El Consejo de Ministros celebrado esta semana ha dado luz verde, a propuesta del Ministerio del Interior, al proyecto de Ley de Protección y Resiliencia de Entidades Críticas, una norma con la que adapta al marco nacional la directiva europea más reciente sobre la salvaguarda de aquellas instituciones y empresas, públicas o privadas, que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas vitales no solo en el ámbito nacional, sino también en la Unión Europea. Además de los sectores tradicionales como la energía o el transporte, el catálogo incorporará nuevos sectores como el hidrógeno, entre otros.
El proyecto de ley, que es enviado a las Cortes Generales para su tramitación y aprobación parlamentaria, tiene como objetivo apoyar y garantizar el funcionamiento de las entidades públicas o privadas que explotan infraestructuras críticas en sectores estratégicos.
La Secretaría de Estado de Seguridad asumirá la elaboración, custodia y actualización del catálogo de entidades estratégicas, mientras que el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC) será el órgano de interlocución directa y de coordinación en esta materia.
Nuevos sectores estratégicos
Además de sectores tradicionales como la energía, la salud, el transporte, el agua, la Administración pública, la producción y distribución de alimentos o la industria nuclear, el catálogo incorporará nuevos sectores, entre ellos el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada, las instalaciones de investigación y las aguas residuales, entre otros.
La identificación de las entidades estratégicas se apoyará en dos instrumentos: la Estrategia Nacional de Protección y Resiliencia de las Entidades y Críticas, que elaborará la Secretaría de Estado de Seguridad y aprobará el Consejo de Seguridad Nacional a propuesta del ministro del Interior, y la Evaluación Nacional de Amenazas y Riesgos, también elaborada y aprobada por la propia Secretaría de Estado de Seguridad.
Una vez catalogadas, las entidades críticas deberán aplicar varias medidas de protección y resiliencia. Entre ellas figura la elaboración de un plan de resiliencia con acciones de protección física, respuesta y mitigación frente a incidentes dentro del plan estratégico sectorial correspondiente. También se prevé un sistema de comprobación de antecedentes personales para empleados vinculados de forma directa con la operación, el mantenimiento o el control de infraestructuras críticas; tendrán que nombrar un responsable de seguridad y resiliencia; y se articulará un sistema de notificación de incidentes que puedan alterar el funcionamiento de los servicios esenciales.
Marco institucional y ámbito de aplicación
En el plano institucional, la Secretaría de Estado de Seguridad será la autoridad nacional competente. El CNPREC, antes denominado CNPIC, actuará además como punto de contacto único para la cooperación transfronteriza con otros de los Estados miembros. La norma regula también las entidades críticas de especial importancia europea, es decir, aquellas que prestan servicios esenciales a o en seis o más Estados miembros de la UE.
Además, los distintos departamentos ministeriales ejercerán como puntos de contacto especializados según el sector estratégico correspondiente. Mientras se elaboran la nueva estrategia nacional y la evaluación de amenazas y riesgos, seguirán vigentes los planes actuales: el Plan Nacional de Protección y Resiliencia de las Entidades Críticas, los planes estratégicos sectoriales y los planes de apoyo operativos.
La norma crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, adscrita a la Secretaría de Estado de Seguridad, para aprobar planes estratégicos sectoriales y colaborar en la identificación de entidades críticas. También establece el Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas.
Una vez entre en vigor, la ley se aplicará a las entidades críticas situadas en territorio nacional, salvo en los ámbitos que ya cuentan con regulación específica. Quedan fuera las entidades de los sectores bancario, de los mercados financieros y de las infraestructuras digitales, así como las dependientes del Ministerio de Defensa, las Fuerzas y Cuerpos de Seguridad del Estado y los cuerpos de policía autonómicos con competencias en seguridad ciudadana. Además, la normativa europea sobre ciberseguridad se recoge en otras directivas distintas, cuya transposición se realizará mediante la Ley de Coordinación y Gobernanza de la Ciberseguridad.