Desde finales del año pasado se han producido en España hechos relevantes que están suponiendo avances tangibles en este campo. Esto es sólo el principio y el modelo ha de madurar progresivamente.

El primer hito clave que se produjo después de noviembre fue la publicación a primeros de diciembre de la Estrategia de Ciberseguridad Nacional (ECSN) en cuyo contenido se plantean varias acciones para asegurar la Protección del Patrimonio Tecnológico de España, con mención explícita entre sus objetivos a la importancia de proteger las Infraestructuras Críticas.

Ya en el primer semestre de este año se produce un segundo hecho relevante como lo es el comienzo de la designación de operadores críticos por parte del CNPIC. Nos encontramos ante un hecho que desencadena un cambio sustancial, pues CNPIC traslada el testigo a los propios operadores que deberán asumir el protagonismo del siguiente paso: desarrollar sus respectivos Planes de Seguridad del Operador (PSO). Disponen de seis meses para hacerlo tras la designación como operador crítico.

Dicho lo anterior, a finales de 2014 o principio de 2015 ya se debería disponer de los PSOs. Esto convierte a 2015 en el año de la verdad durante el que se completaría en España el marco para la Protección de Infraestructuras Críticas mediante el desarrollo de los Planes de Protección Específicos y los Planes de Apoyo Operativo dirigidos a las Infraestructuras Críticas concretas.

No debemos olvidar que estamos presenciando la primera iteración del proceso y que aún faltan sectores estratégicos por ser incorporados. Por ello, en los próximos dos años surgirán algunos desafíos a los que deberemos hacer frente:

1. Caracterizar las dependencias intersectoriales para identificar debilidades del modelo inicial y sinergias futuras..
2. Coordinación internacional en la Protección de Infraestructuras Críticas. Formamos parte de una comunidad internacional y algunos de nuestros sectores estratégicos tendrán dependencias de operadores de otros países. Esto llevará asociado un impacto de naturaleza operativa en lo tocante a la disponibilidad del servicio y otro de naturaleza legislativa como miembros de la Unión Europea.
3. Desarrollar un marco normativo de consenso (y que funcione) entre gobiernos y operadores privados. El conflicto de intereses que surge siempre cuando se contrapone la visión de cualquier organización gubernamental (CNPIC en el caso de España) con la que pueden tener las empresas privadas (caso de muchos operadores críticos) puede plantear un obstáculo. Aquí tendrá una influencia significativa la decisión que se tome sobre el desarrollo reglamentario de un marco de infracciones y sanciones como el existente por ejemplo para el sector Nuclear.

El escenario es complejo y forman parte de él numerosos actores con prioridades difíciles de conciliar. Así pues, la capacidad de colaboración a varios niveles, entre gobiernos de distintos países, o entre lo público y lo privado, o incluso entre empresas competidoras, será el factor clave que marcará la diferencia a la hora de medir el éxito futuro de la Protección de las Infraestructuras Críticas en nuestro país y en nuestro entorno.