Manuel Sanchez

Claves y síntesis del anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas


El objetivo principal del anteproyecto es crear un sistema integral para la identificación, evaluación y protección de las entidades críticas.

Con el Anteproyecto de Transposición de la Directiva CER (UE) 2022/2557- se pretende reforzar la resiliencia de entidades críticas ante amenazas, derogando parcialmente la Ley 8/2011 y el RD 704/2011. Así, la nueva Ley de Protección y Resiliencia de Entidades Críticas tendrá un nuevo enfoque basado en la resiliencia (prevención, protección y recuperación) ante incidentes que afecten a servicios esenciales.

A continuación, hacemos un análisis de este anteproyecto de Ley que se compone de cinco capítulos que regulan desde definiciones y planificación hasta supervisión y sanciones, con medidas como planes de resiliencia, notificación de incidentes y certificación, así como implementar protocolos y medidas preventivas para garantizar la seguridad y continuidad del funcionamiento.

También se definen las Instituciones responsables a nivel nacional, así como mecanismos de colaboración entre Comunidades Autónomas, gobiernos y entidades críticas. Asimismo, el proyecto de ley promueve la colaboración entre entidades públicas y privadas, reconociendo que la protección de infraestructuras críticas requiere un esfuerzo conjunto y coordinado y la participación activa de ambas partes.

El gobierno español ha aprobado en el Consejo de Ministros del día 27 de mayo de 2025 el Anteproyecto Protección y Resiliencia de Entidades Críticas, que traspone la Directiva CER (2022/2557), acordando la tramitación urgente del anteproyecto para reducir a la mitad los plazos para informes ministeriales y de organismos consultivos.

Una vez aprobado de manera definitiva se derogará parcialmente la Ley 8/2011 y el Real Decreto 704/201.

Manuel Sánchez Gómez-Merelo
Consultor Internacional de Seguridad

La Constitución Española reconoce los derechos fundamentales y libertades públicas, que los poderes públicos deben garantizar. En el desarrollo de las medidas de protección que resulten adecuadas para garantizar estos derechos, se encuentran aquellas que permitan el funcionamiento efectivo de las entidades críticas, de forma que puedan prestar adecuadamente los servicios esenciales que demanda la ciudadanía.

No obstante, la evaluación realizada en 2019 de la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas únicamente a activos individuales no bastan para evitar que se produzcan perturbaciones.

Por tanto, resultaba necesario modificar el enfoque para garantizar que se tuvieran mejor en cuenta los riesgos, se mejorase la definición y la coherencia de las funciones y las obligaciones de las entidades críticas que presten servicios esenciales para el funcionamiento del mercado interior de la Unión Europea, y se adaptasen sus normas a fin de aumentar la resiliencia de las entidades críticas de forma que éstas pudieran reforzar su capacidad de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes que afecten a la prestación de servicios esenciales.

Con ese objetivo se aprobó la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, que, con efectos de 18 de octubre de 2024, es aplicable dentro del ámbito de la Unión.

Claves y síntesis del anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas, por Manuel Sánchez Gómez-Merelo

La resiliencia, entendida como la capacidad de las entidades para la prevención, la protección, la respuesta, la resistencia, la mitigación, la absorción, la adaptación y la recuperación de sus funciones en casos de incidente, resulta una cualidad para cuya consecución es necesario, en primer lugar, contar con una Estrategia Nacional en la que se establezcan los objetivos para la mejora de la resiliencia de las entidades críticas, así como la adopción de un enfoque basado en el riesgo, que se centre en las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales, cuyos resultados hagan posible tanto la identificación de las entidades que deban ser consideradas críticas, como el impulso de las actuaciones orientadas a la implementación de las medidas adecuadas para ayudar a éstas a alcanzar sus objetivos de resiliencia frente a los riesgos pertinentes.

Esta ley consta de cuarenta y un artículos, estructurados en cinco capítulos, así como de ocho disposiciones adicionales, una transitoria, una derogatoria y siete finales.

CAPÍTULO I Disposiciones generales

En este capítulo se regula el objeto y el ámbito de aplicación objetivo y subjetivo, además de establecer las definiciones que esta ley utiliza. También especifica los aspectos que quedan fuera de su ámbito de su aplicación.

