Nuevas obligaciones para actores públicos y privados: planes de resiliencia, evaluaciones de riesgo, formación y coordinación operativa
El Consejo de Ministros de España ha aprobado recientemente el anteproyecto de la Ley de Protección y Resiliencia de las Entidades Críticas (Ley CER), un paso significativo hacia el fortalecimiento de la seguridad nacional y la continuidad de los servicios esenciales. Esta iniciativa busca adaptar la legislación española a la Directiva (UE) 2022/2557, enfocándose en la protección de infraestructuras críticas frente a amenazas diversas, desde fenómenos naturales hasta ciberataques y sabotajes.
¿Qué es la Directiva (UE) 2022/2557?
También conocida como Directiva CER, es la norma europea que regula la resiliencia de las entidades críticas que prestan servicios esenciales —como energía, transporte, salud o agua— en los Estados miembros. Sustituye a la anterior directiva de 2008 y amplía el enfoque: ya no se centra solo en infraestructuras físicas, sino también en la capacidad organizativa de estas entidades para anticiparse, resistir y recuperarse ante cualquier amenaza, desde ciberataques hasta desastres naturales.
La Ley CER surge en un momento crucial, especialmente tras el apagón masivo del 28 de abril de 2025 que afectó a toda la península ibérica, evidenciando la vulnerabilidad de las infraestructuras críticas ante incidentes imprevistos . El objetivo principal de la ley es garantizar la resiliencia y continuidad de los servicios esenciales, como la energía, el transporte, la salud y el suministro de agua, mediante la implementación de medidas preventivas y de respuesta ante posibles amenazas.
Principales novedades de la ley
-
Ampliación de sectores estratégicos: La ley amplía el alcance de los sectores considerados críticos, incluyendo ahora áreas como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada y las aguas residuales . Esta ampliación refleja una visión más integral de las infraestructuras esenciales para el funcionamiento de la sociedad.
- Creación del Catálogo Nacional de Entidades Críticas y Estratégicas: Se establecerá un Catálogo Nacional que identificará las entidades críticas y estratégicas, basado en criterios definidos por la Estrategia Nacional de Protección y Resiliencia y la Evaluación Nacional de Amenazas y Riesgos. Estos documentos estratégicos se actualizarán al menos cada cuatro años
- Obligación de planes de resiliencia: Las entidades críticas, tanto públicas como privadas, deberán elaborar un Plan de Resiliencia que evalúe los riesgos que puedan afectar la prestación de sus servicios esenciales. Este plan debe incluir medidas de prevención, respuesta y recuperación, así como la formación del personal y la gestión de la cadena de suministro .
-
Verificación de antecedentes del personal: Una de las medidas más destacadas es la posibilidad de que las entidades críticas soliciten la verificación de antecedentes penales y otra información sensible de su personal que desempeñe funciones sensibles, previa autorización de la Secretaría de Estado de Seguridad. Esta medida busca prevenir riesgos internos y reforzar la seguridad de las infraestructuras.
- Transformación del CNPIC en CNPREC: El actual Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) será sustituido por el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que asumirá la coordinación de la seguridad de los servicios esenciales en colaboración con todos los actores implicados.
Impacto regulatorio y operativo
La aprobación del Proyecto de Ley de Protección y Resiliencia de las Entidades Críticas constituye un hito en la evolución del marco normativo español vinculado a la seguridad nacional. Su enfoque integral y transversal, alineado con la Directiva (UE) 2022/2557, demuestra una voluntad clara de responder a los riesgos sistémicos con una arquitectura normativa más robusta, preventiva y coordinada. Jorge Quintana, CEO de ACK3, destaca:
“Esta ley marca un antes y un después en la forma en que entendemos la seguridad de las infraestructuras críticas en España. No se trata solo de proteger activos, sino de garantizar la continuidad de los servicios esenciales en un entorno cada vez más interdependiente y expuesto a amenazas híbridas.”
La nueva legislación plantea desafíos significativos tanto en el plano estratégico como operativo. La obligación de diseñar y mantener planes de resiliencia actualizados, la gestión del riesgo en cadenas de suministro complejas y la necesidad de dotarse de una gobernanza interna orientada a la seguridad funcional de las infraestructuras esenciales son elementos que invitan a una reflexión profunda sobre la madurez organizativa y los modelos de cumplimiento actuales.
Asimismo, la creación de nuevos instrumentos como el Catálogo Nacional o la conversión del CNPIC en el CNPREC sugiere un movimiento institucional hacia estructuras más proactivas y resilientes. Estos cambios requerirán una adaptación continua por parte de las entidades afectadas, así como una mayor integración de criterios de seguridad en la toma de decisiones corporativas y en el diseño de políticas públicas.
En definitiva, esta norma no solo refuerza la defensa frente a amenazas complejas, sino que impulsa una cultura de resiliencia que será esencial en un contexto de interdependencia crítica creciente entre sectores y territorios.
¿Te interesa fortalecer la resiliencia de tu organización en el contexto de la nueva Ley CER?
La capacidad de anticiparse, resistir y recuperarse ante amenazas complejas será clave para entidades públicas y privadas en los próximos años. En ACK3 trabajamos desde un enfoque integral de resiliencia organizacional, alineado con los nuevos marcos normativos y con experiencia contrastada en sectores críticos.
