España refuerza su escudo frente a amenazas híbridas y catástrofes con una nueva ley de protección de infraestructuras críticas. El Gobierno ha dado un paso decisivo para blindar los servicios esenciales del país ante un entorno de riesgos cada vez más complejo. El Ministerio del Interior ha presentado el Anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas, una norma que adapta el ordenamiento jurídico español a la Directiva (UE) 2022/2557 y deroga la ya superada Ley 8/2011 sobre infraestructuras críticas.
El objetivo de esta nueva norma será garantizar que sectores como la energía, el transporte, las finanzas, la salud o las telecomunicaciones puedan seguir operando incluso ante ciberataques, catástrofes naturales, crisis sanitarias o amenazas terroristas.
A diferencia del marco anterior, la nueva ley introduce un cambio sustancial: deja atrás la protección exclusiva de infraestructuras físicas para centrarse en la resiliencia de las entidades que prestan los servicios esenciales. Esto implica reforzar no solo las instalaciones, sino también los procesos internos, las capacidades de respuesta y recuperación, los sistemas de información y la formación del personal.
El anteproyecto establece que cada entidad identificada como crítica deberá llevar a cabo una evaluación de riesgos exhaustiva, teniendo en cuenta amenazas naturales, humanas, tecnológicas e híbridas. Sobre esa base, deberá diseñar un Plan de Resiliencia que contemple medidas técnicas, organizativas y operativas para anticiparse a incidentes, mitigar su impacto y recuperar la actividad lo antes posible. Estos planes serán validados por la Secretaría de Estado de Seguridad y deberán actualizarse cada cuatro años o cuando se produzcan cambios sustanciales en los riesgos.
Cada entidad crítica deberá designar un responsable de seguridad y resiliencia, con la formación y acreditación requeridas por el Ministerio del Interior, y contar con un Área de Seguridad interna. Además, las Fuerzas y Cuerpos de Seguridad del Estado elaborarán planes de apoyo operativo para reforzar la protección de aquellas más sensibles.
Una de las medidas más delicadas del texto es la introducción de procedimientos de comprobación de antecedentes penales del personal que acceda a funciones sensibles o zonas críticas. Estas verificaciones podrán incluir la consulta de registros penales y bases de datos de inteligencia, y se aplicarán también a trabajadores subcontratados o candidatos a estos puestos.
El procedimiento será gestionado por el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC) y estará sujeto a principios de necesidad, proporcionalidad, confidencialidad y protección de datos. Esta disposición refuerza el blindaje ante amenazas internas y es uno de los requisitos contemplados por la normativa europea.
El anteproyecto prevé, además, la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas, de carácter confidencial, que servirá como instrumento de coordinación entre administraciones, y la implantación de un esquema nacional de certificación, que permitirá acreditar el cumplimiento de los estándares exigidos en materia de resiliencia.
La norma también contempla mecanismos de cooperación internacional, es decir, aquellas que prestan servicios esenciales en al menos seis países del entorno comunitario. Estas entidades estarán sujetas a seguimiento reforzado.