El Gobierno Vasco aprobó en Consejo de Gobierno un nuevo protocolo para activar el Plan de Protección Civil de Euskadi (LABI) ante emergencias provocadas por incidentes de ciberseguridad.

Se trata de una medida pionera en el Estado, y la Agencia Vasca de Ciberseguridad, Cyberzaintza, será la encargada de pedir oficialmente la activación en función de la gravedad de la incidencia.

La activación puede ocurrir a petición directa de Cyberzaintza o bien cuando la magnitud de la emergencia, su extensión o su impacto en servicios básicos, infraestructuras críticas o el normal funcionamiento de los sistemas públicos lo hagan necesario.

El consejero de Seguridad, Bingen Zupiria, destacó que los ciberataques constituyen un riesgo que puede afectar a la ciudadanía; además de la delincuencia informática, pueden producirse incidentes de gran escala que afecten simultáneamente a sanidad, energía, transporte, comunicaciones, seguridad o finanzas.

También subrayó la rapidez de propagación del daño y la dificultad para identificar su origen, factores que pueden complicar la respuesta diaria de la ciudadanía.

El LABI funciona como el instrumento fundamental para la gestión de emergencias en Euskadi y define criterios generales para la coordinación entre niveles institucionales ante incidentes catastróficos que requieran dirección autonómica.

La activación ante un ciberincidente dependerá de si la continuidad de servicios básicos puede verse gravemente comprometida por un ataque deliberado, un fallo sistémico o una amenaza que afecte infraestructuras críticas o el correcto funcionamiento de los sistemas que sostienen la seguridad de la ciudadanía.

Las modalidades de respuesta dependerán de la naturaleza del incidente, su evolución y de la zona o sector afectados. Se valorarán, entre otros criterios, la pérdida de funcionalidad de servicios esenciales (sanidad, energía, transporte, telecomunicaciones, emergencias), el riesgo para infraestructuras críticas y el impacto social o institucional.

En un contexto de alta digitalización y dependencia tecnológica, Euskadi y sus instituciones están expuestas a diversos riesgos en el ciberespacio: ataques dirigidos a infraestructuras y servicios básicos (energía, agua, sanidad, transporte, telecomunicaciones); fallos técnicos; vulnerabilidades y errores humanos; amenazas emergentes vinculadas al avance tecnológico, como la inteligencia artificial; ciberataques persistentes y sofisticados; ransomware y extorsión digital; y campañas maliciosas de sabotaje, fraude electrónico o desinformación.

El Plan de Protección Civil de Euskadi no se activará de forma automática ante todo incidente de ciberseguridad; se activará ante escenarios con gran impacto para la población y que afecten a infraestructuras críticas o servicios esenciales y que generen una situación de protección civil.

Zupiria explicó que la implementación de este nuevo procedimiento no modifica el Plan de Protección Civil ni crea nuevas figuras normativas; se pretende aprovechar el marco organizativo existente como base para coordinar la respuesta en escenarios de ciberseguridad grave.

La Estrategia Vasca de Ciberseguridad, aprobada en marzo de 2024, contempla el despliegue y entrenamiento de un modelo de gestión de crisis de ciberseguridad, coordinado con el plan de emergencias de Euskadi.

Este plan estratégico, desarrollado por Cyberzaintza para 2024-2029, aporta el marco para el procedimiento aprobado hoy.

El consejero concluyó subrayando que, aunque Euskadi no ha vivido un suceso de esta naturaleza, resulta necesario contar con un instrumento que permita actuar de forma ordenada y anticipada.

Además, destacó la importancia de la autoprotección y de la cultura de preparación y concienciación sobre los riesgos cibernéticos. La anticipación, la formación continua y los simulacros son claves para mitigar impactos y acortar los tiempos de respuesta.