Con origen en la Directiva comunitaria 2008/114/CE, de 8 de Diciembre de 2008, a finales del pasado mes de Marzo veíamos como seguía adelante la tramitación del Proyecto de Ley por la que se establecen medidas para la protección de las infraestructuras críticas.
Remitido el proyecto desde el Congreso de los Diputados al Senado, el 7 de Abril fue aprobado por esta última Cámara y el pasado Martes 12 ha quedado definitivamente aprobada la Ley por el Pleno del Congreso celebrado hace en esa fecha.
La Directiva 2008/114/CE señala que en la protección de infraestructuras críticas se deberán tener en cuenta las amenazas tecnológicas y las catástrofes naturales o provocadas por el hombre así como los atentados terroristas, pero dando prioridad a la amenaza terrorista.
Para ello, lógicamente, se deberá proceder al correspondiente Análisis de Riesgos que nos permita conocer, en palabras textuales de la Directiva – Considerando 15 – , “los riesgos, amenazas y vulnerabilidades” que a los que están expuestas las infraestructuras críticas. Y es en ese Considerando 15 donde queremos ver, al menos algunos de nosotros, el germen de una metodología de Análisis de Riesgos Europea y de uso común por todos los Estados miembros de la Unión. En este sentido, la Directiva señala en ese Considerando que “Para facilitar la mejora de la protección de las ICE podrán desarrollarse métodos comunes de identificación y clasificación de los riesgos, amenazas y vulnerabilidades que pesan sobre los elementos infraestructurales”. Toda una declaración de intenciones, a la que el tiempo dará o no relevancia.
Por su parte, la trasposición de la Directiva en nuestro país a través de la Ley aprobada el pasado Martes 12 del presente mes, tiene como resultado una norma que comenzó bajo la forma de Real Decreto pero que finalmente, y tras el dictamen del Consejo de Estado, pasó a tener finalmente rango de Ley.
Esta nueva Ley tiene claro que la amenaza terrorista, utilizando los términos de la propia Ley, ya no es sólo de carácter físico, sino que existe una verdadera amenaza cibernética debido a la gran dependencia que las propias infraestructuras críticas tienen de las tecnologías de la información.
La Directiva que ha dado origen a la Ley de Infraestructuras Críticas consideraba como elementos fundamentales el control y gestión de riesgos, la continuidad de las operaciones y la recuperación tras un desastre. Del mismo modo, nuestra Ley tiene en su punto de mira esos mismos aspectos, con un especial énfasis en la seguridad de la información y de las comunicaciones. Las medidas de protección y procedimientos específicos que habrán de adoptarse se recogen en el Título III de la Ley, que analizaremos en profundidad en próximos días.
Áudea Seguridad de la Información
Departamento de Gestión
Manuel Díaz Sampedro
www.audea.com