El pasado 30 de abril finalizó el plazo para realizar comentarios al Proyecto de Real Decreto para la Protección de las Infraestructuras Críticas (al que denominaremos, RDPIC) que ha preparado el Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC). Pues bien, después de haber tenido la oportunidad de revisarlo me gustaría compartir con vosotr@s mis principales conclusiones [además las he resumido para que no quedara una entrada demasiado larga, así que si queréis más, ya sabéis que podéis comentar].
Antes de entrar en materia, un comentario previo: Aunque evidentemente este proyecto de RDPIC deberá estar alineado con la Directiva 2008/114/CE, no se trata de realizar una trasposición directa puesto que ésta se circunscribe a la protección de infraestructuras críticas cuando tienen impacto a nivel europeo, mientras que el ámbito geográfico del RDPIC es el territorio nacional. Por tanto, aunque es de esperar cierto alineamiento, más que nada por consistencia, tampoco tiene porque ser total... Dicho esto, vamos allá con mis comentarios:
1. Ámbito de aplicación
El texto propuesto se limita a la protección en caso de ataques deliberados. En mi opinión, este alcance se queda un poco corto puesto que sabemos que no todos los orígenes de las amenazas son intencionados y que, puestos a proteger, mejor considerar todos los posibles orígenes aunque luego, como es lógico, no tratemos igual todas las amenazas.
2. Especificación de los criterios de criticidad
En el proyecto de RDPIC se enumeran los criterios que han de servir para nominar una infraestructura como crítica (iguales que los de la Directiva... perfecto) pero no se detallan. Si no se especifican dichos criterios estaremos a disposición de la subjetividad del evaluador de turno, algo en lo que todos coincidiremos que hay que tratar de evitar por todos los medios, ¿no?
3. El papel del análisis de riesgos
Aquí, ya sé que no teníamos escapatoria porque también está recogido en la Directiva pero... lo siento, no creo que podamos confiar la protección de las infraestructuras críticas a los análisis de riesgos... No, no soy un hereje, simplemente es que los análisis de riesgos, por una parte, si no definimos criterios claros y medibles, estarán repletos de subjetividades y, por otra, sabemos que existen "cisnes negros" que nunca vamos a contemplar en el análisis si nos limitamos a mirar hacia el pasado.
En definitiva, usemos los análisis de riesgos para gestionar aquellas amenazas que se materializan con cierta asiduidad pero, dejemos también un espacio para considerar eventos de gran impacto aunque, hoy por hoy, nos parezcan poco probables.
Finalmente, el análisis de riesgos, sin más, no nos aporta nada a la protección de este tipo de activos, sino que la herramienta clave será el umbral de riesgo que la Administración decida aceptar como nivel de riesgo tolerable... porque, desde luego, si lo dejamos abierto, no obtendremos una protección ni uniforme, ni coherente (el nivel de protección será el nivel de la infraestructura menos protegida, a.k.a. factor limitante o eslabón más débil de la cadena) [por cierto, me repito... esto ya lo dije comentando el Esquema Nacional de Seguridad].
4. Stakeholders
Ya sé que vivimos en un país complejo (me encanta la definición que le escuché a Ángel Garó: "Somos un país que, en realidad, somos los Juegos Reunidos Geyper") pero el número de actores incluidos en el proyecto de RDPIC hace que sea extremadamente difícil seguir el rol y las responsabilidades de cada uno. En mi opinión se debería incluir algún tipo de representación de la típica matriz RACI para que se pudiera seguir fácilmente y todo estuviera mucho más claro (en especial, el asunto de la supervisión y control).
5. Infraestructuras estratégicas y críticas
Aunque éste es un asunto, claramente, menor, supone un mayor grado de complejidad para el RDPIC, dado que su ámbito son las infraestructuras críticas pero en múltiples ocasiones se habla de infraestructuras, sectores o subsectores estratégicos que, obviamente, es un conjunto mayor que el de las críticas. Ya sé que parece tener poca trascendencia pero he de reconocer que me he liado... y además, tenemos que decidir si queremos proteger las unas o las otras, o todas...
No hay comentarios:
Publicar un comentario