- El Gobierno Vasco ha diseñado el procedimiento de activación del Plan de Protección Civil de Euskadi (LABI) asociado a las emergencias relacionadas con la ciberseguridad.
- Es una decisión pionera en el estado y será la Agencia Vasca de Ciberseguridad, Cyberzaintza, la encargada de solicitar su activación en función de la gravedad de la situación.
El Consejo de Gobierno ha dado luz verde al procedimiento de activación del Plan de Protección Civil de Euskadi (LABI) relacionado directamente con la ciberseguridad. Con ello, Euskadi, es pionera en disponer de un procedimiento específico con el que poder afrontar una emergencia relacionada con esta problemática.
La activación del LABI se realizará, bien a solicitud directa de la Agencia Vasca de Ciberseguridad, Cyberzaintza, o bien a la vista de la gravedad de la emergencia, su extensión o repercusión en comprometer servicios básicos, infraestructuras básicas o el normal funcionamiento de los sistemas públicos que afectan a la seguridad de la ciudadanía.
El consejero de Seguridad, Bingen Zupiria, ha destacado que “los ciberataques son, hoy en día, un nuevo riesgo que puede suponer un problema para la ciudadanía. Más allá de los ciberdelitos que podamos sufrir en nuestro día a día y que puedan generarnos cierta inquietud, nos enfrentamos a posibles ciberincidentes de gran magnitud los cuales presentan características que nos pueden crear situaciones de gran debilidad: la posibilidad de afectar simultáneamente a sistemas sanitarios, energéticos, logísticos, de seguridad, financieros o de comunicación”. Además, ha subrayado, “la velocidad de propagación del daño, la dificultad para conocer el origen, y el impacto potencial sobre la ciudadanía, así como sobre el orden público, pueden complicar el día a día de la ciudadanía”.
Hay que recordar que el LABI constituye el instrumento fundamental de ordenación de la gestión de emergencias de Euskadi y, en tal sentido, establece los criterios generales a los que debe ajustarse su planificación, en sus diferentes niveles institucionales, para hacer frente a las emergencias de tipo catastrófico que requieran de una dirección o coordinación autonómica.
Activación del plan territorial de protección civil de Euskadi
La activación del Plan de Protección Civil de Euskadi para hacer frente a una situación de emergencia provocada por un ciberincidente podrá producirse cuando, en función del análisis técnico realizado por Agencia Vasca de Ciberseguridad, se estime que la continuidad de servicios básicos pudiera verse gravemente comprometida en Euskadi, debido a un ataque deliberado, un fallo sistémico o una amenaza que pueda comprometer servicios básicos, infraestructuras básicas o el normal funcionamiento de los sistemas públicos que afectan a la seguridad de la ciudadanía.
Las modalidades de aplicación conforme a las fases y situaciones de emergencia dependerán de la naturaleza del incidente, su evolución, y la afectación territorial o sectorial concreta. Entre los elementos a valorar se encontrarán, entre otros, la pérdida de funcionalidad en servicios básicos (sanidad, energía, transporte, comunicaciones, emergencias), el riesgo para la integridad de infraestructuras básicas, y el impacto social o institucional del incidente.
En un contexto de alta digitalización y fuerte dependencia tecnológica, la sociedad vasca, sus instituciones y su tejido empresarial están expuestos a diversos riesgos en el ciberespacio, entre los que destacan, pero no se limitan, a:
- Ataques dirigidos contra infraestructuras y servicios básicos (energía, agua, sanidad, transporte, telecomunicaciones, etc.).
- Incidentes derivados de fallos técnicos, posibles vulnerabilidades y/o errores humanos.
- Amenazas emergentes asociadas a la evolución tecnológica, como el despliegue de inteligencia artificial, o la interconexión de sistemas industriales.
- Ciberataques persistentes y altamente sofisticados.
- Ransomware y extorsión digital, donde los atacantes cifran datos sensibles y exigen pagos para su liberación.
- Acciones maliciosas como sabotajes, fraudes electrónicos, robos de información o campañas de desinformación.
El Plan de Protección Civil de Euskadi no se activará en todos los casos, lo hará ante incidentes de ciberseguridad que tengan un gran impacto en la población y que afecten a infraestructuras básicas, comprometan servicios básicos o generen una emergencia de protección civil.
Zupiria ha explicado que la implantación de este nuevo procedimiento para activar el LABI “no implica modificar el propio Plan de Protección Civil de Euskadi ni crear figuras normativas nuevas. Hemos analizado como aprovechar nuestro marco organizativo en materia de protección civil como base de referencia para la coordinación institucional en escenarios de emergencia cibernética grave”.
Reforzar la gobernanza en situaciones de emergencia cibernéticas
La Estrategia Vasca de Ciberseguridad, aprobado en marzo de 2024, recoge la necesidad del “Despliegue y entrenamiento de un modelo de gestión de crisis de ciberseguridad, coordinado con el plan de emergencias de Euskadi”. Esta acción fue posteriormente planificada y desarrollada en el Plan Estratégico de Cyberzaintza 2024-2029 del que nace el procedimiento aprobado hoy por el Consejo de Gobierno.
El consejero de Seguridad Bingen Zupiria ha destacado que “Euskadi no ha sufrido hasta la fecha ningún evento de esta naturaleza que justificase la activación del LABI, pero hemos creído necesario reflexionar sobre la importancia de tener un instrumento para hacer frente de manera ordenada a este tipo de situación. Además, creo que es necesario seguir trabajando en la autoprotección, en la cultura de preparación y conciencia social sobre los riesgos cibernéticos. La anticipación, la preparación, la formación continua y los simulacros son elementos clave para mitigar el impacto y reducir los tiempos de respuesta”.