El Consejo de Ministros ha aprobado el proyecto de Ley de Protección y Resiliencia de las Entidades Críticas (Ley CER), cuyo objetivo es reforzar la protección de los servicios considerados esenciales para el correcto funcionamiento de la sociedad española.
La norma, una vez aprobada en el Parlamento, transpondrá al ordenamiento jurídico español la Directiva sobre esta misma materia, aprobada hace tres años (2022/2557). Los Estados miembros debían adaptar esta directiva, a más tardar, el 17 de octubre de 2024, si bien España y buen número de socios europeos no la han traspuesto todavía.
“Esta norma va a mejorar el tratamiento del conjunto de amenazas cada vez más dinámicas y complejas, desde los fenómenos naturales hasta los sabotajes, pasando por los riesgos tecnológicos y amenazas híbridas que las mismas enfrentan en un entorno de creciente interdependencia entre las infraestructuras y los sectores implicados», ha señalado el ministro del Interior, Fernando Grande-Marlaska, en la rueda de prensa tras el Consejo de Ministros.
Novedades de la Ley de Protección y Resiliencia
Una de las novedades del proyecto de Ley de Protección y Resiliencia de las Entidades Críticas es que actualizará el número de sectores estratégicos sujetos a esta norma en relación con el marco anterior. Tras su aprobación definitiva en el Parlamento, la norma añadirá a sectores tradicionales como la energía, la salud o el transporte –ya sujetos al marco de protección de infraestructuras críticas–, otros “como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada o las aguas residuales”, ha ejemplificado el ministro.
Catálogo Nacional de Entidades Críticas y Estratégicas
El proyecto de ley recoge la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas. Estas entidades serán identificadas en base a los criterios que fije la Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas y también a través de la Evaluación Nacional de Amenazas y Riesgos. Estos dos documentos estratégicos se actualizarán, como mínimo, cada cuatro años.
Planes de Resiliencia
Por otro lado, los operadores críticos, públicos o privados, deberán adoptar un Plan de Resiliencia que evalúe todos los riesgos que puedan afectar a la prestación de los servicios esenciales. Este plan contemplará medidas de prevención, respuesta y recuperación, así como la formación del personal y la gestión de la cadena de suministro.
Otro aspecto novedoso es la introducción de procedimientos para la comprobación de antecedentes penales del personal que desempeñe funciones sensibles en las entidades críticas. Esta medida, reclamada desde hace tiempo por las propias empresas para reforzar su seguridad frente a la amenaza interna, prevenir estos riesgos y reforzar la seguridad de los accesos a las infraestructuras y sistemas críticos.
Planes de actuación
El modelo de diseña el proyecto de Ley de Protección y Resiliencia de las Entidades Críticas mantiene el actual esquema de planes de actuación. Dicho esquema estará conformado por:
- El Plan Nacional de Protección y Resiliencia de las Entidades Críticas, un documento estructural elaborado por la Secretaría de Estado de Seguridad para dirigir y coordinar las actuaciones precisas y necesarias para fortalecer la seguridad de dichas entidades críticas.
- Los Planes Estratégicos Sectoriales, responsabilidad también de la Secretaría de Estado de Seguridad y elaborados para cada uno de los sectores estratégicos recogidos en la futura norma.
- Los Planes de Apoyo Operativos, elaborados por las Fuerzas y Cuerpos de Seguridad para cada una de las infraestructuras críticas existentes en su demarcación territorial.
Del CNPIC al CNPREC
Ley de Protección y Resiliencia de las Entidades Críticas creará el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), dependiente de la Secretaría de Estado de Seguridad. Este órgano, que sustituirá al actual Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), asumirá la interlocución directa con el conjunto de dichas entidades y ejercerá de contacto único para la cooperación transfronteriza con los Estados de la Unión Europea.
También quedará adscrita a la Secretaría de Estado de Seguridad la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado responsable de la aprobación de los Planes Estratégicos Sectoriales.
Sectores estratégicos excluidos de la normativa
Tal como ha explicado Grande-Marlaska, una vez aprobada la ley definitivamente, se aplicará a las entidades críticas ubicadas en el territorio nacional, excepto a las pertenecientes a los sectores bancarios, a los mercados financieros y a las infraestructuras digitales. Aunque haya entidades de estos sectores que pueden considerarse críticas, quedan excluidas al encontrarse ya reguladas por su normativa específica (Reglamento DORA o Directiva NIS2).
Tampoco se aplicará esta norma a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias estatutarias reconocidas, que se regirán por su propia normativa.
La entrada Aprobado el proyecto de Ley de Protección y Resiliencia de las Entidades Críticas en Consejo de Ministros se publicó primero en Seguritecnia.
