Ley de Protección y Resiliencia de las Entidades Críticas: Un paso más hacia la Seguridad de Infraestructuras Esenciales.
El Consejo de Ministros acaba de aprobar el anteproyecto de la Ley de Protección y Resiliencia de las Entidades Críticas, un paso más en el fortalecimiento de la seguridad de las infraestructuras esenciales de España. Esta nueva propuesta responde a la creciente necesidad de proteger sectores estratégicos fundamentales para el funcionamiento de la sociedad española. El objetivo central de la ley es garantizar la continuidad de los servicios esenciales, que abarcan áreas tan diversas como la energía, la sanidad o el transporte, entre otros.
El anteproyecto, que se tramitará por urgencia, adapta la legislación española a la directiva europea 2022/2557 sobre la resiliencia de las entidades críticas. Aunque España ha tardado en transponer esta normativa, lo que pone de manifiesto el desafío de actualizar las leyes nacionales frente a amenazas globales, el nuevo marco legal responde a la creciente complejidad de los riesgos que enfrentan estas infraestructuras. Fenómenos naturales, sabotajes, riesgos tecnológicos y amenazas híbridas son solo algunos de los peligros que afectan la resiliencia de los servicios esenciales. En este contexto, la ley surge como una herramienta para hacer frente a esos desafíos y garantizar la estabilidad del país.
Sectores Estratégicos Incluidos en la Nueva Ley
Una de las principales novedades de esta ley es la actualización de los sectores estratégicos que deben ser protegidos, ampliando su alcance. Además de los sectores tradicionales como la energía, el transporte, la sanidad o el agua, se incorporan nuevos sectores como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, las aguas residuales y la seguridad privada. Estos sectores, previamente excluidos de los marcos de protección de infraestructuras críticas, ahora recibirán atención específica bajo esta nueva legislación.
La inclusión de sectores adicionales refleja la evolución de las necesidades sociales y económicas, con un énfasis en aquellos que se consideran esenciales para la supervivencia de las actividades cotidianas. Por ejemplo, la producción de hidrógeno como fuente de energía limpia y sostenible está en auge, y su inclusión en el marco de protección es un indicativo de su relevancia futura.
Creación del Catálogo Nacional de Entidades Críticas
La ley establece la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas, que incluirá las entidades identificadas como esenciales para el funcionamiento del país. Esta lista será actualizada siempre que resulte necesario y, en todo caso, con una periodicidad no superior a cuatro años, lo que garantiza que las entidades más relevantes siempre estén cubiertas por el marco legal.
Este catálogo no solo tiene una función de identificación, sino que también se integra con la Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas y la Evaluación Nacional de Amenazas y Riesgos, dos documentos fundamentales que guiarán las actuaciones de las autoridades competentes en la materia. Estos documentos permitirán realizar una evaluación precisa de los riesgos a los que se enfrentan las infraestructuras críticas, lo que facilitará una planificación estratégica más eficaz.
Planes de Resiliencia Obligatorios
Una de las medidas más destacadas de la ley es la obligación de que todas las entidades críticas, tanto públicas como privadas, elaboren un Plan de Resiliencia. Este plan deberá contener estrategias para la prevención, respuesta y recuperación ante incidentes que puedan comprometer la prestación de los servicios esenciales. Además, las entidades tendrán que evaluar los riesgos y establecer protocolos claros para actuar en situaciones de emergencia.
El Plan de Resiliencia será un documento integral que incluirá medidas de protección física, así como directrices para la gestión de la cadena de suministro. También se prestará especial atención a la formación del personal, garantizando que los trabajadores estén capacitados para actuar ante cualquier crisis.
Verificación de Antecedentes y Seguridad Interna
Otro aspecto importante de la ley es la introducción de procedimientos para la verificación de antecedentes personales del personal que ocupe funciones sensibles dentro de las entidades críticas. Esta medida responde a una preocupación recurrente en las empresas que gestionan infraestructuras esenciales, especialmente aquellas que temen la amenaza interna. El control de los accesos y la seguridad de los trabajadores es fundamental para evitar sabotajes o vulnerabilidades internas que puedan ser explotadas por actores malintencionados.
Además, la ley exige que cada entidad designe a un responsable de seguridad y resiliencia, una figura clave que actuará como punto de contacto con las autoridades competentes, facilitando la notificación de incidentes y la implementación de medidas de seguridad. Este responsable deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior.
CNPREC
La ley también prevé la creación del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que sustituirá al actual Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Este centro será responsable de coordinar la protección y resiliencia de las entidades críticas y actuará como el punto de contacto único para la cooperación internacional con otros Estados miembros de la Unión Europea.
Además, se creará la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado encargado de aprobar los planes estratégicos sectoriales y colaborar en la identificación de las entidades críticas. Este enfoque interinstitucional busca fortalecer la cooperación entre diferentes sectores y niveles de gobierno.
Ámbito de Aplicación y Exclusiones
El anteproyecto afectará a todas las entidades críticas ubicadas en el territorio nacional, con algunas excepciones. No se aplicará a las entidades del sector bancario, mercados financieros e infraestructuras digitales, ya reguladas por normativas específicas. Tampoco se incluirán las entidades dependientes del Ministerio de Defensa y los cuerpos de seguridad del Estado, que se regirán por su propia normativa.
El anteproyecto de la Ley de Protección y Resiliencia de las Entidades Críticas pretende avanzar de forma significativa en la seguridad de las infraestructuras esenciales de España. Al ampliar el alcance de los sectores protegidos, establecer planes de resiliencia obligatorios y fortalecer los mecanismos de control interno, se busca garantizar que las entidades críticas del país puedan resistir los riesgos a los que se enfrentan.