El Consejo de Ministros ha aprobado el anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas (Ley CER), cuyo objetivo es reforzar la protección y continuidad de los servicios considerados esenciales para el correcto funcionamiento de la sociedad española. Su tramitación se realizará por el procedimiento de urgencia, con la intención de reducir los plazos para la emisión de informe.
Cuando se apruebe definitivamente, esta norma traspondrá al ordenamiento jurídico español la directiva europea sobre esta misma materia, aprobada hace tres años (2022/2557). Los Estados miembros debían adaptar esta directiva, a más tardar, el 17 de octubre de 2024, si bien España y buen número de socios europeos no la han traspuesto todavía.
“Esta norma va a mejorar el tratamiento del conjunto de amenazas cada vez más dinámicas y complejas sobre las entidades críticas, desde los fenómenos naturales hasta los sabotajes, pasando por los riesgos tecnológicos y amenazas híbridas, que las mismas enfrentan en un entorno de creciente interdependencia entre las infraestructuras y los sectores implicados», ha señalado el ministro del Interior, Fernando Grande-Marlaska, en la rueda de prensa tras el Consejo de Ministros.
Novedades de la Ley de Protección y Resiliencia
Una de las novedades del anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas es que actualizará el número de sectores estratégicos obligados en relación con el marco anterior. Tras su aprobación definitiva en el Parlamento, la norma añadirá a sectores tradicionales como la energía, la salud o el transporte (ya sujetos al marco de protección de infraestructuras críticas), otros “como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada o las aguas residuales”, ha ejemplificado el ministro.
Catálogo Nacional de Entidades Críticas y Estratégicas
El anteproyecto de ley recoge la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas. Estas entidades serán identificadas en base a los criterios que fije la Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas y también a través de la Evaluación Nacional de Amenazas y Riesgos. Ambos documentos estratégicos se actualizarán, como mínimo, cada cuatro años.
Planes de Resiliencia
Por otro lado, los operadores críticos, públicos o privados, deberán adoptar un Plan de Resiliencia que evalúe todos los riesgos que puedan afectar a la prestación de los servicios esenciales que administren. Este plan contemplará medidas de prevención, respuesta y recuperación, así como la formación del personal y la gestión de la cadena de suministro.
Otro aspecto novedoso es la introducción de procedimientos para la comprobación de antecedentes penales del personal que desempeñe funciones sensibles en las entidades críticas. Esta medida, reclamada desde hace tiempo por las propias empresas para reforzar su seguridad frente a la amenaza interna, facilitará la prevención de estos riesgos y reforzará la seguridad de los accesos a las infraestructuras y sistemas críticos.
Planes de actuación
El modelo que diseña el anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas mantiene el actual esquema de planes de actuación. Dicho esquema estará conformado por:
- El Plan Nacional de Protección y Resiliencia de las Entidades Críticas, un documento estructural elaborado por la Secretaría de Estado de Seguridad para dirigir y coordinar las actuaciones precisas y necesarias para fortalecer la seguridad de dichas entidades críticas.
- Los Planes Estratégicos Sectoriales, responsabilidad también de la Secretaría de Estado de Seguridad y elaborados para cada uno de los sectores estratégicos recogidos en la futura norma.
- Los Planes de Apoyo Operativos, elaborados por las Fuerzas y Cuerpos de Seguridad para cada una de las infraestructuras críticas existentes en su demarcación territorial.
Del CNPIC al CNPREC
Ley de Protección y Resiliencia de las Entidades Críticas creará el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), dependiente de la Secretaría de Estado de Seguridad. Este órgano sustituirá al actual Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) y asumirá la interlocución directa con el conjunto de dichas entidades. Asimismo, ejercerá de contacto único para la cooperación trasfronteriza con los Estados de la Unión Europea.
También quedará adscrita a la Secretaría de Estado de Seguridad la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado responsable de la aprobación de los Planes Estratégicos Sectoriales.
Sectores estratégicos excluidos de la normativa
Tal como ha explicado Grande-Marlaska, una vez aprobada la ley definitivamente, se aplicará a las entidades críticas ubicadas en el territorio nacional, excepto a las pertenecientes a los sectores de la banca, mercados financieros e infraestructuras digitales. Aunque haya entidades de estos sectores que pueden considerarse críticas, quedan excluidas del anteproyecto al encontrarse ya reguladas por su normativa específica (Reglamento DORA o Directiva NIS2).
Tampoco se aplicará esta norma a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias estatutarias reconocidas, que igualmente se regirán por su propia normativa.
Archivado en:
