PIC frente a NIS2: dos modelos, dos resultados

La Ley PIC y la Directiva NIS2 no son dos versiones de la misma regulación, sino dos filosofías opuestas sobre cómo el Estado protege lo que no puede permitirse perder.

Quien las trate como capas superpuestas de una misma obligación de cumplimiento confunde el oficio. La Ley 8/2011 española de Protección de Infraestructuras Críticas y la Directiva (UE) 2022/2555, conocida como NIS2 y transpuesta con retraso por la mayoría de los Estados miembros, parten de premisas distintas, financian de manera distinta, supervisan con organismos distintos y producen, al cabo de los años, resultados distintos sobre el terreno. Un operador que diseñe su arquitectura de seguridad sin entender esa diferencia construye un edificio con dos cimentaciones que no se hablan.

Dos genealogías regulatorias

La Ley PIC nace de una lógica de defensa nacional. Se gesta tras los atentados de Madrid de 2004 y de Londres de 2005, se aprueba en 2011 y se construye en torno a la figura del Centro Nacional de Protección de Infraestructuras Críticas, el CNPIC, dependiente del Ministerio del Interior. Su vocabulario es el de la seguridad del Estado: operador crítico designado, plan estratégico sectorial, plan de seguridad del operador, plan de protección específica, plan de apoyo operativo. La cadena de mando es vertical y discreta. El operador designado entra en un régimen de relación bilateral con el CNPIC en el que la información sensible no circula en boletines oficiales. Los doce sectores estratégicos están definidos en el reglamento, y la designación de un operador como crítico es una decisión administrativa motivada, no una autoclasificación.

NIS2 nace de una lógica distinta. Su genealogía se encuentra en la Agenda Digital Europea, en el trabajo de ENISA y en la primera Directiva NIS de 2016, que se reveló insuficiente. La Comisión y el Parlamento Europeo construyen la nueva directiva sobre tres ideas: ampliar el perímetro de entidades obligadas, armonizar las obligaciones mínimas en los veintisiete Estados miembros y reforzar el régimen sancionador. El centro de gravedad ya no es la defensa nacional, sino el funcionamiento del mercado interior. La autoridad competente típica no es un servicio de inteligencia, sino una agencia de ciberseguridad, en España el INCIBE para una parte del perímetro y otros organismos sectoriales para el resto. El vocabulario es el del cumplimiento corporativo: análisis de riesgos, medidas técnicas y organizativas, notificación de incidentes en plazos tasados, responsabilidad de los órganos de dirección.

La consecuencia práctica de estas dos genealogías es profunda. La Ley PIC trata al operador como un actor de la seguridad nacional con el que el Estado quiere hablar en privado. NIS2 trata al operador como un sujeto obligado del mercado interior al que el Estado quiere medir, comparar y, en su caso, sancionar de manera visible. La primera busca colaboración encubierta. La segunda busca homogeneidad explícita.

El perímetro: designación frente a autoclasificación

La diferencia más visible entre los dos modelos está en cómo se determina quién queda sujeto. La Ley PIC opera por designación. El CNPIC, sobre la base de los planes estratégicos sectoriales aprobados, identifica a los operadores cuyas infraestructuras son críticas y les notifica formalmente esa condición. El operador no se autodesigna. La designación es un acto administrativo, motivado, recurrible y, en cuanto a su contenido, reservado. El número de operadores críticos en España no se publica en cifras desagregadas por sector, y esa opacidad es deliberada.

NIS2 opera por autoclasificación. La directiva define dos categorías, entidades esenciales y entidades importantes, con umbrales de tamaño y sector que el operador debe aplicarse a sí mismo. Si una empresa de transporte supera el umbral de empleados y facturación previsto en el Anexo I, queda sujeta como entidad esencial sin necesidad de notificación formal. La carga de la calificación recae en el operador, que debe registrarse ante la autoridad competente nacional. Esto produce un universo de sujetos obligados mucho más amplio y mucho más heterogéneo que el de la Ley PIC. Donde el CNPIC trabaja con un perímetro acotado de operadores que conoce uno a uno, las autoridades NIS2 se enfrentan a varios miles de entidades en cada Estado miembro, con niveles de madurez radicalmente desiguales.

Esta diferencia de perímetro tiene una consecuencia operativa que pocos consultores explican con claridad. Una entidad puede estar sujeta a NIS2 sin haber sido nunca designada operador crítico bajo la Ley PIC. Una entidad designada operador crítico bajo la Ley PIC está, casi por definición, también sujeta a NIS2, pero los planes que tiene aprobados ante el CNPIC no equivalen automáticamente al cumplimiento NIS2. Son dos cuerpos documentales distintos, con dos destinatarios distintos, con dos lógicas de actualización distintas. El intento de fusionarlos en un único plan unificado suele acabar en un documento que no satisface plenamente a ninguna de las dos autoridades.

