El Sistema PIC.

Desde hace algunos años España,

como el resto del mundo, se
enfrenta a un cambio de
escenario, con una serie de
desafíos que dotan a la Seguridad
Nacional de una mayor
complejidad: el terrorismo
internacional fundamentalmente,
pero también la proliferación de
armas de destrucción masiva o el
crimen organizado, a los que
debemos añadir los riesgos provenientes del ciberespacio,
componen un muy complejo mapa de riesgos, amenazas y peligros
que han llevado, en el ámbito de la Unión Europea, al desarrollo
de un sistema de planificación de Seguridad y Protección de las
infraestructuras críticas que comenzó a tomar forma con la
aprobación de la Directiva 114/2008/CE.

La transposición de la mencionada Directiva dio lugar en España a

la Ley 8/2011, de 28 de abril, por la que se establecen medidas
para la protección de las infraestructuras críticas y al Real Decreto
704/2011, de 20 de mayo, por el que se aprueba el Reglamento de
protección de las infraestructuras críticas. Ambas piezas definen el
sistema organizativo de la Protección de Infraestructuras Críticas y
establecen los mecanismos de coordinación.
1

El cuerpo normativo que, con origen en Europa, se va

Página

desarrollando, vela por la protección de las mencionadas

Ricardo Vidal, 22 abril 2017

infraestructuras tanto en el tramo nacional como atendiendo a la
interconexión con el sistema europeo.

Recordemos que el artículo 2 apartado e. de la Ley 8/2011 define a

las infraestructuras críticas como aquellas infraestructuras que
siendo previamente estratégicas “su funcionamiento es
indispensable y no permite soluciones alternativas, por lo que su
perturbación o destrucción tendría un grave impacto sobre los
servicios esenciales”. La sociedad es enormemente vulnerable
precisamente por su dependencia de estos servicios esenciales:
electricidad, agua, alimentación, sanidad, etc. Y es esa
vulnerabilidad la que motiva y da justificación al Sistema de
Protección de Infraestructuras Críticas. Por ello, no es irrelevante
recordar que ya la Estrategia de Seguridad Nacional de junio 2013
situaba a la Protección de las Infraestructuras Críticas como una de
sus doce líneas de acción estratégicas.

Hay que destacar que todo el sistema de planificación de

protección de infraestructuras críticas apunta a la prevención,
defensa y mitigación contra el daño intencionado. El riesgo
derivado de accidentes es atendido desde otros sistemas de
planificación de seguridad y protección, lo que no obsta para que
la normativa sobre protección de infraestructuras críticas asuma la
necesidad de tener que integrar sistemas de planificación diversos,
precisamente en persecución del objetivo de mitigar el daño
causado. Así, el apartado k. del artículo 2 de la Ley define
la Protección de Infraestructuras Críticas como “conjunto de
actividades destinadas a asegurar la funcionalidad, continuidad e
integridad de las infraestructuras críticas con el fin de prevenir,
paliar y neutralizar el daño causado por un ataque deliberado
contra dichas infraestructuras y a garantizar la integración de estas
actuaciones con las demás que procedan de otros sujetos
responsables dentro del ámbito de su respectiva competencia”.
Insistamos en ello: el Sistema PIC no sólo asume la necesidad de
tener que integrar sus actuaciones con otras de otros sujetos
responsables, sino que, además, lo garantiza[1].
2
Página

Ricardo Vidal, 22 abril 2017

El sistema de planificación en España comienza con el Plan
Nacional de Protección de Infraestructuras Críticas, que es
el documento estructural que presta coherencia a todo el sistema,
pues “permitirá dirigir y coordinar las actuaciones precisas para
proteger las infraestructuras críticas en la lucha contra el
terrorismo” [2].

El PNPIC, junto al Catálogo Nacional de Infraestructuras

Estratégicas son las principales herramientas para la gestión de la
seguridad de nuestras infraestructuras, y ambas han de sustentarse
3

sobre la base de una coordinación eficaz entre Administraciones y

Página

gestores o propietarios de las infraestructuras. El PNPIC es un

Ricardo Vidal, 22 abril 2017

documento “clasificado conforme a lo que establece la legislación
vigente en materia de secretos oficiales” [3] que “establecerá los
criterios y las directrices precisas para movilizar las capacidades
operativas de las Administraciones públicas en coordinación con
los operadores críticos, articulando las medidas preventivas
necesarias para asegurar la protección permanente, actualizada y
homogénea de nuestro sistema de infraestructuras estratégicas
frente a las amenazas provenientes de ataques deliberados contra
ellas” [4].

