A propuesta del Ministerio del Interior, el Consejo de Ministros ha aprobado este martes el proyecto de Ley de Protección y Resiliencia de Entidades Críticas, una norma que incorpora al marco jurídico español la directiva europea más reciente sobre la salvaguarda de aquellas instituciones y empresas, públicas o privadas, que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas vitales no solo en el ámbito nacional, sino también en la Unión Europea. El objetivo es apoyar y garantizar el funcionamiento de las entidades públicas o privadas que explotan infraestructuras críticas en sectores estratégicos.
La iniciativa será remitida a las Cortes Generales para su tramitación y aprobación parlamentaria. La Secretaría de Estado de Seguridad asumirá la elaboración, custodia y actualización del catálogo de entidades estratégicas, mientras que el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC) será el órgano de interlocución directa y de coordinación en esta materia.
Protección y resiliencia de entidades críticas en sectores estratégicos
Ese catálogo mantendrá sectores ya contemplados, como energía, salud, transporte, agua, Administración pública, producción y distribución de alimentos e industria nuclear. También sumará nuevos sectores, entre ellos el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada, las instalaciones de investigación y las aguas residuales, entre otros.
La identificación de las entidades estratégicas se apoyará en dos instrumentos: la Estrategia Nacional de Protección y Resiliencia de las Entidades Críticas, que elaborará la Secretaría de Estado de Seguridad y aprobará el Consejo de Seguridad Nacional a propuesta del ministro del Interior, y la Evaluación Nacional de Amenazas y Riesgos, que también redactará y aprobará la propia Secretaría.
La norma regula el procedimiento para la identificación de las entidades críticas, que estarán obligadas a adoptar determinadas medidas de protección y resiliencia. Entre ellas, deberán elaborar un plan de resiliencia con medidas de protección física, respuesta y mitigación ante incidentes; se implantará un sistema de verificación de antecedentes personales para empleados vinculados directamente con la operación, mantenimiento o control de infraestructuras críticas; tendrán que nombrar un responsable de seguridad y resiliencia; y se articulará un sistema de notificación de incidentes que puedan alterar el funcionamiento de los servicios esenciales.
CNPREC, servicios esenciales y coordinación con la Unión Europea
En el plano institucional, la Secretaría de Estado de Seguridad será la autoridad nacional competente. El CNPREC, antes denominado CNPIC, actuará además como punto de contacto único para la cooperación transfronteriza con otros de los Estados miembros. La norma regula también las entidades críticas de especial importancia europea, es decir, aquellas que prestan servicios esenciales a o en seis o más Estados miembros de la UE.
Los distintos departamentos ministeriales ejercerán como puntos de contacto especializados según el sector estratégico correspondiente. Mientras se elaboran la nueva estrategia nacional y la evaluación de amenazas y riesgos, seguirán vigentes los planes actuales: el Plan Nacional de Protección y Resiliencia de las Entidades Críticas, los planes estratégicos sectoriales y los planes de apoyo operativos.
El proyecto crea asimismo la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, adscrita a la Secretaría de Estado de Seguridad, para aprobar planes estratégicos sectoriales y colaborar en la identificación de entidades críticas. También establece el Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas.
Ámbito de aplicación de la ley de entidades críticas
Una vez entre en vigor, la ley se aplicará a las entidades críticas situadas en territorio nacional, salvo en los ámbitos que ya cuentan con regulación específica. Quedan fuera las entidades de los sectores bancario, de los mercados financieros y de las infraestructuras digitales, así como las dependientes del Ministerio de Defensa, las Fuerzas y Cuerpos de Seguridad del Estado y los cuerpos de policía autonómicos con competencias en seguridad ciudadana.
Además, la normativa europea sobre ciberseguridad se recoge en otras directivas distintas, cuya transposición se realizará mediante la Ley de Coordinación y Gobernanza de la Ciberseguridad.