#insights

Las infraestructuras críticas (IC) son elementos esenciales para el funcionamiento del Estado y la protección de la ciudadanía. Según el Plan Nacional de Protección de Infraestructuras Críticas (PNPIC), estas comprenden instalaciones, redes, servicios y sistemas tanto físicos como digitales cuya interrupción causaría un impacto severo en la salud, seguridad, economía o el orden público. Esta definición se alinea con la Directiva Europea 2008/114/CE, que subraya la necesidad de identificar y proteger dichas infraestructuras a nivel comunitario.

Sectores identificados como críticos

España, siguiendo las directrices europeas, ha identificado sectores clave como:

• Gobierno y administración pública
• Espacio (satélites y control)
• Industria química y nuclear
• Abastecimiento y tratamiento de agua
• Energía (centrales, redes, almacenamiento)
• TIC (comunicaciones, centros de datos)
• Salud
• Transporte
• Agricultura y alimentación
• Finanzas y fiscalidad
• Defensa y seguridad nacional

La digitalización de estos sectores ha incrementado la eficiencia, pero también los ha expuesto a nuevos riesgos cibernéticos. Esto exige una protección integral de los sistemas frente a ataques maliciosos, tanto internos como externos.

Estado actual y evolución

En 2017, un porcentaje considerable de operadores de infraestructuras críticas en España no había evaluado sus ciber riesgos: el 20% en general, y cifras más preocupantes en sectores como el agua (40%) y el transporte (44%). Sin embargo, actualmente más del 80% ha completado dicha evaluación, lo que representa un avance significativo. Aun así, se requiere mayor concienciación, formación e implementación de medidas de seguridad.

Marco normativo y obligaciones

La ciberseguridad de las infraestructuras críticas ha sido reforzada en los últimos años con importantes normativas:

• Directiva NIS2 (UE) – En vigor desde enero de 2023 y obligatoria a partir de octubre de 2024. Establece requisitos de ciberseguridad para sectores esenciales.
• Directiva sobre la Resiliencia de las Entidades Críticas (REC) – Obliga a los Estados miembros, desde octubre de 2024, a reforzar la resiliencia física y operativa de las IC.
• Real Decreto 443/2024 – Regula la ciberseguridad de redes y servicios 5G.
• Esquema Nacional de Seguridad (ENS) – Regulado por el Real Decreto 311/2022, constituye el marco general de seguridad para las administraciones públicas y entidades privadas gestoras de IC. El ENS ha sido actualizado para cumplir con las exigencias de NIS2 y REC, abarcando desde la gestión de riesgos hasta la respuesta a incidentes.

Principales obligaciones de las IC según el ENS

Las infraestructuras críticas deben:

• Garantizar disponibilidad y continuidad de los servicios.
• Supervisar y gestionar incidentes, notificando y cooperando con CSIRTs (equipos de respuesta a incidentes).
• Proporcionar información clave a las autoridades en caso de incidentes.
• Permitir auditorías y subsanar deficiencias.
• Aplicar medidas de seguridad en todos los ámbitos (tecnología, procesos, personal).
• Organización interna y planes estratégicos

Para cumplir con los requisitos legales, cada infraestructura crítica debe:

• Establecer un organigrama de seguridad claro con responsables definidos.
• Designar un responsable de Seguridad y Enlace y un delegado de Seguridad.
• Desarrollar y mantener actualizados planes de ciberseguridad.
• Colaborar de forma fluida con las autoridades competentes.
• Realizar análisis de riesgos periódicos y revisar los planes de protección conforme a estos.

Documentación de ciberseguridad obligatoria

Entre los documentos esenciales para cumplir con el ENS y la NIS2 se encuentran:

• Política de seguridad: Compromiso institucional aprobado por la alta dirección.
• Evaluación de riesgos: Identificación de amenazas y vulnerabilidades.
• Plan de Continuidad de Negocio (BCP) y Recuperación ante Desastres (DRP): Aseguran la resiliencia operativa y técnica.
• Políticas de control de acceso y gestión de identidades.
• Gestión de información y protección de datos: Cumplimiento normativo y DPIAs.
• Registro de incidentes: Clasificación, impacto y acciones realizadas.
• Plan de gestión de ciberseguridad: Define medidas y responsabilidades.
• Plan de respuesta ante incidentes: Protocolo de detección, contención y recuperación.
• Plan de formación y concienciación: Cultura organizacional de ciberseguridad.
• Plan de monitorización de amenazas: Uso de herramientas IDS/IPS, detección de anomalías.
• Plan de auditoría: Evaluaciones internas y externas para verificar el cumplimiento.

Conclusión

La ciberseguridad en las infraestructuras críticas ya no puede considerarse un aspecto secundario, sino una prioridad nacional. La creciente sofisticación de las amenazas exige una visión integral y proactiva, donde se combinen marcos regulatorios robustos con una cultura de seguridad continua y transversal. Implementar planes, evaluar riesgos, capacitar al personal y cooperar con el entorno institucional y privado no solo mejora la resiliencia de las IC, sino que contribuye directamente a proteger la estabilidad del país y la confianza de los ciudadanos. La clave del futuro será una alianza sólida entre tecnología, normativa y personas.