A partir del Plan Nacional se van desarrollando diferentes Planes

Estratégicos Sectoriales -uno por cada uno de los sectores
estratégicos; en algunos casos uno por cada subsector estratégico-
cuya aprobación determina el hecho de que determinadas
entidades sean designadas Operadores Críticos[5] y
determinadas instalaciones, asimismo, críticas [6].

4
Página

Ricardo Vidal, 22 abril 2017

El conocimiento del marco normativo del sector ha de ser el
primer paso para el conocimiento profundo de su realidad, a partir
de lo cual se pasará a trabajar en el análisis de la estructura sectorial
y, tras ello, se realizará el análisis estratégico de riesgos y amenazas,
es decir, aquellos riesgos y amenazas que puedan afectar a la
Seguridad Nacional. En definitiva, el alcance territorial del PES es
todo el territorio nacional.

El Plan Estratégico Sectorial (PES) nos ha de ofrecer, por tanto, un

conocimiento a nivel estratégico del sector en cuestión. Es decir:

En el estudio estratégico de riesgos se deben analizar las

vulnerabilidades y las amenazas, tanto físicas como lógicas. Y los
resultados habrán de guiar los Planes de Seguridad del Operador
del sector, dotando al Sistema de la congruencia necesaria. El Plan
5

Estratégico Sectorial ofrecerá, además, a los Operadores Críticos

Página

recomendaciones sobre cómo afrontar la gestión de los riesgos,

Ricardo Vidal, 22 abril 2017

con atención específica al terrorismo y otras acciones deliberadas,
que aún teniendo baja probabilidad de ocurrencia tuvieran un alto
impacto sobre la ciudadanía.

Además de lo mencionado el PES nos ofrecerá propuestas, tanto

técnicas como organizativas, que orienten la implantación de
medidas que ayuden a contener los riesgos analizados previamente.
Por lo que, finalmente, el Operador habrá de dotarse de medidas
de carácter preventivo, como también de carácter reactivo, sin
olvidar aquéllas que nos permitan, por un lado, mitigar los daños y
consecuencias y, por otro, mantener la continuidad del servicio.

En resumen, el Plan Estratégico Sectorial debe obtener

conocimiento completo de cómo funciona el sector, de qué se
compone, cuáles son sus activos, qué es insustituible, etc., para
guiar el trabajo de los Operadores dentro del Sistema PIC. El PES
es elaborado por el Grupo de Trabajo Interdepartamental, bajo la
coordinación de CNPIC y con la participación de los operadores;
su aprobación corre a cargo de la Comisión Nacional para la
Protección de las Infraestructuras Críticas.

La designación de un operador como crítico significa la obligación

de realizar un Plan de Seguridad del Operador, que viene a ser un
documento en el que el propio operador establece los criterios de
su política general de seguridad, es decir, para todas y cada una de
las instalaciones de las que dispone, y cuya aprobación significa
abrir el camino al cuarto paso del sistema de planificación: la
elaboración de un Plan de Protección Específico por cada una de
las instalaciones designadas como críticas. Este Plan de Protección
Específico sí es ya lo que entendemos como un Plan de Seguridad
al estilo clásico, aunque eso sí, con unos criterios seguritarios de
mayor calado y que incluye la integración con todos los actores que
tengan algún papel en la seguridad de la instalación.
6
Página

Ricardo Vidal, 22 abril 2017

A través de los Contenidos Mínimos de los PSO y de los PPE la
Secretaría de Estado de Seguridad establece unos niveles mínimos
de seguridad, que como siempre en este entorno, ayudarán a
mantener la congruencia del sistema al completo. CNPIC,
asimismo, elabora unas Guías de Buenas Prácticas para la
elaboración de los Planes de Seguridad del Operador y
de Protección Específico.

