Demo Buchen
Volver

Los puntos clave de la ley marco sobre protección reforzada de infraestructuras críticas

8 de diciembre de 2022

El Gobierno Federal ha adoptado los nuevos puntos clave de la ley paraguas KRITIS presentados por la Ministra Federal de Interior y Asuntos de Interior, Nancy Faeser. En él se fijan los objetivos esenciales y el contenido normativo del acuerdo de coalición en el que se acordó este proyecto.

Los operadores de infraestructuras críticas deben reforzar sus medidas de protección para proteger mejor sus sistemas contra los fallos. La ley marco CRITIS permite al Estado y a los operadores de estos sistemas identificar mejor las amenazas. El documento básico también establece normas mínimas para los operadores de todos los sectores. Esto da a los operadores más orientación y seguridad de actuación: pueden defenderse más eficazmente de los ataques.

Asimismo, un sistema centralizado de seguimiento de incidentes garantizará una visión de conjunto de las posibles vulnerabilidades en la protección física de infraestructuras críticas como complemento al sistema de notificación existente en el sector de la ciberseguridad. La cooperación de las partes implicadas en el ámbito de las infraestructuras críticas debe desarrollarse más claramente mediante la ley marco CRITIS.

La ley marco CRITIS sustituye simultáneamente a la Directiva de la UE sobre resiliencia de las entidades críticas (Directiva CER), que se adoptará con previsión a finales de 2022. La integración de la ley en el sistema europeo general, así como la cooperación transfronteriza, también refuerzan la seguridad del suministro en Alemania y Europa.

Los objetivos de la Ley Paraguas CRITIS de un vistazo:

Las infraestructuras críticas están claramente identificadas.

  1. Las infraestructuras críticas están claramente identificadas.

  2. La resiliencia del sistema global de infraestructuras críticas se refuerza mediante requisitos mínimos uniformes para las medidas de resiliencia en todos los sectores.

  3. La protección de las infraestructuras críticas es una tarea que concierne a todos los departamentos, a todas las partes interesadas y a todo el país. Los operadores de infraestructuras críticas -ya sean empresas privadas o instituciones públicas- deben garantizar su capacidad de funcionamiento. La ley marco KRITIS complementa el enfoque cooperativo con normas de protección obligatorias para la seguridad física. Esto dará a los operadores más orientación y seguridad de actuación.

  4. Al crear un marco estatal con el sistema de notificación que se introducirá para los incidentes y controles de seguridad, el Estado también asume una mayor responsabilidad en la protección de las infraestructuras críticas. El nuevo sistema de notificación que se introducirá en el ámbito de la seguridad física complementa el sistema de notificación existente en el ámbito de la ciberseguridad de las infraestructuras críticas. El Estado también seguirá apoyando a los operadores mediante análisis, así como directrices, asesoramiento, ejercicios y formación.

  5. El impacto en el sistema global de todas las infraestructuras críticas debe estar en el primer plano de la protección física de las infraestructuras críticas. Se tienen más en cuenta las interdependencias intersectoriales y transfronterizas y las interdependencias de los sectores. La protección de las infraestructuras críticas no es sólo una tarea sectorial, sino también una tarea transversal que responsabiliza a todos los ministerios y requiere su cooperación y colaboración específicas. Si se producen fallos en un sector, como la energía, las tecnologías de la información/telecomunicaciones o el transporte/tráfico, esto puede tener graves efectos también en otros sectores.

  6. Debe reforzarse la resistencia de las infraestructuras críticas en su conjunto, y no sólo la protección de las infraestructuras críticas individuales. Las infraestructuras críticas deben ser capaces de prevenir, protegerse, responder y recuperarse de incidentes de seguridad que pueden provocar graves perturbaciones, potencialmente intersectoriales y transfronterizas. Además, hay que limitar, absorber y gestionar las consecuencias de un incidente de este tipo y garantizar su recuperación.

  7. Las interconexiones e interdependencias de las infraestructuras críticas también se tienen en cuenta a nivel administrativo. En un nuevo enfoque, la protección física de las infraestructuras críticas se considerará un tema independiente con la ley paraguas CRITIS y coordinado por una autoridad competente global. Los efectos transfronterizos también se tienen en cuenta mediante una cooperación aún más estrecha en un marco europeo.

(Fuente: bmi.bund.de/publication Eckpunkte für das KRITIS-Dachgesetz)

Contenido normativo de la Ley Paraguas CRITIS

Estos objetivos definidos dan lugar a normativas vinculadas a propuestas de aplicación para alcanzarlos. Estas normas de la nueva ley paraguas CRITIS son las siguientes:

Identificar claramente los CRÍTICOS
Con la Ordenanza de Infraestructuras Críticas BSI, ya existe una designación establecida de infraestructuras críticas en el sentido de la Ley BSI con un enfoque en posibles impedimentos de la seguridad del suministro debido a amenazas del ciberespacio. Con la ley marco CRITIS, esta disposición existente se completará con una identificación sistemática y exhaustiva de todas las infraestructuras críticas especialmente merecedoras de protección.

Reconocer mejor las amenazas y los riesgos
 Las amenazas a las infraestructuras críticas serán objeto de una evaluación periódica. Las evaluaciones estatales de riesgos para los servicios críticos proporcionarán a los operadores una base para sus propias evaluaciones de riesgos específicas que deberán realizarse periódicamente y las medidas que deberán adoptarse en función de las mismas.

Aumentar obligatoriamente el nivel de protección
Se impondrán los mismos requisitos mínimos de seguridad física a los operadores de infraestructuras críticas de todos los sectores, con el fin de protegerlas plenamente contra las amenazas y hacerlas más resistentes como parte del sistema global.

Así pues, esta normativa pretende completar los requisitos ya existentes en materia de ciberseguridad de las infraestructuras críticas. Estos incluyen
- el establecimiento de una gestión de riesgos operativos y crisis
- la realización de análisis y evaluaciones de riesgos
- la preparación de planes de resistencia y
- la aplicación de medidas técnicas, de personal y organizativas adecuadas y proporcionadas para la institución respectiva.

Reconocer y subsanar los fallos del sistema global
 La introducción de un sistema central de seguimiento de incidentes como complemento del actual sistema de notificación en el ámbito de la ciberseguridad permitirá tener una visión global de las posibles vulnerabilidades en la protección física de las infraestructuras críticas. Al notificar los incidentes de seguridad, se puede advertir a otras infraestructuras críticas afectadas por el incidente de seguridad, también en otros Estados miembros.

Crear un marco institucional
La cooperación de los numerosos actores implicados en la protección de las infraestructuras críticas por parte de los gobiernos y entre los operadores de infraestructuras críticas está más claramente elaborada. Una mejor cooperación se logra a través de responsabilidades, personas de contacto y prioridades claras para las cuestiones relacionadas con la resiliencia de las infraestructuras críticas.

La versión completa de los puntos clave de la ley marco KRITIS puede consultarse AQUÍ

(Fuente de la imagen: Foto de Jonas Tebbe en Unsplash)

Tenemos más temas sobre los que nos gusta escribir.

Confianza cero en las PYME: 10 pasos hacia el éxito

Confianza cero en las PYME: 10 pasos hacia el éxito

Confianza cero en las medianas empresas. Proteja los recursos y minimice el riesgo de filtración de datos con Privileged Access Management, autenticación multifactor y segmentación de red. Póngase en contacto con nosotros

Consentimiento para el uso de cookies con un banner de cookies real