El anteproyecto impactará en sectores como alimentación, transporte, sanidad, energía o agua

El Consejo de Ministros aprobó el pasado 3 de junio el anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas, una iniciativa impulsada por el Ministerio del Interior que adapta el ordenamiento jurídico español a la nueva directiva europea sobre salvaguarda de infraestructuras esenciales. La norma se dirige a organizaciones públicas y privadas que prestan servicios indispensables en sectores estratégicos como energía, transporte, sanidad, agua, producción alimentaria, industria nuclear o seguridad privada.

El texto tiene por objeto garantizar el funcionamiento de estas entidades frente a amenazas que puedan comprometer la continuidad de servicios vitales para el país. Para ello, establece obligaciones en materia de planificación, evaluación de riesgos, protección física, notificación de incidentes y designación de responsables de seguridad y resiliencia. Asimismo, incluye un sistema de verificación de antecedentes del personal que presta servicio en dichas entidades.

El Ministro del Interior, Fernando Grande-Marlaska, durante su comparecencia ante los medios de comunicación tras el Consejo de Ministros.

El anteproyecto configura un marco normativo sustentado en dos documentos estratégicos: la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas y la Evaluación Nacional de Amenazas y Riesgos, ambos elaborados por la Secretaría de Estado de Seguridad y aprobados en el seno del Consejo de Seguridad Nacional. A partir de estas bases, se articulan tres niveles de planificación: el Plan Nacional de Protección y Resiliencia, los planes estratégicos sectoriales y los planes de apoyo operativos.

El Plan Nacional, de carácter estructural, servirá para dirigir y coordinar las actuaciones en materia de seguridad crítica. Los planes estratégicos sectoriales, elaborados para cada uno de los ámbitos estratégicos definidos, permitirán adaptar las medidas a las especificidades de cada entorno. En un tercer nivel, las Fuerzas y Cuerpos de Seguridad desarrollarán planes operativos específicos para cada infraestructura crítica de su demarcación.

La Secretaría de Estado de Seguridad asume la competencia nacional en la materia, delegando la interlocución directa con las entidades críticas en el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC). Este organismo, anteriormente conocido como Centro Nacional de Protección de Infraestructuras Críticas (CNPIC), se convierte también en punto de contacto único para la cooperación transfronteriza con homólogos de otros Estados miembros de la Unión Europea.

Entre las nuevas obligaciones para las entidades identificadas como críticas se incluye la elaboración de un plan de resiliencia adaptado a su plan estratégico sectorial. Este documento deberá contemplar medidas de protección física, respuesta ante incidentes y mitigación de riesgos. Cada entidad deberá designar un responsable de seguridad y resiliencia como enlace con las autoridades. Además, estará obligada a notificar cualquier incidente que afecte al funcionamiento de los servicios esenciales que presta.

El texto normativo contempla la creación de dos órganos colegiados de apoyo: la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, adscrita a la Secretaría de Estado de Seguridad, y el Grupo de Trabajo Interdepartamental, cuya función será colaborar en la identificación de entidades críticas y en la aprobación de planes estratégicos sectoriales.

La aplicación de la futura ley quedará limitada a las entidades críticas situadas en territorio nacional, excepto aquellas ya reguladas por normativas específicas, como las del sector bancario, los mercados financieros o las infraestructuras digitales. Tampoco se aplicará a las instituciones dependientes del Ministerio de Defensa ni a los cuerpos policiales con competencias estatutarias propias.

El anteproyecto fue aprobado en primera vuelta mediante el procedimiento de urgencia, lo que implica una reducción a la mitad de los plazos ordinarios de tramitación. Los informes sectoriales requeridos deben ser emitidos por los ministerios de Defensa; Transportes y Movilidad Sostenible; Industria y Turismo; Agricultura, Pesca y Alimentación; Política Territorial y Memoria Democrática; Transición Ecológica y Reto Demográfico; Sanidad; Ciencia, Innovación y Universidades; Transformación Digital y Función Pública. También deberán pronunciarse la Agencia Española de Protección de Datos, el Departamento de Seguridad Nacional y el Consejo de Estado.

Con esta iniciativa, el Gobierno busca dotar de una arquitectura legal robusta a los mecanismos de protección de infraestructuras críticas, en línea con los estándares comunitarios y con el objetivo de preservar la continuidad de los servicios esenciales que sustentan la seguridad, el bienestar social y el funcionamiento económico del país.