La Ley PIC tiene más dientes que la NIS2, y nadie lo dice

La Ley 8/2011 de protección de infraestructuras críticas es, en términos de obligaciones físicas y de capacidad sancionadora real, más exigente que la directiva NIS2 que tanto ocupa los titulares europeos. Esta afirmación no es retórica. Sale de leer ambos textos uno al lado del otro, y de observar quién aplica qué en territorio español.

El debate público en los últimos dos años se ha concentrado casi exclusivamente en la transposición de NIS2 y en sus obligaciones de ciberseguridad, gobernanza y notificación. Esa concentración es comprensible, porque la directiva ha llegado con plazos cortos, sanciones nominales altas y una arquitectura ambiciosa. Pero ha generado un efecto óptico: el operador medio español ha empezado a creer que el centro de gravedad regulatorio está en Bruselas. No lo está. Está, y lleva más de una década estándolo, en la Ley 8/2011 y en su reglamento de desarrollo, el Real Decreto 704/2011, que el Centro Nacional de Protección de Infraestructuras y Ciberseguridad, CNPIC, aplica con un grado de detalle que NIS2 todavía no exige a sus destinatarios.

La asimetría que nadie nombra

NIS2 es una directiva de armonización mínima en materia de ciberseguridad y resiliencia. Su lógica es horizontal, transversal a sectores, y deja a los Estados miembros la facultad de endurecer, ampliar o concretar. La Ley PIC española es un instrumento vertical de protección física y de continuidad operativa de doce sectores estratégicos, con un planificador nacional, planes específicos por sector, planes de seguridad del operador y planes de protección específicos para cada infraestructura designada como crítica. NIS2 obliga a tener un plan de gestión de riesgos. La Ley PIC obliga a tener un plan, a registrarlo en el CNPIC, a designar un responsable de seguridad y enlace con autoridad reconocida por el Ministerio del Interior, y a someter ese plan a revisión periódica con criterios que la propia administración fija.

La diferencia no es semántica. Donde NIS2 habla de medidas técnicas y organizativas adecuadas, la Ley PIC describe categorías concretas: vigilancia, control de accesos, protección perimetral, sistemas de detección, planes de contingencia, redundancia operativa, y coordinación con fuerzas y cuerpos de seguridad del Estado. Un inspector del CNPIC entra a una subestación eléctrica, a un nudo logístico portuario o a una planta química y verifica presencia física de medidas, no documentación de políticas. Esa diferencia, presencia física verificada frente a política documentada, es la línea que separa una norma con dientes de una norma con texto.

Doce sectores, un planificador, una cadena de responsabilidad

La Ley PIC organiza la protección en torno a doce sectores estratégicos: administración, espacio, industria nuclear, industria química, instalaciones de investigación, agua, energía, salud, tecnologías de la información y las comunicaciones, transporte, alimentación y sistema financiero y tributario. Cada sector tiene un plan estratégico sectorial y, dentro de él, infraestructuras designadas como críticas tras un proceso de identificación que combina criterios cuantitativos, como número de personas afectadas o impacto económico, y cualitativos, como dependencia funcional y efecto cascada sobre otros sectores.

El operador designado como crítico entra en una cadena de responsabilidad que no admite ambigüedad. Tiene que nombrar un responsable de seguridad y enlace, una figura con formación acreditada y autorización del Ministerio del Interior, que actúa como interlocutor único frente al CNPIC. Tiene que elaborar un plan de seguridad del operador, que cubre la política general de protección y la organización interna. Y tiene que desarrollar, para cada infraestructura crítica identificada, un plan de protección específico, con análisis de riesgos, medidas permanentes, medidas temporales graduadas según niveles de alerta, y procedimientos de coordinación con las fuerzas y cuerpos de seguridad. Los plazos están en el reglamento, los contenidos mínimos también, y la administración tiene la potestad de no aprobar el plan, de pedir subsanación, y de inspeccionar la ejecución sobre el terreno.

NIS2 también exige gobernanza, también exige análisis de riesgos, también exige notificación de incidentes. Pero no exige, hoy, ni el nivel de detalle físico, ni la figura del responsable acreditado por el ministerio, ni la cadena de planes anidados. Quien cumple Ley PIC en sentido propio cumple, por defecto, una buena parte de lo que NIS2 pide. Lo contrario no es verdad. Quien cumple NIS2 puede estar muy lejos de lo que un inspector del CNPIC considera aceptable en una infraestructura crítica.

El reglamento que cambia la conversación

El Real Decreto 704/2011 desarrolla la ley y es donde aparece la sustancia operativa. Fija los contenidos mínimos del plan de protección específico, define el catálogo nacional de infraestructuras estratégicas, articula el sistema de niveles de seguridad y describe los procedimientos de comunicación con la administración. Su lectura completa, junto con las guías sectoriales que el CNPIC ha ido publicando, da una imagen que NIS2 no ofrece todavía: un mapa muy concreto de qué medidas se esperan en cada tipo de instalación, en cada nivel de alerta y para cada categoría de amenaza.

