El 6º Congreso PIC anuncia el nuevo esquema de certificación de IICC

El pasado 6 de noviembre, en el Auditorio de Telefónica, y 15 minutos antes de la hora programada, el Ministro del Interior, Fernando Grande-Marlaska Gómez, abrió el VI Congreso de Protección de Infraestructuras Críticas y Servicios Esenciales, organizado por el Centro Nacional de Infraestructuras y Ciberseguridad (CNPIC) y la Fundación Borredá.

Desde nuestra perspectiva, queremos resaltar la presentación del esquema de certificación de Infraestructuras Críticas cuyo desarrollo fue presentado por Juan José Zurdo, Jefe de Normativa y Coordinación del CNPIC, y Antonio Ramos, Socio Fundador de LEET Security.

Zurdo comentó que los objetivos de este nuevo esquema, cuyo desarrollo ya fue anticipado en la pasada edición del Congreso, tienen una doble perspectiva: por una parte la de facilitar a la Administración las tareas de supervisión de los Operadores Críticos, al disponer de un modelo estándar para comprobar y comparar el nivel de seguridad dispuesto por todos ellos, y por otra, para los propios Operadores, al disponer de un medio para poder acreditar el cumplimiento de sus obligaciones en materia de protección de las infraestructuras  críticas.

El esquema, que está llamado a ser el nuevo formato en que se materializarán los actuales PSOs y PPEs, y cuya entrada formal en vigor se prevé para la segunda mitad de 2019, será de obligatoria aplicación a los Operadores Críticos, pero también de adopción voluntaria a aquellos operadores de servicios esenciales, no críticos, así como a sus proveedores, que pueden encontrar utilidad en el mismo, tanto para poner de manifiesto el nivel de seguridad con que operan sus servicios, como contar con su aportación para el desarrollo y mejora de sus capacidades  de seguridad.

El modelo y la norma en base a la cual se procederá a su certificación, ha sido desarrollado por CNPIC, con Ineco y LEET Security.

A continuación, Ramos detalló alguna de las consideraciones y retos que ha supuesto su desarrollo, y que podemos resumir en:

  • Un modelo flexible para, por una parte, recoger la diversidad de madurez de los operadores pero, por otra, garantizar un nivel mínimo de seguridad.
  • Compatible y apoyado en los esfuerzos de estandarización y certificación preexistentes, en particular, el mencionado C4V y, por supuesto, el Esquema Nacional de Seguridad (ENS). Para ello, el esquema debía utilizar como base la norma ISO 17065.
  • Adherido a la normativa vigente, no solo de infraestructuras críticas, sino también a las sectoriales aplicables. Y, por supuesto, a la directiva NIS, ahora transpuesta, teniendo en cuenta tanto operadores críticos, como operadores de servicios esenciales.
  • Enfoque en la seguridad integral.

Para la generación del este esquema se ha utilizado el mismo enfoque de evaluación de capacidades de seguridad empleado para el desarrollo del modelo C4V en colaboración con INCIBE, ampliando la perspectiva con la aportación de las medidas de seguridad física por parte de INECO, con el resultado de un modelo integral, estructurado en las secciones que se muestran en la siguiente figura:

El modelo cuenta con mapeos que permiten determinar las relaciones de equivalencia con el C4V y con el ENS,  de forma que las organizaciones que hubieran realizado trabajos de adecuación y/o evaluación de conformidad con dichas referencias, pudieran reutilizarlos, resultando así enormemente eficiente para evitar procesos duplicados de. Incluso,  en el futuro se podrán realizar mapeos con otras normas que contengan requisitos específicos en materia de seguridad (PCI DSS, NERC, etc.).

Finalmente, Ramos concluyó manifestando que este modelo de evaluación de capacidades en seguridad integral apoyado en un esquema de certificación,  es una aproximación única y pionera en Europa al problema de aumentar la seguridad en los sectores esenciales y, en particular, en los operadores críticos, que puede ser posicionada como referente en el ámbito internacional como el modelo a seguir.

Suscríbete a nuestras novedades desde este enlace