La trasposición al ordenamiento jurídico español de la conocida como Directiva CER ha dado un paso más. El Consejo de Ministros aprobó, el 17 de marzo, el proyecto de Ley de Protección y Resiliencia de Entidades Críticas (Ley CER), cuyo objetivo es establecer una serie de medidas de salvaguarda y continuidad de las operaciones de las entidades, públicas y privadas, que prestan servicios esenciales para el funcionamiento del país.
El texto completo está ya disponible tras su publicación en el Boletín Oficial de las Cortes Generales y tendrá ahora que ser sometido a la votación parlamentaria. La Directiva CER entró en vigor en enero de 2023 y establecía como límite para su trasposición por parte de los Estados Miembros el 18 de octubre de 2024. España no es el único país de la UE que todavía no ha trasladado la norma a su legislación, pero actualmente incumple ese mandato.
ACCEDE AL TEXTO COMPLETO: Proyecto de Ley de Proteccion y Resiliencia de Entidades Criticas
¿Qué dice la Ley de Protección y Resiliencia de Entidades Críticas?
La Ley de Protección y Resiliencia de Entidades Críticas tendrá por objeto identificar a las entidades críticas en España y establecer las medidas adecuadas para la mejora de su capacidad de resiliencia. Se trata de garantizar que dichas entidades sean capaces de continuar prestando aquellos servicios indispensables para la sociedad incluso en situaciones de crisis o tras sufrir un impacto.
Esta norma afectará a operadores de 12 sectores de actividad considerados críticos, como la energía, la salud, el transporte, el agua o la Administración Pública. No en vano, la Secretaría de Estado de Seguridad del Ministerio del Interior será la encargada de elaborar un catálogo de entidades críticas bajo los criterios que establezca, por un lado, la Estrategia Nacional de Protección y Resiliencia de las Entidades y Críticas y, por otro, la Evaluación Nacional de Amenazas y Riesgos.
Aquellas entidades consideradas críticas deberán adoptar diversas medidas de protección y resiliencia, como, por ejemplo, la elaboración de planes específicos para la respuesta y mitigación de incidentes. Igualmente, deberán designar a responsables de seguridad y resiliencia que ejerzan de punto de contacto con las autoridades. De hecho, la norma contempla la creación de un sistema de notificación de aquellos incidentes que puedan alterar el funcionamiento de los servicios esenciales.
Entre las medidas más novedosas, la Ley de Protección y Resiliencia de Entidades Críticas permitirá a los operadores críticos solicitar la comprobación de antecedentes penales de los trabajadores que contrate o trabajen en sus instalaciones.
Otra de las novedades importantes que contempla esta normativa es la inclusión de la seguridad privada entre los 12 sectores críticos obligados. Concretamente, estarán sujetas las empresas que presten «servicios de seguridad privada relativos a las funciones de seguridad directamente relacionadas con el mantenimiento de los servicios esenciales», si bien deberá concretarse reglamentariamente.
Centro Nacional para la Protección y Resiliencia de las Entidades Críticas
El marco institucional de gestión del sistema de resiliencia de las entidades críticas será muy similar al actual Sistema de Protección de Infraestructuras Críticas. La Secretaría de Estado de Seguridad será la autoridad nacional competente en la materia, que ejercerá sus funciones a través del nuevo Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que sustituirá al Centro Nacional de Protección de Infraestructuras Críticas, CNPIC).
El CNPREC será el punto de contacto único de las entidades críticas con la Secretaría de Estado de Seguridad en lo relativo a sus responsabilidades, funciones y obligaciones en aquellas materias relacionadas con su protección y resiliencia. También ejercerá de punto de contacto único para la cooperación transfronteriza con los puntos de contacto únicos de otros Estados miembros de la Unión Europea.
A través de esta ley, una vez que se apruebe en el Parlamento, se creará la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado adscrito a la Secretaría de Estado de Seguridad, para la aprobación de los planes estratégicos sectoriales y la colaboración en la identificación de las entidades críticas.
Sectores y entidades excluidas de esta norma
Una vez en vigor, la ley será de aplicación a las entidades críticas ubicadas en el territorio nacional, a excepción de aquellas cuestiones que se encuentren reguladas en la normativa específica de las entidades pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales (como el Reglamento DORA o la Directiva NIS2).
Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias en seguridad ciudadana, que disponen de su propia normativa.
ACCEDE AL TEXTO COMPLETO: Proyecto de Ley de Proteccion y Resiliencia de Entidades Criticas
Archivado en:
