El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) aprueba este mes los cinco primeros Planes Estratégicos Sectoriales.


Fernando Sánchez Gómez, Director del Centro Nacional para la Protección de las Infraestructuras Críticas

“El CNPIC será flexible en la implantación de los PSO y los PPE por parte de los operadores”

17/06/2014
El Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC) aprueba este mes los cinco primeros Planes Estratégicos Sectoriales. Serán los correspondientes al sector de la Energía –que se ha dividido en los subsectores de la Electricidad, el Gas y el Petróleo–, el Nuclear y el Financiero. Con su publicación se inicia una segunda fase en la que los operadores tendrán que adaptar a estos documentos sus Planes de Seguridad del Operador (PSO) y los Planes de Protección Específicos (PPE).
 A pesar de que el reloj correrá en su contra, el CNPIC se mostrará “flexible” respecto a la implementación de esos planes, como explica el director de este órgano dependiente de la Secretaria de Estado de Seguridad, Fernando Sánchez.
- Como adelantó a Seguritecnia en el mes e abril, los cinco primeros Planes Estratégicos Sectoriales para las infraestructuras críticas españolas son ya una realidad. ¿Qué organismos, operadores y demás actores de este ámbito estarán sometidos al contenido de estos documentos?
Para cada sector o subsector estratégico de que se trate, todos aquellos organismos públicos competentes, fundamentalmente los departamentos ministeriales incluidos en la propia Ley 8/2011, sobre protección de infraestructura críticas (PIC); también los operadores que gestionen o posean infraestructuras que proporcionen servicios esenciales para la comunidad; y, obviamente, el resto de actores integrantes del Sistema de Protección de Infraestructuras Críticas, encabezados por el propio CNPIC. 
- ¿Cuál es la principal aportación que hacen estos planes al sistema de seguridad de las infraestructuras esenciales de nuestro país? De los puntos incluidos en ellos, ¿cuáles son los fundamentales para garantizar la protección de estos servicios?
La principal aportación que hacen los planes al sistema es la diagnosis del “Estado del Arte” en lo que se refiere a la identificación de las líneas maestras de la situación de la seguridad en nuestro país de los diferentes sectores estratégicos contemplados. Para ello, se realiza una descripción pormenorizada de todo tipo posible de actividades que se desarrollan en cada sector, teniendo en cuenta los distintos tipos de activos y las interacciones entre los mismos, así como las dependencias internas y con otros subsectores y sectores estratégicos, mutuas (interdependencias) o sencillas; se evalúan las amenazas y las vulnerabilidades existentes y se efectúa una serie de propuestas y recomendaciones para su implantación, siempre a nivel estratégico. Estos planes son el punto de partida para definir en los Planes de Seguridad del Operador qué actividades desarrolla la compañía y cuál es la estrategia de seguridad corporativa que la misma adopta a fin de garantizar la provisión del servicio o de los servicios esenciales de que se trate.
- ¿Existen diferencias sustanciales entre unos planes y otros por las características de cada uno de los cinco sectores?
Obviamente, sí. Por poner un ejemplo, aunque en numerosos servicios de suministros hay actividades de generación, transporte y distribución, no se pueden comparar las actividades de generación de energía eléctrica (hidroeléctrica, eólica, solar, de ciclo combinado) y de transporte y distribución de la misma (mediante tendidos y subestaciones) con la generación de gas (por fraccionamiento de petróleo, por extracción directa de yacimientos, por fracking) y su transporte y distribución (por gasoducto y por una red física de distribución; o por transporte por carretera a puntos de distribución, como en el caso de las botellas de butano y propano).
- ¿Qué papel va a jugar la colaboración entre instituciones y operadores para el buen funcionamiento de las infraestructuras críticas?
fsanchez2
Un papel fundamental. De hecho, éste es el eje sobre el que se diseñó toda la legislación existente hoy en día sobre la protección de las infraestructuras críticas en España. Los operadores, como propietarios o gestores de infraestructuras complementarias, estratégicas o críticas para el suministro de servicios esenciales para la comunidad –siendo en España el 80 por cierto del sector privado– son obviamente la pieza clave.
