Se encuentra en fase de consulta el texto del Proyecto de Real Decreto (“PRD”) que está preparando el Ministerio del Interior que tiene como objetivo transponer a nuestro ordenamiento la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección. Dicho Real Decreto, una vez sea aprobado, completará y adaptará la normativa española ya existente sobre la materia a los requerimientos de la Directiva 2008/114/CE y, particularmente, el Plan Nacional de Protección de las Infraestructuras Críticas, de 7 de mayo de 2007 así como el Catálogo Nacional de Infraestructuras Estratégicas. Por otro lado, su aprobación constituirá un impulso definitivo a la actividad del Centro Nacional de Protección de Infraestructuras Críticas (“CNPIC”) creado por Acuerdo del Consejo de Ministros de fecha 2 de noviembre de 2007.

Se entiende por infraestructuras críticas aquellas instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios públicos esenciales ubicados en el territorio nacional y cuya interrupción o destrucción tendría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de las Instituciones del Estado y las Administraciones Públicas.
 
El objetivo final que se persigue con la protección de las infraestructuras críticas es, por tanto, garantizar la continuidad de los servicios públicos esenciales o estratégicos ante cualquier eventualidad o circunstancia que pueda producirse y afectar a su normal funcionamiento. A tal efecto, el objetivo primero del PRD es el de identificar las infraestructuras críticas, el operador responsable y a las distintas amenazas de seguridad que afectan a cada una de ellas. Solo de ese modo se podrán establecer las medidas de seguridad física y lógica que permitan contrarrestar dichas amenazas y garantizar la continuidad del servicio en casos de desastre.
  De conformidad con el ámbito de aplicación del PRD una infraestructura crítica vendrá determinada por la combinación de criterios horizontales y sectoriales de criticidad. Los criterios horizontales se refieren provisionalmente a la criticidad de una infraestructura en función del número potencial de víctimas, el impacto económico (tanto pérdidas económicas, incluyendo el deterioro de productos y servicios, como medioambientales) así como el impacto público (la incidencia en la confianza de la población, el sufrimiento físico y la alteración de la vida cotidiana, incluida la pérdida y el grave deterioro de servicios esenciales) en los casos de falta de funcionamiento de dicha infraestructura. Por lo que se refiere a los criterios sectoriales, el PRD así como el actual Plan Nacional de Protección de Infraestructuras, se remiten a los doce sectores siguientes: Administración, Alimentación, Energía, Espacio, Sistemas Financiero y Tributario, Agua, Industria Nuclear, Industria Química, Instalaciones de Investigación, Salud, Tecnologías de la Información y las Comunicaciones y Transporte. Cabe destacar en este sentido, que la normativa española –a diferencia de la comunitaria– incorpora a las Tecnologías de la Información como uno de estos sectores críticos.

  Los criterios horizontales y sectoriales anteriores servirán para determinar los operadores críticos, es decir, las entidades u organismos responsables de las infraestructuras críticas. En todo caso, el operador crítico deberá ser oportunamente informado, a través del CNPIC, de la intención de ser declarado como tal y dispondrá de dos meses, a partir del día siguiente a su notificación, para presentar sus observaciones.

De las obligaciones que incumben al operador crítico en el proyecto deben destacarse:

La elaboración de un Plan de Seguridad del Operador en un plazo máximo de seis meses desde su designación como operador crítico. Dicho Plan deberá contener, al menos, la determinación de las infraestructuras ubicadas en territorio nacional así como aquéllas que puedan tener impacto a nivel comunitario, las contramedidas implantadas y las que se proponen para su mejor protección. En cualquier caso, el CNPIC establecerá el contenido mínimo y el modelo que deberá seguirse para la elaboración del citado Plan, que deberá ser aprobado previamente por el CNPIC y actualizado con periodicidad anual.

  La elaboración de un Plan de Protección Específico para cada una de las infraestructuras críticas en un plazo máximo de dieciocho meses desde su designación como operador crítico o de seis meses desde el momento en que se calificara como crítica una infraestructura determinada.
  La designación de un Responsable de Seguridad y Enlace, que deberá ser nombrado en el plazo de tres meses desde la designación de la entidad como operador crítico. Este Responsable de Seguridad y Enlace representará al operador crítico ante las autoridades competentes en todas las materias relativas a la seguridad de sus infraestructuras y los diferentes planes específicos, canalizando las necesidades operativas e informativas que surjan al respecto.

  La designación de un Delegado de Seguridad de la infraestructura crítica, en idéntico plazo de tres meses. El Delegado de Seguridad constituirá el enlace operativo y el canal de información con las autoridades competentes en todo lo concerniente a la seguridad concreta de la infraestructura crítica o la infraestructura crítica europea de que se trate, encauzando las necesidades operativas e informativas a este respecto.
  Finalmente, cabe resaltar que toda la información contenida en los Planes se considerará clasificada y que por tanto su acceso estará restringido a las Fuerzas y Cuerpos de Seguridad y otros organismos expresamente autorizados. En este sentido, se destina una parte importante del PRD a establecer las medidas de seguridad que deberá ofrecer esta información para evitar su acceso no autorizado así como su disponibilidad e integridad.

  El nuevo marco jurídico resultante afectará de manera importante a la externalización de procesos concernientes a infraestructuras críticas y, sobretodo, a la deslocalización y virtualización de sistemas que puedan afectar a estas infraestructuras, por lo que habrá que tener en cuenta las responsabilidades de los operadores críticos contratantes así como de los contratistas correspondientes. En el momento actual, se estima que el 80% de las infraestructuras críticas son gestionadas por empresas privadas, siendo previsible que una parte importante de las mismas tengan redes, sistemas o equipos ubicados fuera de nuestras fronteras.