Garantizar la prestación de servicios esenciales a través de las denominadas infraestructuras críticas se ha convertido en un objetivo prioritario para muchas naciones. Si duda, debido a la posibilidad de que se produzca un efecto dominó, se trata de un asunto que traspasa fronteras, como lo demuestra el que países pertenecientes a una misma región, como los europeos, hayan impulsado estrategias comunes. Pero, ¿qué sucede con Latinoamérica? ¿Debería aunar esfuerzos en materia de protección de infraestructuras críticas (PIC)?
Contenido relacionado: Infraestructuras críticas en Latinoamérica: ¿cómo protegerlas de las amenazas actuales?
¿América Latina debería tener una estrategia común de protección de infraestructuras críticas?
Con el objetivo de conocer la opinión de los profesionales de la región sobre dicha cuestión, Segurilatam ha planteado la siguiente pregunta en su página de la red social LinkedIn: «¿Crees que Latinoamérica debería tener una estrategia común de protección de infraestructuras críticas?». Y ha obtenido las siguientes respuestas:
- Sí, es imprescindible (62%).
- Sí, Latinoamérica es muy vulnerable (21%).
- No, no es necesario (2%).
- No, cada país es diferente (15%).
Como puede observarse, el 83% de los encuestados está a favor de que exista una estrategia común de protección de infraestructuras críticas en América Latina. Algo esencial teniendo en cuenta que no todos los países de la región poseen el mismo nivel de madurez de cara a garantizar la prestación de servicios esenciales en sectores que abarcan desde las administraciones públicas hasta la banca, pasando por el suministro de agua o energía, la atención médica o el transporte.
La UE, ejemplo de esfuerzo compartido para garantizar la prestación de servicios esenciales
Un ejemplo de esfuerzo compartido en el ámbito de la protección de infraestructuras críticas lo constituye la Unión Europea (UE). En esta entidad geopolítica que cubre gran parte del continente europeo se han aprobado una serie de directivas encaminadas a dar forma a un marco normativo sólido que contribuya a la resiliencia de los sectores que conforman el ecosistema PIC.
Directiva 2008/114/CE: el punto de partida
La Directiva 2008/114/CE fue la primera normativa europea que abordó formalmente la protección de infraestructuras críticas. Aprobada el 8 de diciembre de 2008, se centró principalmente en los sectores de energía y transporte. Su objetivo principal era identificar y designar las Infraestructuras Críticas Europeas (ICE), aquellas cuyo daño o interrupción tendría un impacto significativo en dos o más estados miembros. Los puntos clave de esta directiva incluían:
- La identificación de infraestructuras críticas a nivel europeo y nacional.
- El desarrollo de planes de seguridad del operador (PSO) para las infraestructuras designadas.
- El establecimiento de procedimientos para la notificación de incidentes.
Directiva NIS: seguridad de las redes y sistemas de información
Con el auge de las amenazas cibernéticas, la Directiva NIS (Network and Information Security) se aprobó en 2016, marcando un hito en la protección digital de las infraestructuras críticas. Esta norma buscaba mejorar la seguridad de las redes y sistemas de información en los sectores contemplados en la directiva (agua, energía, financiero, infraestructura digital o transporte), reconoció la interdependencia de los sectores físicos y digitales e introdujo:
- Obligaciones de seguridad para los operadores de servicios esenciales (OSE) y los proveedores de servicios digitales.
- Requisitos de notificación de incidentes.
- La creación de equipos de respuesta a emergencias informáticas (CERT, por sus siglas en inglés) a nivel nacional.
Directiva NIS 2: modernización de la seguridad cibernética
La Directiva NIS 2, adoptada en diciembre de 2022, reforzó y amplió el alcance de la primigenia Directiva NIS. Ante el incremento de ciberataques a nivel global y europeo, introdujo mejoras importantes para asegurar la resiliencia digital de las infraestructuras críticas. Entre ellas:
- Ampliación del alcance a más sectores, como las infraestructuras espaciales, la gestión de residuos y los servicios postales y de mensajería.
- Requisitos más estrictos de ciberseguridad para las empresas y operadores críticos.
- Una mayor armonización entre los estados miembros en términos de implementación y sanciones.
Directiva CER: la resiliencia ante amenazas físicas
También aprobada en diciembre de 2022, la Directiva CER (Critical Entities Resilience) aborda la resiliencia física de las infraestructuras críticas frente a un amplio espectro de amenazas, desde ataques terroristas hasta desastres naturales y sabotajes. Algunos aspectos clave de la Directiva CER incluyen:
- Un marco legal integral para mejorar la resiliencia física de los sectores críticos.
- Obligaciones de evaluación de riesgos y desarrollo de planes de resiliencia para los operadores de infraestructuras críticas.
- Un enfoque de cooperación y coordinación entre los Estados miembros para mejorar la capacidad de respuesta frente a amenazas que puedan afectar a varias regiones o países de la UE.
Todas estas directivas sobre protección de infraestructuras críticas han sido transpuestas a los diferentes ordenamientos jurídicos nacionales de los países que integran la UE. Y representan un interesante ejemplo sobre cómo desarrollar una estrategia PIC en un ámbito geográfico compartido.
Archivado en: