El anteproyecto de ley de protección y resiliencia de entidades críticas marca un cambio estructural en el modelo de seguridad en España
España se encuentra ante un cambio estructural en su modelo de seguridad con la publicación del anteproyecto de ley de protección y resiliencia de entidades críticas. No se trata únicamente de la transposición de la Directiva (UE) 2022/2557, sino de una redefinición profunda del concepto de seguridad en entornos complejos. El modelo anterior, centrado en la protección de infraestructuras críticas, responde a una lógica que ha quedado superada por la realidad operativa actual: sistemas interdependientes, amenazas híbridas, disrupciones transfronterizas y una creciente exposición a eventos extremos. El nuevo marco introduce un principio claro: la seguridad ya no se mide por la capacidad de proteger activos, sino por la capacidad de garantizar la continuidad de funciones esenciales bajo condiciones adversas. Este cambio no es técnico. Es estratégico. Y, sobre todo, es operativo.
¿Qué es la resiliencia de entidades críticas?
La resiliencia de entidades críticas es la capacidad estructural de una organización para mantener la prestación de servicios esenciales frente a perturbaciones significativas, independientemente de su origen. Este concepto incorpora un ciclo completo de gestión que abarca la prevención de riesgos, la protección frente a amenazas, la respuesta ante incidentes, la resistencia operativa, la absorción del impacto, la adaptación dinámica y la recuperación funcional. A diferencia del enfoque tradicional, basado en la protección de activos físicos o sistemas concretos, este modelo introduce una lógica funcional: lo relevante no es evitar el fallo, sino asegurar que la función crítica se mantiene operativa incluso cuando se produce una disrupción. En este contexto, la resiliencia no se limita a reducir vulnerabilidades, sino que exige capacidad real de operación bajo presión. Esto implica integrar en un mismo sistema la anticipación del riesgo, la toma de decisiones en entornos inciertos y la ejecución eficaz, garantizando así la continuidad del servicio en escenarios complejos y cambiantes.
Del activo a la función: el cambio estructural
Una ruptura con el modelo de infraestructuras críticas. La normativa vigente hasta ahora —especialmente la Ley 8/2011— partía de una aproximación centrada en activos. Sin embargo, el propio análisis europeo identificó sus limitaciones en un entorno interconectado. Tal y como recoge el anteproyecto del Ministerio del Interior:
“Las medidas de protección relativas únicamente a activos individuales no bastan para evitar perturbaciones.”
El nuevo enfoque introduce tres elementos clave:
- La criticidad se define por el impacto en el servicio, no por la naturaleza del activo,
- Se incorporan interdependencias entre sectores y territorios,
- Se reconoce la naturaleza híbrida de las amenazas.
Este cambio desplaza la seguridad desde una lógica estática hacia una lógica sistémica y dinámica.
Arquitectura del nuevo modelo de resiliencia
El anteproyecto no se limita a definir principios. Establece una arquitectura completa, obligatoria y verificable.
Elementos estructurales del sistema
| Nivel | Elemento | Función |
|---|---|---|
| Estratégico | Estrategia Nacional | Define prioridades, gobernanza y objetivos |
| Sistémico | Evaluación Nacional de Riesgos | Identifica amenazas, interdependencias y escenarios |
| Organizativo | Evaluación de riesgos por entidad | Ajusta el análisis al contexto específico |
| Operativo | Plan de Resiliencia | Define medidas concretas de actuación |
| Supervisión | Auditoría y régimen sancionador | Garantiza cumplimiento y ejecución |
Este modelo introduce una consecuencia directa: la resiliencia deja de ser una declaración de intenciones y pasa a ser una obligación medible, auditada y sancionable.
Diagrama de resiliencia operativa centrado en el ciclo de anticipación, prevención, respuesta, resistencia, adaptación y recuperación.El verdadero reto: de cumplimiento a capacidad
Desde una perspectiva formal, el marco está bien diseñado. Sin embargo, el principal desafío no es normativo, sino operativo. La ley exige capacidades que muchas organizaciones aún no han desarrollado plenamente:
- Evaluación continua de riesgos complejos
- Gestión de interdependencias
- Respuesta en tiempo casi real
- Continuidad bajo presión
Esto supone un cambio crítico: no se trata de cumplir, sino de ser capaces de operar en condiciones de disrupción.
El cuello de botella: la toma de decisiones
El anteproyecto reconoce explícitamente la existencia de amenazas híbridas, entornos dinámicos y la necesidad de evaluación continua. Pero deja fuera —por naturaleza— el principal problema: la toma de decisiones bajo incertidumbre. En entornos reales, los fallos suelen concentrarse en:
- Sobrecarga de información
- Ausencia de criterios de priorización
- Falta de triggers operativos claros
- Retraso en la activación de respuestas
Este punto define la diferencia entre organizaciones que cumplen y organizaciones que operan eficazmente. Como sintetiza Jorge Quintana, CEO de ACK3:
“El riesgo no se gestiona en el análisis. Se gestiona en la decisión.”
Comparativa de modelo
| Modelo tradicional | Nuevo modelo de resiliencia |
|---|---|
| Protección de activos | Continuidad de funciones |
| Enfoque estático | Enfoque dinámico |
| Respuesta reactiva | Adaptación continua |
| Seguridad técnica | Capacidad operativa |
| Cumplimiento normativo | Ejecución bajo presión |
Impacto transversal: todos los sectores críticos
El alcance del modelo es sistémico y afecta a la práctica totalidad del tejido estratégico:
- Energía
- Transporte
- Sanidad
- Financiero
- Agua
- Infraestructuras digitales
- Alimentación
- Industria
- Sector público
- Espacio
Esto introduce un cambio relevante: la resiliencia deja de ser sectorial para convertirse en estructural.
Régimen sancionador: la resiliencia como obligación
Uno de los elementos más relevantes del anteproyecto es el régimen sancionador:
- Hasta 10 millones de euros
- O el 2% del volumen global de negocio
Además:
- Auditorías obligatorias
- Inspecciones
- Posibles suspensiones de actividad
Esto consolida un cambio definitivo: la resiliencia no es opcional, ni reputacional. Es exigible jurídicamente.
La oportunidad estratégica
Más allá del cumplimiento, este marco abre una oportunidad clara. Las organizaciones que se adapten antes:
- Reducirán tiempos de decisión
- Mejorarán su capacidad de respuesta
- Minimizarán impacto operativo
- Recuperarán actividad con mayor rapidez
En un entorno caracterizado por mayor frecuencia de crisis, mayor velocidad de impacto y mayor interconexión, la resiliencia se convierte en una ventaja competitiva real.
¿Está tu organización preparada para operar bajo este nuevo modelo?
Las organizaciones que liderarán este nuevo entorno no serán las que mejor documenten sus riesgos, sino las que mejor decidan y ejecuten bajo presión. En ACK3 trabajamos precisamente en ese punto crítico: transformar marcos normativos en capacidad operativa real.