La finalización y aprobación del Plan de Protección Específico da

lugar al último paso del Sistema de Planificación PIC, paso que
asumen las Fuerzas y Cuerpos de Seguridad y que no es otro que
el Plan de Apoyo Operativo. El PAO -elaborado como ha
quedado dicho por las Fuerzas y Cuerpos de Seguridad- está
basado en el Plan de Protección Específico previamente aprobado
y, fundamentalmente, en el Plan de Acción, y su objetivo
primordial ha de ser el diseño de un plan reactivo que apoye lo ya
definido por el Operador en su PPE. La activación de un PAO
significará la puesta en marcha de medidas de carácter
complementario a aquéllas que, de carácter gradual, estén
predefinidas en el Plan de Protección Específico.

Con la finalización del Plan de Apoyo Operativo se cierra el

proceso de Planificación PIC, aunque teniendo siempre en cuenta
que los planes deben estar en permanente revisión y atentos a la
evolución de los acontecimientos que puedan afectarnos.

El Sistema PIC establece un esquema para la planificación y un

desarrollo de los procedimientos de comunicación e intercambio
de información, en el que, además, es rasgo fundamental que
siempre estaremos tratando con información sensible[7], es decir,
con información que requiere control y protección contra su
divulgación.
7
Página

Ricardo Vidal, 22 abril 2017

El mecanismo de comunicación del Sistema PIC garantiza la
confidencialidad y seguridad de los datos estableciendo un canal
adecuado para ello y en el que los participantes disponen de un
punto de contacto singular. Podemos traducir contacto singular
como contacto y relación personal.

Esta relación singular, personal, conlleva el requisito de

continuidad en las personas que representan a la organización, y
que esta representación sea otorgada a nivel individual e
incluyendo la capacidad de decidir en nombre de la propia
organización. Esto último constituye el fundamento de la creación
de las figuras de Responsable de Seguridad y Enlace y de Delegado
de Seguridad. Cada uno de ellos se constituirán en contacto
singularizado con la Autoridad: el primero en el nivel estratégico,
el segundo en el nivel técnico-operativo.

Reglamentariamente se determina que el Responsable de

Seguridad y Enlace representará al operador ante la Secretaría de
Estado de Seguridad en lo relativo a la seguridad de sus
infraestructuras y canalizará las necesidades informativas y
operativas. De los operadores críticos privados sabemos que su
único punto de contacto en el ámbito PIC en el Centro Nacional
de Protección de Infraestructuras Críticas. Y puesto que CNPIC, a
través de la S.E.S., depende del Ministerio de Interior se consideró
que quien fuera designado Responsable de Seguridad y Enlace
debería tener una titulación y habilitación reconocida por dicho
Ministerio. De ahí que fuera la de Director de Seguridad la figura
elegida para ello. Sin embargo, esta exigencia es descontada de la
figura del Delegado de Seguridad.
8
Página

Ricardo Vidal, 22 abril 2017

Para que la información circule de forma eficaz y segura se crea un
sistema de gestión con una adecuada política de protección de la
información; política ésta sostenida sobre la base de la necesidad
de conocer.

¿QUÉ ES LA NECESIDAD DE CONOCER?

La “Necesidad de Conocer” se define como la

determinación positiva por la que se confirma
que un posible destinatario requiere acceso a, el
conocimiento de, o la posesión de información
para desempeñar servicios, tareas o cometidos
oficiales.

Ninguna persona podrá tener acceso a

Información Clasificada exclusivamente por
razón de su cargo o posición, o por estar en
posesión de una HPS, sin la preceptiva
necesidad de conocer.

Oficina Nacional de Seguridad

En España, este sistema es HERMES. Para acceder a él es

necesaria una acreditación para la gestión de la información
9

clasificada, apoyada, como ha quedado dicho sobre la necesidad

Página

Ricardo Vidal, 22 abril 2017

de conocer. Los requisitos de seguridad de HERMES son
elevados: soporte de comunicaciones seguras Malla B.

¿QUÉ ES INFORMACIÓN? Información es todo

conocimiento que puede ser comunicado, presentado o
almacenado en cualquier forma.

¿QUÉ ES INFORMACIÓN CLASIFICADA? Información

Clasificada es cualquier información o material que requiere
protección contra su divulgación no autorizada y a la que se ha
asignado, con las formalidades y requisitos previstos en
legislación, una clasificación de seguridad.

