El presente trabajo aborda el análisis de la Ley de Protección de Infraestructuras Críticas vigente en España, frente a los ciberataques que han afectado al sector energético. Para lo cual se tomó como parámetros de entrada, los diferentes informes de entidades tanto públicas como privadas encargadas de gestionar los incidentes de seguridad de información en el territorio español. Con esta información se determinan los riesgos, vulnerabilidades, amenazas y ciberataques que han afectado a este sector y con ello se procede a identificar los dominios y controles del soft law relacionados a la Gestión y al Código de buenas prácticas de la Seguridad de la Información, que permitan proteger los activos de información afectados. Una vez determinados estos datos se procede a realizar una alineación del soft law con la Ley PIC y un segundo Marco Legal de uno de los países que en la actualidad es considerado como vanguardia de la seguridad y protección de las infraestructuras críticas, es decir Estados Unidos a través de su Directiva PPD-21. Finalmente con toda la información antes descrita y procesada, se realiza el análisis y comparación de resultados, determinando así, aquellos aspectos que se han considerado o no dentro de la Ley de Protección de Infraestructuras Críticas en España.