CAPÍTULO II Marco nacional para la resiliencia de las entidades críticas

En este capítulo se establece el marco nacional para la resiliencia de las entidades críticas, en el que se define el entorno legal para la planificación y evaluación de la protección y resiliencia de las entidades críticas de manera que se garanticen los mayores estándares en las medidas, medios técnicos y organizativos de protección.

Se determinan los instrumentos y planes para la protección y resiliencia de las entidades críticas, significando:

  • Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas
  • Evaluación Nacional de Amenazas y Riesgos
  • Evaluación de riesgos por parte de las entidades críticas.
  • Sistema de planificación para la protección y resiliencia de las entidades críticas
  • Plan de Resiliencia.

Indica igualmente, otras medidas de protección y resiliencia de aplicación como:

  • Comprobación de idoneidad de personas
  • Notificación de incidentes por las entidades críticas
  • Esquema nacional de certificación en materia de resiliencia de entidades críticas y normas de estandarización.

Determina procedimientos de identificación y catálogo nacional de entidades críticas y estratégicas a tener en cuenta como:

  • Identificación de las entidades críticas
  • Efecto perturbador significativo

CAPÍTULO III Marco institucional para la protección y resiliencia de las entidades críticas

En este capítulo se regula el marco institucional para la protección y resiliencia de las entidades críticas, en el que se detallan las instituciones y órganos a través de los cuales se asumen las distintas responsabilidades en la aplicación del marco normativo para la protección y resiliencia de aquellas.

  • Designándose las instituciones intervinientes en el marco de la ley como:
  • Autoridad nacional competente
  • Punto de contacto único.
  • Puntos de contacto especializados
  • Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas.
  • Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas
  • Delegados y Delegadas del Gobierno
  • Comunidades Autónomas.
  • Actuaciones de colaboración y cooperación con las entidades críticas
  • Cooperación entre Estados miembros de la Unión Europea

CAPÍTULO IV Entidades críticas de especial importancia europea

En este capítulo se abordan las entidades críticas de especial importancia europea, entendidas como aquellas organizaciones identificadas como críticas que, además, prestan los mismos o similares servicios esenciales a o en seis o más Estados miembros de la Unión Europea.

Se establecen los objetivos siguientes:

  • Designación de entidades críticas de especial importancia europea
  • Misiones de asesoramiento

CAPÍTULO V Supervisión y régimen sancionador

En este capítulo, relativo al régimen sancionador, se regula el ejercicio de competencias de supervisión para evaluar el cumplimiento de las obligaciones establecidas en esta ley.

Se determinan las actividades de supervisión de las entidades críticas, referidas a:

  • Actividades de supervisión de las entidades críticas.

Con indicación de reglas generales en:

  • Sujetos responsables
  • Competencia sancionadora
  • Criterios de graduación de las sanciones.

Se establece una Clasificación de infracciones y sanciones:

  • Infracciones muy graves
  • Infracciones graves.
  • Infracciones leves.
  • Prescripción de las infracciones
  • Prescripción de las sanciones.

Con determinación del procedimiento sancionador y:

  • Régimen jurídico
  • Concurrencia de infracciones
  • Subordinación del procedimiento administrativo sancionador respecto al penal
  • Medidas provisionales
  • Caducidad del procedimiento

Finalmente, se establecen disposiciones adicionales respecto a:

  • No incremento de gasto público.
  • Medios de transmisión
  • Protección de datos de carácter personal
  • Entidades críticas del sector bancario y de las infraestructuras digitales
  • Informes y comprobaciones para acreditaciones y antecedentes (INCOA)
  • Obligaciones de comunicación
  • Instalación de sistemas de reconocimiento biométrico
  • Instalación de sistemas antidrones de detección
  • Coordinación con mecanismos estratégicos de capacidad industrial nacional

Nuevas exigencias europeas para la Protección de las Infraestructuras Críticas, por Manuel Sánchez Gómez-Merelo

Completa el texto del Anteproyecto de la Ley de Protección y Resiliencia de Entidades Críticas un anexo con indicación de los Sectores, Subsectores, Organismos responsables y categorías de Entidades Críticas.

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.