Financiación y carga sobre el operador

La Ley PIC es un régimen barato para el Estado y caro para el operador, pero con una compensación implícita. El operador asume el coste de elaborar sus planes, de mantener su responsable de seguridad y enlace, de implantar las medidas físicas y lógicas que se le exigen. A cambio, recibe del CNPIC información de inteligencia que no está disponible en el mercado, acceso a una red de cooperación con las Fuerzas y Cuerpos de Seguridad del Estado y, en situaciones de crisis, un canal directo con la autoridad. Esa compensación no figura en ningún balance, pero los responsables de seguridad de los operadores designados saben que existe y la valoran.

NIS2 es un régimen más caro para el Estado, porque obliga a las autoridades competentes a supervisar a un universo mucho más amplio, y también caro para el operador, pero sin la compensación de inteligencia que caracteriza a la Ley PIC. El operador NIS2 paga su cumplimiento y recibe a cambio, en el mejor de los casos, alertas sectoriales del CCN-CERT o del INCIBE-CERT, recomendaciones genéricas y la posibilidad de participar en ejercicios. La asimetría informativa entre lo que el operador entrega y lo que recibe es notablemente mayor. Esto explica por qué muchos operadores viven NIS2 como una carga regulatoria pura, mientras que la Ley PIC, pese a ser más exigente en términos absolutos, se percibe a menudo como una relación de partnership.

El régimen sancionador acentúa esta diferencia. La Ley PIC contempla sanciones, pero su uso ha sido históricamente discreto y dirigido a casos extremos. La filosofía dominante es la corrección por diálogo. NIS2, en cambio, introduce un régimen sancionador europeo armonizado, con multas que pueden alcanzar el dos por ciento de la facturación mundial para entidades esenciales, y con responsabilidad personal de los miembros del órgano de dirección. La intención del legislador europeo es producir un efecto disuasorio comparable al del RGPD, y la AEPD ya ha demostrado que ese efecto, una vez consolidado, transforma el comportamiento corporativo de manera duradera.

Ejecución sobre el terreno: dos velocidades

Una cosa es lo que dice el papel y otra cosa es lo que ocurre en las instalaciones. Aquí los dos modelos divergen aún más. La Ley PIC, en sus quince años de vigencia, ha producido un cuerpo de operadores designados que ha madurado lentamente, con planes que se revisan cada dos o tres años, con auditorías del CNPIC que se preparan con meses de antelación y con una cultura de seguridad razonablemente sedimentada en los sectores tradicionales, energía, agua, transporte. La ejecución es desigual entre sectores, pero el rodaje existe.

NIS2 está en pleno despliegue. La transposición española se ha demorado, los reglamentos de desarrollo siguen llegando, y la mayoría de las entidades obligadas se encuentran en la fase inicial de identificar qué medidas técnicas y organizativas concretas debe implantar cada una. Esta fase inicial produce un mercado de consultoría que, en una parte significativa, vende plantillas. La plantilla resuelve la apariencia del cumplimiento, no su sustancia. Una entidad que adopta una política de gestión de incidentes copiada de un modelo genérico, sin haber medido sus propios tiempos de detección, sin haber probado sus propios protocolos de notificación, sin haber identificado las personas concretas que activarán cada paso, tiene un documento, no una capacidad.

La diferencia se ve cuando ocurre algo. Un operador crítico bajo la Ley PIC que sufre un incidente significativo tiene activado, casi por reflejo, su plan de protección específica y su plan de apoyo operativo, ha hablado decenas de veces con su enlace del CNPIC y sabe a quién llamar en los primeros quince minutos. Una entidad NIS2 que sufre el mismo incidente puede estar todavía buscando en su carpeta de documentos el procedimiento que firmó hace seis meses sin haberlo ejercitado. El plazo de notificación de veinticuatro horas para alerta temprana, setenta y dos horas para notificación inicial y un mes para informe final, que parece razonable sobre el papel, se convierte en una carrera contrarreloj cuando no se ha ensayado.

ENISA publica anualmente un informe sobre el estado de la ciberseguridad en la Unión que documenta esta brecha entre la regulación y la capacidad efectiva. La lectura cuidadosa de ese informe, junto con los datos del CCN-CERT sobre incidentes de impacto crítico, revela una constante: las entidades que mejor responden son aquellas que han ensayado, no aquellas que han documentado.

El punto donde los dos modelos se tocan

Hay un terreno donde los dos modelos se solapan y donde la mayoría de los errores se cometen. Una empresa designada operador crítico bajo la Ley PIC en el sector energía es, simultáneamente, entidad esencial bajo NIS2. Tiene un responsable de seguridad y enlace ante el CNPIC, un plan de seguridad del operador y un plan de protección específica por cada infraestructura. Y tiene, además, obligaciones de gestión de riesgos de ciberseguridad bajo NIS2, deber de notificación de incidentes a la autoridad NIS2 competente y responsabilidad reforzada de su consejo de administración.

