En 2008, la Unión Europea aprobó una directiva sobre la identificación y designación de infraestructuras criticas europeas y la necesidad de mejorar su protección (2008/114/EC)

Esta directiva tiene su origen en los atentados del 11 de septiembre 2001 y otros posteriores y tiene como finalidad mejorar la protección de las infraestructuras críticas de 12 sectores de negocio identificados como críticos.

“Las infraestructuras críticas, son aquellas instalaciones, redes, servicios y equipos físicos y de tecnología de la información cuya interrupción o destrucción produciría un impacto mayor en la salud, la seguridad o el bienestar económico de los ciudadanos o en el eficaz funcionamiento de la Administración…”

Los sectores que disponen de infraestructuras críticas son:

• Energía
• Industria Nuclear
• Transportes
• Tecnología de la información
• Agua
• Alimentación
• Salud
• Sistema financiero y tributario
• Industria Química
• Espacio
• Instalaciones de investigación
• Administración

El objetivo de la directiva y la futura reglamentación española es mejorar la protección de las infraestructuras críticas en aspectos de:

• Prevención
• Capacidad de respuesta
• Capacidad de recuperación

..frente a incidencias graves. Se trata de una colaboración entre los operadores y gestores de las infraestructuras, las fuerzas y cuerpos de seguridad y la administración.

El marco de aplicación hace referencia a escenarios de crisis de nivel III o superior. No estamos hablando de una incidencia con un impacto limitado a una organización o una zona muy limitada geográficamente.

En España, el ministerio de Interior y más específicamente el CNPIC (Centro Nacional de Infraestructuras Críticas) lidera la transposición en el ordenamiento jurídico español de esta directiva.

¿Cuál es la relación de esta nueva ley con la gestión de Continuidad de Negocio?

La  gestión de Continuidad de Negocio tiene como finalidad preparar las organizaciones a hacer frente a incidencias graves que pueden afectar a su futuro. La implantación se realiza vía un proceso que cubre tanto aspectos de prevención (identificación de riesgos operacionales, identificación de actividades críticas, implantación de planes de recuperación para instalaciones críticas, simulacros y ejercicios), como de reacción, en caso de producirse una incidencia grave vía la coordinación de crisis y la activación de los planes de recuperación. Existe a consecuencia una relación muy estrecha entre la implantación de la ley de protección de infraestructuras críticas y la implantación de la continuidad de negocio.

Se prevé en 2011 la aprobación del proyecto de ley y su implantación paso a paso en los distintos sectores clasificados como críticos.