Los ministerios competentes para los distintos sectores estratégicos son los encargados del desarrollo e implementación de la normativa sectorial y los organismos públicos que mejor conocen el desarrollo de las actividades en su ámbito de competencia. Al estar integrados en la Comisión Nacional de Protección de las Infraestructuras Críticas y en el Grupo de Trabajo Interministerial, garantizan su asesoramiento y dirección en todo lo relativo a sus respectivos ámbitos.
Si añadimos a este binomio al CNPIC, con el papel de coordinación y centralización que juega, asistido de forma importante por empresas de consultoría y auditoría (cuarto grupo de actores), estimulando la confianza mutua y dotando a todos los actores de un canal seguro para intercambiar información y buenas prácticas, tenemos los elementos necesarios para que estas asociaciones público-privadas tengan visos de éxito en la consecución de sus metas.
- ¿A qué aspectos de la seguridad se les ha dado más peso dentro de estos planes?
A todos, teniendo siempre en cuenta que estamos hablando de prevención, protección y reacción ante acciones deliberadas contra nuestras infraestructuras críticas. Sin embargo, a colación de esto quisiera detenerme en tres puntos fundamentales que presiden nuestros esfuerzos. En primer lugar, la necesidad imperiosa de llevar a cabo una integración de la seguridad física y lógica, objetivo fundamental del CNPIC desde sus inicios.
En segundo lugar, la definición del desarrollo de las actividades de cada sector estratégico a través de los Planes Estratégicos Sectoriales, que procura no deja nada al azar a la hora de servir como base de desarrollo de los Planes de Seguridad del Operador que surgirán a raíz de los primeros. En estos planes es donde realmente se tendrán en cuenta, por parte de cada operador crítico, los aspectos oportunos de gestión de riesgos, identificando las distintas amenazas que puedan aprovechar las posibles vulnerabilidades del subsector o sector de que se trate.
Por último, destacar el papel de coordinación y centralización que desarrolla el CNPIC, en representación de la Secretaría de Estado de Seguridad del Ministerio del Interior, que garantiza la intervención objetiva del Estado, a fin de tener en cuenta las amenazas de etiología maliciosa (ya sea por amenazas de tipo interno en el seno de cada organización; por delincuencia organizada en general; o bien por una forma específica de la anterior, el terrorismo). 
- A partir de ahora, en lo que a los sectores mencionados se refiere, entramos en una segunda fase en la que son los operadores quienes han de presentar los Planes de Seguridad y los de Protección Específicos. A grandes rasgos, ¿qué contenidos deben abarcar esos documentos?
El Plan de Seguridad del Operador de un operador crítico constará de su política general de seguridad; del marco y organización de la misma (con especial hincapié en el responsable de Seguridad y Enlace y en los delegados de Seguridad de cada infraestructura crítica que posea o gestione la compañía, constando además de un programa de formación y concienciación y de un modelo de gestión aplicado); de la relación de servicios esenciales prestados; de la metodología de análisis de riesgos utilizada; de criterios de aplicación de medidas de seguridad integral; y, por último, de documentación complementaria (normativa, buenas prácticas, coordinación con otros planes).
Los Planes de Protección Específicos que desarrolle el operador para cada infraestructura crítica que posea o gestione constarán de una introducción que comprenda la base legal, su objetivo, el contenido del Plan, el método que se utilizará para revisarlo y actualizarlo, así como de los detalles necesarios sobre cómo se protegerá y gestionará la información y la documentación; los aspectos organizativos relativos al delegado de Seguridad, los mecanismos de coordinación y los mecanismos y responsables de su aprobación; la descripción de la infraestructura; los resultados del análisis de riesgos; el plan de acción propuesto; y la documentación complementaria.