La tentación es construir un único equipo de seguridad que atienda los dos frentes con la misma documentación. Esta tentación es errónea por dos razones. La primera es que las dos autoridades, CNPIC y autoridad NIS2, no quieren leer el mismo documento. Sus formatos, sus exigencias de detalle, sus criterios de aprobación son distintos. La segunda es que la cultura organizativa que sostiene un buen plan PIC, basada en confidencialidad, en relación bilateral con el Estado, en gestión de la información clasificada, es distinta de la cultura que sostiene un buen cumplimiento NIS2, basada en transparencia documental, en métricas comparables, en evidencia de auditoría.

Lo que sí debe haber es coordinación. Una arquitectura de seguridad sensata identifica los controles físicos y lógicos que sirven a ambos regímenes, los implanta una sola vez y produce dos juegos de documentación, uno para cada autoridad, a partir de la misma realidad operativa. Esa coordinación exige una función de gobierno de seguridad por encima de los dos equipos, no la fusión de los equipos. El libro BOSWAU + KNAUER. Del oficio constructor a la tecnología de seguridad desarrolla esta idea de gobierno desde la perspectiva del fabricante: la tecnología es la misma, la documentación que se entrega a cada autoridad es distinta.

Lo que permanece

La pregunta correcta no es cuál de los dos modelos es mejor, sino qué hace cada uno bien y dónde falla. La Ley PIC hace bien la relación bilateral discreta con un perímetro acotado de operadores estratégicos, y falla cuando se intenta extenderla a sectores que no encajan en su lógica de defensa nacional. NIS2 hace bien la armonización europea y la elevación del listón para un universo amplio de entidades, y falla cuando se confunde con un ejercicio documental sin capacidad operativa detrás.

El operador serio no elige entre los dos modelos, porque no puede. Vive en ambos simultáneamente, y tiene que construir una arquitectura de seguridad que satisfaga a las dos autoridades sin colapsar sobre sí misma. Esa arquitectura empieza por un diagnóstico honesto, no por una compra de plantillas. Para los operadores que se encuentran en ese punto, el Camino II del manual de Boswau + Knauer, una auditoría de tres a cinco días con entregables definidos antes de empezar, ofrece el tipo de claridad que ningún documento copiado puede sustituir. La diferencia entre cumplir y estar protegido se mide en los días que siguen al incidente, no en los meses que precedieron a la inspección.

Preguntas frecuentes

¿En qué se diferencian?

Se diferencian en cuatro dimensiones estructurales. Primero, en su origen: la Ley PIC nace de la seguridad nacional, NIS2 nace del mercado interior europeo. Segundo, en el perímetro: la Ley PIC opera por designación administrativa de operadores críticos, NIS2 opera por autoclasificación con umbrales de tamaño y sector. Tercero, en la autoridad: CNPIC bajo Interior frente a INCIBE y organismos sectoriales bajo NIS2. Cuarto, en la cultura: relación bilateral discreta con compensación de inteligencia frente a régimen armonizado con sanciones visibles y responsabilidad personal del consejo de administración.

¿Cuál produce mejores resultados?

Depende de qué se mida. La Ley PIC produce mejor capacidad de respuesta en incidentes graves dentro de un perímetro acotado de operadores con quince años de rodaje, porque la relación con el CNPIC está sedimentada y los planes se han ensayado. NIS2 todavía está demostrando lo que puede producir, porque su despliegue es reciente. Su potencial está en elevar el listón medio del universo amplio de entidades obligadas, no en igualar la profundidad operativa de los mejores operadores PIC. Los dos modelos miden cosas distintas y dan resultados distintos.

¿Están convergiendo?

Convergen en algunos aspectos y divergen en otros. Convergen en la lista de controles técnicos exigidos, donde ambos regímenes apuntan a marcos similares como el Esquema Nacional de Seguridad o la familia ISO 27000. Divergen en la cultura de relación con la autoridad y en el régimen sancionador. La transposición española de NIS2 intenta articular pasarelas con el régimen PIC, pero las dos autoridades siguen siendo distintas y los dos cuerpos documentales no se fusionan. La convergencia real es más lenta y más limitada de lo que sugiere el discurso oficial.

¿Cuál es más difícil?

La Ley PIC es más exigente en profundidad para los operadores designados, porque implica gestión de información clasificada, relación con servicios de inteligencia y planes con un nivel de detalle que NIS2 no requiere. NIS2 es más exigente en amplitud, porque obliga a un universo mucho mayor de entidades a alcanzar un mínimo común con plazos de notificación tasados y responsabilidad personal del órgano de dirección. Para una entidad sometida a los dos, la dificultad real no está en cumplir cada uno por separado, sino en coordinarlos sin duplicar esfuerzos ni contaminar las dos lógicas regulatorias.