La futura ley supone un cambio de enfoque respecto al marco vigente. Ya no se centra solo en la protección física de infraestructuras concretas, como hacía la Ley 8/2011, sino en la resiliencia integral de las entidades que prestan servicios esenciales, obligándolas a prevenir, resistir, responder y recuperarse ante incidentes de origen natural, tecnológico o humano, incluidas amenazas híbridas, sabotajes o fenómenos asociados al cambio climático. El propio anteproyecto subraya que la normativa anterior había quedado superada por el carácter cada vez más interdependiente y transfronterizo de estos servicios.
El texto introduce además un nuevo sistema de planificación apoyado en tres niveles: un Plan Nacional de Protección y Resiliencia, planes estratégicos sectoriales y planes de resiliencia de cada entidad, junto a planes de apoyo operativo elaborados por las Fuerzas y Cuerpos de Seguridad para las infraestructuras críticas de su demarcación.
Otra de las novedades de mayor calado es la creación del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que asumirá las competencias del actual CNPIC y actuará como punto de contacto único con las entidades afectadas y con otros Estados miembros de la UE. La Secretaría de Estado de Seguridad seguirá siendo la autoridad nacional competente, mientras que la nueva Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas tendrá un papel clave en la identificación de operadores y en la aprobación de planes sectoriales. De hecho se lanzará una estrategia Nacional de Protección y resiliencia, asó como una Evaluación de amenazas y riesgos.
El anteproyecto incorpora también medidas especialmente sensibles para los operadores. Entre ellas destaca la posibilidad de realizar comprobaciones de antecedentes personales de quienes ocupen puestos sensibles o tengan acceso a instalaciones, sistemas de control o información delicada, siempre bajo las condiciones que se fijen reglamentariamente. A ello se suma la obligación de designar un responsable de seguridad y resiliencia en cada entidad crítica y de notificar a Interior, en un plazo máximo de 24 horas, los incidentes que perturben o puedan perturbar de forma significativa la prestación del servicio esencial.
La norma prevé asimismo un esquema nacional de certificación en materia de resiliencia, concebido para evaluar y acreditar el cumplimiento de los requisitos exigidos a las entidades críticas. El anteproyecto lo presenta expresamente como una novedad del sistema, con la que se pretende estandarizar niveles de calidad, seguridad y cumplimiento.
En paralelo, se crea un Catálogo Nacional de Entidades Críticas y Estratégicas, que reunirá la información de las entidades identificadas y de sus infraestructuras críticas y estratégicas. La parte del registro relativa a infraestructuras concretas tendrá la calificación de secreto oficial.
En el plano sectorial, el Gobierno defiende que la norma actualiza y amplía el perímetro de actividades consideradas estratégicas. En la rueda de prensa posterior al Consejo, el ministro del Interior citó expresamente la incorporación de ámbitos como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada o las aguas residuales. El anexo del anteproyecto, además, incluye sectores como energía, transporte, salud, agua, infraestructuras digitales, administración pública, espacio, alimentación, industria nuclear e instalaciones de investigación.
El nuevo marco incorpora también un régimen sancionador severo, en el que las infracciones muy graves podrán castigarse con multas de entre 1 y 10 millones de euros, o hasta el 2% del volumen de negocio mundial del grupo al que pertenezca la entidad, si esta cifra es superior. Además, podrán imponerse sanciones accesorias como la suspensión temporal de licencias o incluso la clausura de instalaciones en los supuestos más graves.
La futura ley derogará la Ley 8/2011, aunque el texto prevé un régimen transitorio para mantener en vigor el actual sistema de planificación hasta que se implante plenamente el nuevo modelo. También modifica puntualmente la Ley de Puertos del Estado y Marina Mercante para adaptar las comprobaciones de antecedentes en ámbitos sensibles para la seguridad.
Desde el punto de vista político y regulatorio, el mensaje del Ejecutivo es doble. Por un lado, busca cerrar el retraso en la transposición de la Directiva (UE) 2022/2557. Por otro, pretende dotarse de una arquitectura más amplia frente a riesgos físicos y operativos que afectan a servicios esenciales en un contexto de creciente tensión geopolítica, digitalización e interdependencia entre sectores. La aprobación del martes no supone todavía la luz verde definitiva a la ley: el texto deberá volver al Consejo de Ministros ya como proyecto de ley antes de iniciar su tramitación parlamentaria en las Cortes.
Una de las principales novedades es la creación de una Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas y de una Evaluación Nacional de Amenazas y Riesgos, dos instrumentos que deberán actualizarse al menos cada cuatro años y que servirán de base para identificar qué operadores deben ser considerados críticos y qué exigencias deberán cumplir. A partir de ese marco, cada entidad afectada tendrá que elaborar su propia evaluación de riesgos y un plan de resiliencia con medidas de prevención, protección física, continuidad de actividad, gestión de crisis, formación del personal y adaptación al cambio climático.
El texto introduce además un nuevo sistema de planificación apoyado en tres niveles: un Plan Nacional de Protección y Resiliencia, planes estratégicos sectoriales y planes de resiliencia de cada entidad, junto a planes de apoyo operativo elaborados por las Fuerzas y Cuerpos de Seguridad para las infraestructuras críticas de su demarcación.
Otra de las novedades de mayor calado es la creación del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que asumirá las competencias del actual CNPIC y actuará como punto de contacto único con las entidades afectadas y con otros Estados miembros de la UE. La Secretaría de Estado de Seguridad seguirá siendo la autoridad nacional competente, mientras que la nueva Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas tendrá un papel clave en la identificación de operadores y en la aprobación de planes sectoriales. De hecho se lanzará una estrategia Nacional de Protección y resiliencia, asó como una Evaluación de amenazas y riesgos.
El anteproyecto incorpora también medidas especialmente sensibles para los operadores. Entre ellas destaca la posibilidad de realizar comprobaciones de antecedentes personales de quienes ocupen puestos sensibles o tengan acceso a instalaciones, sistemas de control o información delicada, siempre bajo las condiciones que se fijen reglamentariamente. A ello se suma la obligación de designar un responsable de seguridad y resiliencia en cada entidad crítica y de notificar a Interior, en un plazo máximo de 24 horas, los incidentes que perturben o puedan perturbar de forma significativa la prestación del servicio esencial. La norma prevé asimismo un esquema nacional de certificación en materia de resiliencia, concebido para evaluar y acreditar el cumplimiento de los requisitos exigidos a las entidades críticas. El anteproyecto lo presenta expresamente como una novedad del sistema, con la que se pretende estandarizar niveles de calidad, seguridad y cumplimiento.