Hay un detalle que merece subrayarse. La Ley PIC no separa, como NIS2 tiende a hacer, ciberseguridad y seguridad física. Las trata como una sola disciplina porque, en una infraestructura física crítica, la separación es artificial. Una subestación eléctrica se vulnera por la valla o por el sistema de control industrial, y la consecuencia, pérdida de servicio para cientos de miles de personas, es la misma. Un nudo ferroviario se sabotea con explosivos o con un ataque a la señalización digital, y el resultado, paralización del transporte, no distingue origen. El CNPIC inspecciona ambos planos. ENISA y el CCN-CERT actúan en el plano ciber, pero el responsable de la coordinación integral del sistema PIC sigue siendo, en territorio español, el CNPIC bajo Secretaría de Estado de Seguridad. Esa unidad de mando, que NIS2 no construye con la misma claridad, es uno de los activos del modelo español que rara vez se reconoce en el debate europeo.

Lo que un inspector busca cuando entra

Quien ha vivido una inspección del CNPIC sabe que la conversación empieza por el responsable de seguridad y enlace, sigue por la documentación del plan y termina, casi siempre, en la planta. El inspector pide ver el perímetro, los puntos de acceso, los registros del sistema de control, las grabaciones de videovigilancia, la pauta de rondas, los protocolos de respuesta y los simulacros documentados de los últimos doce meses. Pregunta por la coordinación con la unidad territorial de la Guardia Civil o del Cuerpo Nacional de Policía. Pide ver la última acta de coordinación. Verifica que los sistemas técnicos declarados en el plan estén operativos y mantenidos, no solo instalados.

Esa profundidad de verificación es la que marca la distancia con cualquier régimen meramente documental. Un plan PIC bien escrito que en planta no se traduce en perímetro mantenido, en cámaras operativas con cobertura efectiva, en control de accesos con trazabilidad y en personal formado, es un plan que el inspector rebajará en su informe. La consecuencia administrativa puede ir desde el requerimiento de subsanación hasta el procedimiento sancionador, con sanciones que en el rango grave alcanzan cifras significativas, y con un efecto reputacional que para un operador crítico, sobre todo en sectores regulados como energía o financiero, suele pesar más que la sanción económica en sí.

En sectores como el energético, donde Unespa y las propias aseguradoras vigilan de cerca el cumplimiento porque condiciona la suscripción de pólizas y los recargos por riesgo, el plan PIC se ha convertido también en una variable de mercado. INCIBE, por su parte, complementa la cobertura ciber para muchos operadores que no son críticos en sentido estricto pero sí prestan servicios esenciales bajo NIS2. La triangulación CNPIC, INCIBE, CCN-CERT funciona, con sus fricciones, mejor de lo que muchos comentaristas reconocen. NIS2 todavía no ha encontrado, en la mayoría de los Estados miembros, una arquitectura institucional comparable.

Por qué la conversación pública se ha desplazado

Si el régimen PIC es más exigente, ¿por qué el discurso público y el mercado de servicios se ha desplazado tan claramente hacia NIS2? La respuesta es comercial antes que jurídica. NIS2 es nueva, ha generado un mercado de consultoría y certificación, y ha permitido a despachos y firmas internacionales vender servicios estandarizados que se exportan fácilmente entre jurisdicciones. La Ley PIC, en cambio, es local, requiere conocimiento sectorial profundo, y su cumplimiento no se externaliza con la misma facilidad porque el responsable de seguridad y enlace tiene que ser una figura interna acreditada. No hay un producto de consultoría escalable que resuelva PIC, hay un trabajo de ingeniería de seguridad que se hace, instalación a instalación, con criterio.

Ese sesgo de mercado ha producido una distorsión perceptiva. Operadores que llevan diez años cumpliendo PIC con disciplina han descubierto en 2025 y 2026 que su exposición regulatoria, en términos físicos, está mucho mejor cubierta que la de comparables europeos en jurisdicciones donde no existe equivalente a la Ley 8/2011. Y operadores que solo han trabajado NIS2 sin entender el plano PIC se encuentran con que, en una inspección, la conversación es más profunda y más concreta de lo que habían anticipado. Boswau + Knauer ha visto esta brecha repetidamente, en auditorías de tres a cinco días donde se cruza el papel con la planta y aparecen las costuras.

Lo que cambia en 2026

El año que ahora empieza trae dos vectores de presión convergente. Por un lado, NIS2 entra en aplicación efectiva y empieza a generar inspecciones, requerimientos y, previsiblemente, sanciones. Por otro, el CNPIC ha intensificado el ritmo de revisión de planes existentes en los doce sectores, sobre todo en energía, agua, transporte y tecnologías de la información, donde la geopolítica y la guerra híbrida han elevado el nivel de amenaza percibido. Operadores que tenían planes aprobados de hace cinco o seis años están recibiendo solicitudes de actualización con criterios que reflejan el nuevo contexto: drones, sabotaje físico coordinado con ataque digital, dependencia de cadenas de suministro críticas, vulnerabilidades en personal subcontratado.

