Futura Ley de protección y resiliencia de entidades críticas

España

El Anteproyecto de Ley pretende reforzar la resiliencia de aquellas organizaciones que prestan servicios esenciales en sectores estratégicos

Futura Ley de protección y resiliencia de entidades críticas

2 de junio de 2025

Albert Agustinoy
Mireia Sala

El 27 de mayo de 2025, el Consejo de Ministros, a propuesta del Ministerio del Interior, aprobó el anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas (el “Anteproyecto”). Esta iniciativa legislativa surge como respuesta a la necesidad de incorporar al ordenamiento jurídico español la Directiva (UE) 2022/2557, relativa a la resiliencia de las entidades críticas, cuya fecha límite de transposición se cumplió en octubre de 2024.

La directiva establece un marco armonizado para reforzar la resiliencia de aquellas organizaciones, públicas y privadas, que prestan servicios esenciales en sectores estratégicos, con el objetivo de garantizar la continuidad de funciones sociales y actividades económicas vitales tanto a nivel nacional como en el conjunto de la Unión Europea.

La aprobación de este Anteproyecto se produce en un contexto de creciente preocupación por la vulnerabilidad de infraestructuras críticas frente a amenazas de diversa índole, desde fenómenos naturales hasta sabotajes y riesgos tecnológicos.

En este sentido, se deberá asegurar que la aplicación de este Anteproyecto se realiza de forma complementaria al anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, por el que se transpone en el ordenamiento español la Directiva (UE) 2022/2555 relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (“Directiva NIS2”) (puede consultarse en este enlace nuestra entrada del blog). Dicha norma establece medidas de protección a nivel de ciberseguridad, mientras que el presente Anteproyecto tiene por objeto la protección física de las entidades críticas.

Ámbito de aplicación y sectores críticos

El ámbito de aplicación del Anteproyecto se circunscribe a las entidades críticas ubicadas en territorio nacional, con exclusión de aquellas que ya se encuentran reguladas por normativa sectorial específica, como las entidades del sector bancario, los mercados financieros y las infraestructuras digitales. También quedan excluidas entidades estatales en el ámbito de la defensa y seguridad.

En cuanto a los sectores considerados estratégicos, el Anteproyecto sigue el listado de la Directiva, incluyendo la energía (electricidad, gas, crudo, hidrógeno), el transporte (aéreo, ferroviario, marítimo, por carretera y transporte público), la sanidad, el agua potable y las aguas residuales, la administración pública, el espacio, la producción, transformación y distribución de alimentos, y la seguridad privada, entre otros. La identificación de entidades críticas dentro de estos sectores se realizará en función de criterios como el número de usuarios afectados, la interdependencia con otros sectores, la cuota de mercado, la zona geográfica de influencia y la importancia para el mantenimiento de los servicios esenciales.

Principales implicaciones y obligaciones del Anteproyecto

El Anteproyecto introduce un conjunto de medidas y obligaciones dirigidas a fortalecer la protección y resiliencia de las entidades críticas. En primer lugar, se establece la creación de un catálogo nacional de entidades críticas y estratégicas, que será revisado al menos cada cuatro años. Este catálogo identificará a las organizaciones cuya actividad resulta indispensable para el mantenimiento de servicios esenciales en sectores como la energía, el transporte o la sanidad.

Las entidades incluidas en este catálogo estarán obligadas a elaborar y mantener actualizado un plan de resiliencia. Dicho plan deberá contemplar la identificación y evaluación de riesgos, así como la adopción de medidas técnicas, organizativas y de seguridad adecuadas para prevenir, proteger, responder y recuperarse ante incidentes que puedan afectar a la prestación de servicios esenciales. Entre las medidas concretas se incluyen la protección física de instalaciones, la gestión de la continuidad de las actividades, la formación y concienciación del personal, y la designación de un responsable de seguridad y resiliencia que actuará como punto de contacto con las autoridades competentes.

El Anteproyecto también prevé la implantación de un sistema de comprobación de antecedentes personales para garantizar la idoneidad de quienes prestan servicios en entidades críticas, así como la obligación de notificar cualquier incidente relevante que pueda alterar el funcionamiento de los servicios esenciales.

En cuanto al marco institucional de gobernanza, la Secretaría de Estado de Seguridad se configura como la autoridad nacional competente en la materia, actuando a través del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que sustituye al anterior Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Este centro será también el punto de contacto único para la cooperación transfronteriza con otros Estados miembros de la Unión Europea. Además, se crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado encargado de aprobar los planes estratégicos sectoriales y colaborar en la identificación de entidades críticas, así como un Grupo de Trabajo Interdepartamental para la coordinación de políticas en la materia.

El marco de planificación se articula en torno a la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas y la Evaluación Nacional de Amenazas y Riesgos, ambos documentos elaborados y aprobados por la Secretaría de Estado de Seguridad. Sobre esta base, se desarrollan el Plan Nacional de Protección y Resiliencia, los planes estratégicos sectoriales y los planes de apoyo operativos, estos últimos elaborados por las Fuerzas y Cuerpos de Seguridad en relación con cada infraestructura crítica en su demarcación territorial.

Conclusiones

La norma refuerza la planificación, la coordinación institucional y la capacidad de respuesta ante incidentes que puedan comprometer la prestación de servicios esenciales, dotando a las entidades críticas de obligaciones claras y mecanismos de apoyo y supervisión.

No obstante, debe recordarse que el texto aprobado por el Consejo de Ministros constituye un anteproyecto, por lo que aún está sujeto a modificaciones durante su tramitación parlamentaria y en el proceso de consulta con los sectores y organismos implicados. El procedimiento de urgencia en su tramitación responde a la necesidad de transponer esta directiva y de garantizar cuanto antes la seguridad, la resiliencia de los servicios esenciales en un contexto de amenazas crecientes y la interdependencia a escala europea.

Con la colaboración de Manel Pérez

2 de junio de 2025

Futura Ley de protección y resiliencia de entidades críticas

Ámbito de aplicación y sectores críticos

Principales implicaciones y obligaciones del Anteproyecto

Conclusiones

Actualidad

Informe AEPD-EDPS: IA Federada y Privacidad

¿Qué está pasando con el Reglamento de IA?

STS: Daños por infracción de derechos de propiedad intelectual

Riesgo de confusión entre marcas (Swipe y KinkySwipe)

Claves de la próxima entrada en vigor de la Ley de Accesibilidad en España

El TGUE confirma la validez de la icónica máscara Easybreath de Decathlon

Cláusulas contractuales para la Data Act

Guía sobre IA Generativa responsable para investigadores

¿El radiador de un coche puede identificar el origen empresarial?

El caso Frisby: Análisis y lecciones para la protección de marcas

Blog de Propiedad Intelectual y Tecnologías

Ámbito de aplicación y sectores críticos

Principales implicaciones y obligaciones del Anteproyecto

Conclusiones

Actualidad

Gestionar el consentimiento de las cookies

Cookies técnicas

Cookies de preferencias

Cookies de medición

Gestionar los servicios