan las políticas generales de los operadores críticos para garantizar la seguridad del conjunto de instalaciones o sistemas de su propiedad o gestión.
  • Asegurando el desarrollo de documentos operativos que definan las medidas concretas a adoptar por los operadores críticos para garantizar la seguridad integral, tanto física como lógica, de sus infraestructuras críticas.

Factores a tener en cuenta para la implantación de las exigencias de la regulación PIC

  • El nombramiento como operador crítico
  • El tamaño de la organización
  • El sector de la organización
  • El tipo de servicio prestado por la organización
  • Los servicios considerados
  • Las medidas de seguridad física existentes
  • Las medidas de seguridad lógica desplegadas
  • Otros aspectos organizativos.

Fases del proceso de adecuación a la regulación PIC

Fase 1. Lanzar el proyecto

La adecuación a la regulación PIC debe contar con la implicación de la alta dirección de la organización, ya que deberán aprobar nombrar a los responsables previstos y aprobar los Planes requeridos, garantizando que se apliquen en todo momento los principios que la propia regulación establece.

Fase 2. Delimitar el alcance

La organización debe identificar las infraestructuras críticas (infraestructuras cuyo funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales prestados) que van a ser objeto del proyecto y sus interdependencias con otras infraestructuras, y especialmente con otras infraestructuras críticas, propias o de otro operador.

Fase 3. Nombramiento de los responsables

Se deberá nombrar al Responsable de Seguridad y Enlace, que deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior, y que ejercerá las funciones de representación del operador crítico ante la Secretaría de Estado de Seguridad, en un plazo máximo de tres meses desde su designación como operador crítico.

Así mismo, se deberá nombrar, por cada infraestructura crítica, a un Delegado de Seguridad de dicha infraestructura, para ejercer las funciones de enlace operativo y canal de información con las autoridades competentes en todo lo referente a la seguridad de la infraestructura crítica concreta, en un plazo máximo de tres meses desde su designación como operador crítico.

Fase 4. Desarrollo del Plan de Seguridad del Operador

En un plazo máximo de seis meses a partir de la designación como operador crítico se deberá elaborar y presentar para su aprobación al Centro Nacional de Protección de Infraestructuras y Ciberseguridad (CNPIC) un Plan de Seguridad del Operador (PSO). Dicho Plan establecerá tanto la metodología de análisis de riesgos, que deberá garantizar la continuidad de los servicios proporcionados por dicho operador, como los criterios de aplicación de las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas físicas y lógicas identificadas sobre cada una de las tipologías de activos.

Fase 5. Desarrollo de los Plan de Protección Específicos

En un plazo máximo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador los operadores críticos deberán presentar un Plan de Protección Específico (PPE) por cada una de sus infraestructuras críticas. Dichos Planes incluirán:

  • Todas aquellas medidas que los respectivos operadores críticos consideren necesarias en función de los análisis de riesgos realizados respecto de las amenazas físicas y lógicas consideradas, y en particular las de origen terrorista.
  • El establecimiento de medidas permanentes de protección, sobre la base de lo dispuesto en el párrafo anterior.
  • La adopción adicional de medidas de seguridad temporales y graduadas, que vendrán determinadas por la activación del Plan Nacional de Protección de las Infraestructuras Críticas, o bien como consecuencia de las comunicaciones que las autoridades competentes puedan efectuar al operador crítico en relación con una amenaza concreta sobre una o varias de sus infraestructuras.

Fase 6. Supervisión y mantenimiento

Las autoridades competentes supervisarán, en su ámbito de actuación, el cumplimiento de las obligaciones de seguridad y continuidad correspondientes a los operadores críticos, verificando la implantación de las medidas de seguridad física y lógica consideradas en cada uno de los Planes de Protección Específicos.

A su vez, los operadores críticos deberán actualizar cada dos años tanto el Plan de Seguridad del Operador como los Planes de Protección Específicos, con el fin de mantener actualizado y mejorar de manera constante las medidas de protección consideradas para sus infraestructuras críticas.

¿Dónde recibir asesoramiento o contratar la adecuación a la regulación PIC?

Desde el BCSC, se pone a disposición tanto de los organismos públicos como de las empresas privadas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios, con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Directiva IICC: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=celex%3A32008L0114

Ley PIC: https://www.boe.es/buscar/act.php?id=BOE-A-2011-7630

Reglamento PIC: https://www.boe.es/buscar/act.php?id=BOE-A-2011-8849

CNPIC: http://www.cnpic.es/

Compartir

Compartir en Linkedin