- ¿En qué plazos deben presentar los operadores esos planes e implementarlos en las infraestructuras que gestionan?
Como establece la normativa de protección de las infraestructuras críticas, el Plan de Seguridad del Operador se deberá presentar en un plazo de seis meses a partir de la designación del operador como operador crítico; los Planes de Protección Específicos en un plazo de cuatro meses a partir de la aprobación por parte del CNPIC del Plan de Seguridad del Operador.
Es importante resaltar aquí que el CNPIC será flexible, admitiendo, por una parte, la adaptación en lo posible de los planes de seguridad de los que ya disponga el operador; y aceptando, por otra, la implantación gradual de las medidas necesarias para garantizar el suministro del servicio esencial de que se trate. 
- ¿De qué manera y a través de qué vías hará el CNPIC un seguimiento de los Planes Estratégicos Sectoriales? ¿Serán sometidos a una revisión periódica?
El CNPIC tiene una relación constante con los operadores estratégicos de nuestro país, por lo que el flujo de información está asegurado. Las revisiones de los Planes Estratégicos Sectoriales fijadas por el Reglamento PIC se producirán cada dos años por los operadores críticos, revisión que deberá ser aprobada por las Delegaciones del Gobierno en las Comunidades Autónomas y en las ciudades con Estatuto de Autonomía o, en su caso, por el órgano competente de las comunidades autónomas con competencias estatutariamente reconocidas para la protección de personas y bienes y para el mantenimiento del orden público. En todo este proceso, el CNPIC tendrá una posición de coordinación y supervisión general, pudiendo establecer las propuestas y observaciones oportunas.
La modificación de alguno de los datos incluidos en los Planes de Protección Específicos obligará a la automática actualización de éstos, que se llevará a cabo por los operadores críticos responsables y requerirá la aprobación expresa del CNPIC.
Resumiendo, se revisarán los Planes de Protección Específicos cuando se añada o quite alguna actividad de las desarrolladas por la infraestructura críticas y, en todo caso, cada dos años a partir de su aprobación.
- Los próximos Planes Sectoriales serán los de Transporte, TIC y Agua. ¿Cuándo estima que podrían publicarse estos otros documentos?
Si el calendario se mantiene y nos es propicio, a partir de la primavera de 2015 podremos empezar a desarrollar otra fase.
- ¿Han marcado un horizonte para completar el sistema de seguridad de las infraestructuras críticas y adecuarlo definitivamente a los parámetros de la Estrategia de Seguridad Nacional?
Para las tareas relativas al desarrollo de la Estrategia de Seguridad Nacional, el CNPIC participa, obviamente, en la dirección y coordinación de la Línea de Acción número 12, de la que es principal responsable. En ese sentido, las acciones que se están llevando a cabo actualmente, como pueden ser, entre otras, los trabajos de ejecución de los Planes Estratégicos Sectoriales de los que se ha hablado a lo largo de esta entrevista, están absolutamente alineadas con los cometidos extraídos de la Estrategia. Por otro lado, el CNPIC colabora en todas aquellas tareas para las que sea requerido por el Comité de Situación del Departamento de Seguridad Nacional. Un ejemplo es la reciente evaluación de la implementación de la Estrategia Nacional de Seguridad, en la que el CNPIC realizó su contribución, enmarcada dentro de la del Ministerio del Interior, así como su participación en los ejercicios CMX 2014, en el ámbito de la OTAN, que fueron dirigidos y coordinados por el Departamento de Seguridad Nacional.
Además, y ya en la vertiente de la ciberseguridad, el CNPIC ha participado en los trabajos del Grupo de Apoyo con los que se desarrolló la Estrategia de Ciberseguridad Nacional, aprobada el pasado 5 de diciembre, y continúa participando en los grupos de trabajo del Consejo Nacional de Ciberseguridad Nacional del Departamento de Seguridad Nacional de Presidencia de Gobierno.