Interior reforzará la protección de infraestructuras críticas con planes de resiliencia y un mayor control de sus empleados

A. Muñoz

Publicada 27 mayo 2025 14:16h

El Gobierno ha dado este martes luz verde a un nuevo anteproyecto de ley destinado a reforzar la protección de las infraestructuras críticas del país. Un texto que propone, entre otras medidas, una mayor vigilancia y control de sus trabajadores y la elaboración de planes de resiliencia.

El Consejo de Ministros ha aprobado este martes el anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas que operan en sectores estratégicos como la energía (incluida la nuclear), el transporte, la sanidad, el agua o la Administración pública, la producción, transformación o la seguridad privada, entre otros.

Esta ley supone la trasposición de la Directiva sobre Resiliencia de las Entidades Críticas (CER, por sus siglas en inglés) aprobada en diciembre de 2022. Se busca así modernizar el marco legal para responder a amenazas cada vez más complejas, desde fenómenos naturales hasta sabotajes, pasando por riesgos tecnológicos y amenazas híbridas.

De apagones a cortar el agua: así son los ciberataques a las infraestructuras críticas de los que alerta Pedro Sánchez

Según recogen EFE y Europa Press, Fernando Grande-Marlaska, ministro del Interior, ha asegurado en la rueda de prensa posterior al consejo que esta nueva ley, que se tramitará por la vía de urgencia, "sitúa a España a la vanguardia de la protección de los servicios esenciales".

Así, ha destacado que representa un cambio de paradigma en la seguridad nacional, al poner el foco no sólo en la protección de infraestructuras concretas, sino en la garantía de la continuidad de los servicios esenciales, ante incidentes graves de cualquier origen.

Medidas

Según lo recogido en el anteproyecto, las entidades críticas deberán evaluar todos los riesgos que puedan afectar a la prestación de sus servicios y elaborar un Plan de Resiliencia que incluya medidas de prevención, respuesta y recuperación, así como la formación del personal y la gestión de la cadena de suministro.

La ley también introduce procedimientos para la comprobación de antecedentes del personal que desempeñe funciones sensibles en entidades críticas para garantizar su idoneidad. La comprobación se limitará estrictamente a lo necesario, con el único fin de evaluar un posible riesgo para la seguridad de las mismas.

Proteger nuestras redes de telecomunicaciones no es optativo: es una obligación

La Secretaría de Estado de Seguridad del Ministerio del Interior seguirá siendo el órgano competente, a través del Centro Nacional de Protección y Resiliencia de Entidades Críticas (hasta ahora CNPIC), que ejercerá la coordinación con todos los actores, públicos y privados.

Las entidades críticas deberán también notificar a este centro los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales en el plazo máximo de 24 horas desde que tengan conocimiento de aquellos, salvo acreditada incapacidad.

Otra de sus competencias estará la elaboración de una Evaluación Nacional de Amenazas y Riesgos, que servirá como instrumento para identificar las entidades críticas y ayudarlas a adoptar medidas adecuadas y proporcionadas para garantizar su resiliencia.

Esta evaluación tendrá en cuenta los riesgos o amenazas de origen natural o humano que puedan dar lugar a un incidente, incluidos los de naturaleza intersectorial o transfronteriza, los accidentes, las catástrofes naturales, las emergencias de salud pública, las amenazas híbridas y el terrorismo.

Catálogo nacional

Destaca asimismo la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas, que preserva el carácter clasificado de estas últimas, de forma que permita a las autoridades su protección.

La ley prevé también la creación de un esquema nacional de certificación en materia de resiliencia de las entidades críticas e introduce el concepto de "efecto perturbador significativo", así como las particularidades de las entidades que pertenecen al sector bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales.

Miguel López, experto en ciberseguridad: "El apagón pone de manifiesto lo frágil de nuestra sociedad"

La ley contempla sanciones de hasta 10 millones de euros para las entidades que cometan infracciones muy graves, como la ausencia de notificación de "incidentes perturbadores" en la prestación de los servicios esenciales dentro del plazo de 12 horas, si causa un riesgo o perjuicio muy grave.

La multa podrá llevar aparejada, además, la suspensión temporal de las licencias, autorizaciones o permisos y también se contempla la clausura temporal de las fábricas, locales o establecimientos.

Exclusiones

El anteproyecto será de aplicación a las entidades críticas ubicadas en el territorio nacional, excepto a las pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales, que pueden considerarse críticas, pero quedan excluidas al encontrarse reguladas por su normativa específica.

Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado y a los cuerpos de policía de las comunidades autónomas con competencias estatutarias reconocidas y asumidas para la protección de personas y bienes y para el mantenimiento del orden público, que se regirán por su propia normativa.

El Español

Interior reforzará la protección de infraestructuras críticas con planes de resiliencia y un mayor control de sus empleados

El Consejo de Ministros aprueba el anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas para trasponer la legislación europea.

Más información: La Comisión Europea da dos meses a España para transponer las normas de protección de infraestructuras críticas

Medidas

Catálogo nacional

Exclusiones