Infraestructuras críticas: conceptos y evolución normativa

Tiempo de lectura estimado: 6 minutos

Esta conferencia magistral pertenece al Módulo 13 "Smart cities" de C1b3rWall Academy 2021/2022. El objetivo de la misma es entender qué son las infraestructuras críticas, conocer su origen y cómo ha evolucionado su regulación en España y Europa.

Los inicios (USA)

Se suele hablar de las infraestructuras críticas a raíz de los atentados del 11 de septiembre de 2001 contra las Torres Gemelas. Lo llamativo es que, seis días antes del ataque, se presentaba la primera iniciativa (Critical Infrastructures Protection Act), pero tras el ataque se abrió el enfoque para analizar cómo cualquier infraestructura podía ser utilizada en contra de la población.

En 2003 tiene lugar la Directiva Presidencial de Seguridad Interior, donde se empieza a esquematizar cuáles eran las infraestructuras críticas. Esto desemboca en la creación de la CISA, es decir, la Agencia para la Ciberseguridad y Seguridad de las Infraestructuras, que, hoy en día, es, seguramente, la fuente más relevante de vulnerabilidades y ataques de la que el resto del mundo se beneficia. 

Evolución normativa de las infraestructuras críticas

Definición de las infraestructuras críticas y avances legales

En el marco de la Unión Europea, las infraestructuras críticas son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de los gobiernos de los estados miembros.

Cuando se desarrolla la ley en España se identifican conceptos clave que pasan por una serie de sectores estratégicos: energía, agua, finanzas, investigación, TIC, salud, energía nuclear, espacio, transporte, alimentación, química y administración. A partir de estos sectores, se elaboraron planes sectoriales, un Plan de Seguridad del Operador (PSO), Plan de Protección Específica (PPE) y Responsable de Seguridad y Enlace.

En 2016 se elabora la Directiva NIS Europa, cuyo objetivo es alcanzar un nivel alto de seguridad en redes y sistemas de información en la Unión Europea mediante:

• La mejora de las capacidades relativas a ciberseguridad a nivel nacional.
• Aumento de la cooperación a nivel de la UE.
• Hacer obligatoria la gestión de riesgos, medidas preventivas y de respuesta a ciberincidentes, así como la comunicación de incidentes para los operadores de servicios esenciales y los operadores de servicios digitales.

Desde aquí, los estados miembros tienen la obligación de designar a las empresas susceptibles de ser declaradas Operadores de Servicios Esenciales (OES) cuando se cumpla alguno de los siguientes criterios:

• Que presten un servicio esencial para el mantenimiento de actividades económicas o sociales.
• Que dependan de las redes de información para prestar ese servicio.
• Que originarían efectos perturbadores significativos en caso de ser víctimas de un ciberincidente.

La Directiva NIS de 2018 en España cede la regulación del régimen sancionador a la transposición de la misma por parte de cada Estado, indicando que "tales sanciones serán efectivas, proporcionadas y disuasorias", con multas que van desde los 100.000 euros al millón.

¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

Si te interesa este tema, puedes consultar la información y cursar el Máster en Smart Cities & Intelligent Buildings o ver la oferta de másteres desde aquí.

Ponente: Agustín Valencia Gil-Ortega

Agustín es ingeniero industrial con más de 10 años de experiencia en ciberseguridad industrial, además de Máster en Gestión de Mantenimiento. Es responsable de Desarrollo de Negocio OT en Fortinet y profesor del Máster de Ciberseguridad en la Universidad Pontificia Comillas.