¿QUÉ SON MATERIAS CLASIFICADAS? Están definidas

en la Ley 9/68, de 5 de abril, modificada por la Ley 48/78, de 7
de octubre, sobre Secretos Oficiales (LSO), como los asuntos,
actos, documentos, informaciones, datos y objetos cuyo
conocimiento por personas no autorizadas pueda dañar o poner
en riesgo la seguridad y defensa del Estado, y que se califican en
las categorías de SECRETO y RESERVADO, en atención al
grado de protección que requieren.

¿QUÉ SON MATERIAS OBJETO DE RESERVA

INTERNA? Se definen como los asuntos, actos, documentos,
informaciones, datos y objetos cuyo conocimiento por personas
no autorizadas pueda afectar a la seguridad del Estado,
amenazar sus intereses o dificultar el cumplimiento de su
misión. Se clasifican en las categorías de CONFIDENCIAL y
DIFUSIÓN LIMITADA, en atención al grado de protección
que requieren. Estos grados no están definidos en la LSO,
aunque están reconocidos internacionalmente y en normativas
de desarrollo de la Ley.

Oficina Nacional de Seguridad

Hermes, por un lado, y a través de la Plataforma ARGOS,

custodia, gestiona y mantiene el Catálogo Nacional de
Infraestructuras Estratégicas, y por otro sirve, a través de ∏3 (Pi3)
10

como Plataforma de Intercambio de Información sobre

Infraestructuras, es decir, de canal que comunica y enlaza a los
Página

Agentes del Sistema PIC.

Ricardo Vidal, 22 abril 2017

Para impulsar, coordinar y supervisar todas las actividades
encomendadas a la Secretaría de Estado de Seguridad en materia
de Protección de las Infraestructuras Críticas nace el Centro
Nacional para la Protección de las Infraestructuras Críticas.

CNPIC, desde su creación, “ha venido trabajando en la

arquitectura de un sistema de protección de las infraestructuras
críticas nacionales que se adapte a las necesidades específicas de
nuestro país y permita dar respuesta a los retos de seguridad que
tenemos planteados en esta materia”[8].
11

CNPIC ha sido calificado, acertadamente, como el motor del

Página

Sistema PIC. No sólo impulsa, coordina y supervisa el Sistema,

Ricardo Vidal, 22 abril 2017

sino que también realiza labores de desarrollo y seguimiento de los
instrumentos de planificación, gestiona y mantiene el Catálogo
Nacional de Infraestructuras Estratégicas y se centra en la
búsqueda de una seguridad integral, atendiendo de forma especial
a la ciberseguridad. Además, es CNPIC el punto de contacto e
interlocución entre los operadores críticos y la Secretaría de Estado
de Seguridad en las materias que aquí tratamos.

12
Página

Ricardo Vidal, 22 abril 2017

Notas

[1] La capacidad de recuperación está ligada a la Protección Civil.

[2] Ley 8/2011, artículo 14.2.
[3] RD 704/2011, artículo 17.2
[4] RD 704/2011, artículo 16.2
[5] Ley 8/2011, art. 2.: “m) Operadores críticos: las entidades u organismos
responsables de las inversiones o del funcionamiento diario de una
instalación, red, sistema, o equipo físico o de tecnología de la información
designada como infraestructura crítica con arreglo a la presente Ley”.
[6] Ley 8/2011, art. 2: “e) Infraestructuras críticas: las infraestructuras
estratégicas cuyo funcionamiento es indispensable y no permite soluciones
alternativas, por lo que su perturbación o destrucción tendría un grave
impacto sobre los servicios esenciales”.
[7] Ley 8/2011, artículo 2.l.: Información sensible sobre protección de
infraestructuras estratégicas: los datos específicos sobre infraestructuras
estratégicas que, de revelarse, podrían utilizarse para planear y llevar a cabo
acciones cuyo objetivo sea provocar la perturbación o la destrucción de
éstas.
[8] Sánchez Gómez, Fernando J.: Protección de infraestructuras críticas en
España: marco regulatorio y organizativo, en Seguridad y Ciudadanía,
Revista del Ministerio del Interior, nº 11, enero-junio 2014.

13
Página

Ricardo Vidal, 22 abril 2017