Las medidas para reforzar la seguridad del sector energético propuestas en el informe del Comité de Seguridad Nacional sobre el ‘gran apagón’ en la península Ibérica

El Comité de Seguridad Nacional ha publicado la versión no confidencial del informe de análisis sobre el gran apagón eléctrico que afectó a la península Ibérica el pasado 28 de abril de 2025. El documento arroja luz sobre la crisis, despeja dudas sobre el fantasma del ciberataque y redibuja la agenda futura del sector con una batería de medidas orientadas a blindar la red ante cualquier incidente. De acuerdo con las conclusiones del informe, el apagón eléctrico no fue provocado por un ciberataque, según el análisis oficial remitido tras revisar exhaustivamente sistemas, registros y controles de las entidades implicadas en la gestión energética.

El documento señala que “no se han encontrado indicios o evidencias que apunten a un ciberataque o ciberincidente, en las entidades analizadas, que pudieran ser el causante de la crisis energética del día 28 de abril de 2025”. Los rastreos sobre los sistemas informáticos no detectaron actividad dañina, ni movimientos sospechosos en los sistemas de protección de los Centros de Control, ni huellas de códigos maliciosos. Tampoco se identificaron transferencias o manipulaciones de archivos ni rastreos de red propios de ataques informáticos.

El relato técnico arranca anotando que, entre los riesgos localizados, abundan los ya conocidos en otros sectores. Sin embargo, en el caso de las pequeñas y medianas empresas eléctricas, la madurez cibernética y la capacidad de reacción resultan más limitadas. Por eso, los requisitos se endurecen: a las empresas catalogadas como Operador Crítico se les insta a “elaborar un Plan de Seguridad del Operador y, por cada infraestructura crítica, un Plan de Protección Específico con un sistema continuo de gestión de la seguridad de la información ajustado al riesgo”. Unas reglas que, además, imponen auditorías externas cada dos años y la comunicación inmediata de cualquier incidente relevante, junto al nombramiento de responsables y delegados en todas las instalaciones sensibles.

Entre los Operadores de Servicios Esenciales, el margen se estrecha aún más. Nombrar un responsable de seguridad, notificar incidentes a través del canal CSIRT (“Computer Security Incident Response Team” o Equipo de Respuesta a Incidentes de Seguridad Informática) nacional y reflejar todo esto en la Declaración de Aplicabilidad ante la Oficina de Coordinación de Ciberseguridad deja poco espacio para la improvisación. La máxima, recogida en el informe, es clara: “la coordinación interinstitucional entre los operadores críticos y la Secretaría de Estado de Seguridad es un elemento clave en la respuesta ante incidentes”.

Las recomendaciones van mucho más allá del diagnóstico y lanzan directrices precisas para mejorar la resiliencia de la red. Evaluaciones periódicas, revisión de la integración de sistemas IT y OT, adopción de “firewalls industriales de última generación, sistemas de detección de intrusos específicos y canales de comunicación de respaldo, incluida la telefonía satelital”, encabezan la lista. Además, la gestión de tecnologías críticas deberá quedar siempre documentada y justificada. Falta de aislamiento, dependencias no mapeadas con otros proveedores y tercerizaciones poco claras pasan al punto de mira, insistiendo el informe en que “ninguna infraestructura opera de forma aislada”.

El capítulo de gestión de incidentes subraya la necesidad de notificaciones ágiles, actualizaciones constantes y cierre informativo, tanto en empresas públicas como privadas, todo apoyado en simulacros regulares y formación continua para personal técnico y de coordinación. Así, se busca convertir la experiencia del 28A en un ejercicio práctico de anticipación y preparación continua.

El apartado más técnico, firmado por el Grupo Técnico de Operación del Sistema, apuesta por multiplicar la supervisión del control de tensión y la verificación del factor de potencia. La inminente creación de la Comisión Nacional de Energía figura como palanca para una regulación mejor armada. Entre las propuestas destaca la “aprobación urgente del nuevo servicio de control de tensión regulado, que podrá ser proporcionado no solo por la generación síncrona, sino por cualquier instalación de generación, incluida la generación asíncrona instalada en los últimos años”. También se promueve la actualización tecnológica de la red con compensadores síncronos y nuevos sistemas de gestión de tensiones como los FACTS y reactancias.

El refuerzo de conexiones eléctricas con Europa sube un escalón en el ranking de prioridades, igual que la puesta al día de los procedimientos de reposición tras grandes fallos y la redacción de una nueva arquitectura normativa que favorezca la flexibilidad, la interoperabilidad y la electrificación industrial.

En materia legal queda marcado el camino: urge transponer las directivas NIS 2 y CER, mientras que la adaptación al Reglamento Delegado europeo sobre ciberseguridad se perfila como crítica para los operadores más relevantes. Medidas como la autenticación multifactor, la segmentación avanzada de redes y la internalización de estándares internacionales resumen el nuevo credo para el sector.

El informe concluye señalando una hoja de ruta en la que el análisis permanente de vulnerabilidades, los planes de contingencia, la protección de cuentas privilegiadas y una capacitación constante son ya política de mínimos. Las fórmulas de colaboración público-privada y la participación en foros especializados, como los ISAC, pasan a primera línea. El mensaje se percibe nítido: frente a un panorama en movimiento, solo la capacidad de adaptación ofrece garantías de seguridad para la infraestructura estratégica por excelencia.