Volver a página de inicio

I. Introducción

El pasado 28 de abril, España vivió un apagón eléctrico de carácter masivo, que mantuvo sin suministro eléctrico durante horas a millones de ciudadanos, también miles de empresas, e infraestructuras de toda índole (hospitales y sanidad, comunicaciones, transporte, instalaciones y plantas fabriles). El apagón, afectó también a otros países como Andorra, Francia y Portugal. Durante varias horas, millones de ciudadanos sufrieron un corte total de suministro eléctrico, lo que afectó a servicios esenciales como el sector sanitario, el transporte, las telecomunicaciones, las comunicaciones básicas y el suministro de agua, entre otros. La magnitud del fallo sorprendió tanto por su extensión geográfica como por la velocidad con la que se propagó, como por la evidente influencia y vulnerabilidad que supuso para el mantenimiento de las infraestructuras más esenciales, sobre todo aquellas legamente catalogadas como críticas. Todo ello enmarcado en una realidad cada vez más interconectada y profundamente digitalizada.

En un contexto de creciente exposición tecnológica, con independencia de las causas de este gran incidente, se vuelve imperativo reforzar tanto las infraestructuras críticas como los sistemas digitales que las sustentan.

La compleja evolución tecnológica del sistema eléctrico (la complejidad creciente de la red actual, sus interconexiones internacionales), el auge de energías denominadas «verdes» y su digitalización, constituyen avances fundamentales hacia un modelo más eficiente y sostenible. No obstante, estos procesos deben ir acompañados de una estrategia de resiliencia integral, planes de emergencia coordinados a escala nacional y una gobernanza proactiva y anticipatoria. Solo así será posible garantizar la continuidad y estabilidad de los servicios esenciales frente a amenazas cada vez más complejas, interdependientes y de alcance transnacional.

II. Aspectos relevantes

El vertiginoso avance de la transformación digital, junto con el auge del de Internet of Things (IoT), ha evidenciado la profunda dependencia de nuestras sociedades respecto a la tecnología en casi todos los ámbitos de la vida cotidiana. Esta interconexión, aunque ofrece enormes ventajas en términos de eficiencia, conectividad y automatización, también incrementa significativamente nuestra exposición a riesgos. Un fallo técnico, por mínimo que parezca, puede desencadenar un efecto dominó capaz de interrumpir la cadena de suministro, afectar servicios esenciales y alterar gravemente el funcionamiento diario de nuestras actividades diarias.

Ante incidentes como el reciente apagón que dejó a tres países europeos sin suministro eléctrico, no basta con analizar únicamente las causas técnicas: también es esencial examinar el marco jurídico que protege dichas infraestructuras críticas. Surge entonces una pregunta clave: ¿Estamos realmente preparados desde el punto de vista legal para afrontar este tipo de amenazas? Y más concretamente, ¿existe una normativa específica que regule estas infraestructuras y garantice la seguridad de los sistemas esenciales?

La respuesta es afirmativa y se establece en el marco legal de la Ley 8/2011, de 28 de abril (LA LEY 8430/2011), que define las medidas necesarias para proteger las infraestructuras críticas. Esta norma define como tales a aquellos sistemas físicos y tecnológicos cuya operación es indispensable para asegurar el funcionamiento, la seguridad, la salud y el bienestar económico y social de la ciudadanía.

Entre los sectores estratégicos regulados se incluyen el eléctrico, las telecomunicaciones, el transporte, el abastecimiento de agua y los servicios sanitarios.

A continuación, se presenta una ilustración que muestra las infraestructuras críticas contempladas por la normativa vigente.

Ilustración 1: Imagen proporcionada de LISA Institute

En este marco normativo, el Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), adscrito al Ministerio del Interior, desempeña un rol fundamental. Su función consiste en promover, coordinar y supervisar las políticas destinadas a proteger estas infraestructuras estratégicas.

Por lo tanto, en caso de que una entidad sea designada como operador crítico por el CNPIC, queda sujeta al cumplimiento de las obligaciones establecidas en la Ley 8/2011 (LA LEY 8430/2011), que regula las medidas para la protección de infraestructuras críticas, así como en lo previsto en el Real Decreto 704/2011 (LA LEY 10413/2011), que desarrolla y concreta su aplicación. Estas normativas imponen a los operadores críticos una serie de responsabilidades clave, entre las que destacan la elaboración de dos documentos.

Estos planes son herramientas clave para garantizar la resiliencia operativa ante amenazas tanto físicas como digitales. En este sentido, el CNPIC no se limita únicamente a regular y supervisar, sino que también actúa como un nodo central de coordinación, especialmente en el ámbito de la ciberseguridad. Para afrontar los crecientes riesgos digitales que afectan a las infraestructuras críticas, el CNPIC colabora estrechamente con entidades especializadas como el CERT/CSIRT y la Oficina de Coordinación Cibernética (OCC). Esta cooperación interinstitucional permite dar respuesta a incidentes de ciberseguridad de forma eficaz, coordinada y con visión estratégica.

En definitiva, la protección de las infraestructuras críticas requiere una combinación de medidas físicas y una sólida coordinación entre el sector público y privado.

III. Normativa aplicable

Abordar incidentes como el reciente apagón no solo supone un desafío técnico, sino que también conlleva el cumplimiento de obligaciones legales tanto a nivel nacional como europeo. Normativas como la Ley 8/2011, el Real Decreto 12/2018, el Real Decreto 43/2021 (LA LEY 1077/2021) y la Directiva NIS2 pueden activarse en este tipo de situaciones. Por ello, resulta fundamental que las organizaciones integren estos marcos regulatorios en sus protocolos de gestión de crisis, prestando especial atención a la notificación de incidentes, la custodia de evidencias digitales y la protección de datos personales.

1. A Nivel Europeo

2. A nivel Estatal

IV. La gestión de crisis como elemento estratégico

Como se destacó anteriormente en este documento, es crucial disponer de mecanismos de cooperación, coordinación y gobernanza claramente definidos que aseguren una gestión de crisis eficaz y ágil, especialmente para afrontar situaciones críticas como la vivida el 28 de abril.

Una respuesta efectiva ante situaciones de crisis requiere una arquitectura de gobernanza multinivel que sea sólida y esté adecuadamente articulada. Especialmente aplicada esta respuesta al sector eléctrico-crítico, sector esencialísimo, puesto que cualquier interrupción grave o muy grave del sistema eléctrico, redundará en una cadena de colapso en otros distintos sectores críticos.

Aunque España cuenta con planes de emergencia sectoriales y con una normativa específica para la protección de infraestructuras críticas —como se detalla en el apartado tercero de este artículo—, su eficacia real depende de su integración operativa y de una coordinación efectiva entre actores. El reciente apagón ha evidenciado la necesidad urgente de reforzar tanto la coordinación horizontal, entre sectores estratégicos, como la vertical, entre los distintos niveles de la administración. Asimismo, se hace indispensable incorporar una visión anticipatoria del riesgo en la planificación territorial y sectorial, con el fin de mejorar la resiliencia del sistema en su conjunto.

V. Conclusión

En definitiva, el apagón no solo evidencia la fragilidad de la gestión de nuestras infraestructuras críticas en un entorno digitalizado, sino que subraya la urgencia de adoptar una visión estratégica e integral de la seguridad. Fortalecer el suministro eléctrico, invertir en resiliencia, aplicar con rigor los marcos normativos como la Directiva NIS-2 y anticiparse a las amenazas no son opciones, sino condiciones indispensables para garantizar la estabilidad de nuestras sociedades y proteger los servicios esenciales de los que dependemos cada día.