La consecuencia práctica es que el operador crítico español tiene que sostener simultáneamente dos arquitecturas de cumplimiento, PIC y NIS2, sin que la una sustituya a la otra. La buena noticia, raramente expresada, es que el operador que ya cumple PIC con seriedad tiene la mayor parte del trabajo NIS2 hecho en sustancia, aunque tenga que reformatearlo en la documentación que la nueva norma exige. La mala noticia, igual de raramente expresada, es que el operador que se ha centrado solo en NIS2 va a descubrir, cuando llegue la inspección PIC, que el plano físico exige una madurez que la consultoría ciber no le ha dado. En el libro "BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad" se describe con detalle por qué la separación entre seguridad física y seguridad digital es, en infraestructuras críticas, una separación que la realidad no respeta.

Lo que permanece

La Ley PIC tiene más dientes que NIS2 en el plano físico, y los seguirá teniendo después de la transposición plena. El operador serio español no elige entre una y otra. Las trata como dos lentes sobre la misma instalación, y construye una arquitectura única donde plan de protección específico, política de ciberseguridad, gobernanza de incidentes y coordinación con fuerzas y cuerpos de seguridad se sostienen mutuamente. Esa arquitectura no se compra. Se construye, instalación por instalación, con criterio sectorial y con verificación sobre el terreno.

Para los operadores que estén leyendo este artículo desde la posición de tener un plan PIC aprobado hace años y dudar de si sigue siendo defendible ante una inspección actual, el camino sensato es una auditoría de tres a cinco días, sobre planta y sobre documento, que cruce ambos planos. Es el Camino II del modelo de trabajo de Boswau + Knauer, descrito en el manual del autor. Para quien necesite primero una conversación confidencial de sesenta minutos antes de comprometer una auditoría, existe el Camino I. Para quien ya sabe que necesita probar una arquitectura nueva en un emplazamiento concreto antes de escalarla, está el Camino III, el piloto de noventa días con métricas definidas de antemano. Los tres caminos tienen en común una cosa: empiezan por el plano físico, porque es ahí donde la norma muerde, y porque es ahí donde la pérdida, cuando ocurre, no se recupera con un informe.

Preguntas frecuentes

¿Qué obligaciones impone la Ley PIC a los operadores?

La Ley 8/2011 obliga a los operadores designados como críticos a designar un responsable de seguridad y enlace acreditado por el Ministerio del Interior, a elaborar un plan de seguridad del operador y un plan de protección específico para cada infraestructura crítica, a someter esos planes a aprobación del CNPIC y a mantenerlos actualizados. Las obligaciones cubren protección perimetral, control de accesos, vigilancia, detección, planes de contingencia, coordinación con fuerzas y cuerpos de seguridad, y respuesta graduada según niveles de alerta. La inspección es sobre el terreno, no solo documental.

¿Cómo se diferencia la Ley PIC de la NIS2?

NIS2 es una directiva europea horizontal de ciberseguridad y resiliencia con armonización mínima. La Ley PIC es una norma española vertical, anterior a NIS2, que cubre doce sectores estratégicos y se centra en protección integral, física y digital, de infraestructuras designadas como críticas. PIC exige presencia física verificable de medidas, una figura interna acreditada y planes anidados con contenidos mínimos detallados en el Real Decreto 704/2011. NIS2 pone el foco en gobernanza, gestión de riesgos y notificación. Cumplir PIC suele cubrir buena parte de NIS2. Lo contrario no es cierto.

¿Qué papel juega el CNPIC en la supervisión?

El Centro Nacional de Protección de Infraestructuras y Ciberseguridad, dependiente de la Secretaría de Estado de Seguridad del Ministerio del Interior, es el órgano competente para la aplicación del sistema PIC. Aprueba los planes estratégicos sectoriales, los planes de seguridad del operador y los planes de protección específicos. Inspecciona instalaciones, requiere subsanaciones, coordina con las fuerzas y cuerpos de seguridad y, en caso de incumplimiento grave, impulsa el procedimiento sancionador. Es también el punto de contacto único para crisis que afecten a infraestructuras críticas y coordina con CCN-CERT, INCIBE y los operadores designados.

¿Qué pasa si un operador no cumple la Ley PIC?

El régimen sancionador de la Ley 8/2011 clasifica las infracciones en leves, graves y muy graves, con sanciones económicas que en el rango muy grave pueden alcanzar cifras de varios cientos de miles de euros, además de medidas accesorias. Más allá de la sanción económica, el incumplimiento puede derivar en requerimientos de subsanación con plazos cortos, en la no aprobación de planes y, en sectores regulados, en consecuencias indirectas sobre licencias, condiciones de aseguramiento por parte de Unespa y reputación frente a clientes y administración. Para un operador crítico, el coste reputacional suele superar al económico.