El anteproyecto de ley de protección y resiliencia de entidades críticas marca un cambio estructural en el modelo de seguridad en España
España se encuentra ante un cambio estructural en su modelo de seguridad con la publicación del anteproyecto de ley de protección y resiliencia de entidades críticas. No se trata únicamente de la transposición de la Directiva (UE) 2022/2557, sino de una redefinición profunda del concepto de seguridad en entornos complejos. El modelo anterior, centrado en la protección de infraestructuras críticas, responde a una lógica que ha quedado superada por la realidad operativa actual: sistemas interdependientes, amenazas híbridas, disrupciones transfronterizas y una creciente exposición a eventos extremos. El nuevo marco introduce un principio claro: la seguridad ya no se mide por la capacidad de proteger activos, sino por la capacidad de garantizar la continuidad de funciones esenciales bajo condiciones adversas. Este cambio no es técnico. Es estratégico. Y, sobre todo, es operativo.
¿Qué es la resiliencia de entidades críticas?
La resiliencia de entidades críticas es la capacidad estructural de una organización para mantener la prestación de servicios esenciales frente a perturbaciones significativas, independientemente de su origen. Este concepto incorpora un ciclo completo de gestión que abarca la prevención de riesgos, la protección frente a amenazas, la respuesta ante incidentes, la resistencia operativa, la absorción del impacto, la adaptación dinámica y la recuperación funcional. A diferencia del enfoque tradicional, basado en la protección de activos físicos o sistemas concretos, este modelo introduce una lógica funcional: lo relevante no es evitar el fallo, sino asegurar que la función crítica se mantiene operativa incluso cuando se produce una disrupción. En este contexto, la resiliencia no se limita a reducir vulnerabilidades, sino que exige capacidad real de operación bajo presión. Esto implica integrar en un mismo sistema la anticipación del riesgo, la toma de decisiones en entornos inciertos y la ejecución eficaz, garantizando así la continuidad del servicio en escenarios complejos y cambiantes.
Del activo a la función: el cambio estructural
Una ruptura con el modelo de infraestructuras críticas. La normativa vigente hasta ahora —especialmente la Ley 8/2011— partía de una aproximación centrada en activos. Sin embargo, el propio análisis europeo identificó sus limitaciones en un entorno interconectado. Tal y como recoge el anteproyecto del Ministerio del Interior:
“Las medidas de protección relativas únicamente a activos individuales no bastan para evitar perturbaciones.”
El nuevo enfoque introduce tres elementos clave:
- La criticidad se define por el impacto en el servicio, no por la naturaleza del activo,
- Se incorporan interdependencias entre sectores y territorios,
- Se reconoce la naturaleza híbrida de las amenazas.
Este cambio desplaza la seguridad desde una lógica estática hacia una lógica sistémica y dinámica.
Arquitectura del nuevo modelo de resiliencia
El anteproyecto no se limita a definir principios. Establece una arquitectura completa, obligatoria y verificable.
Elementos estructurales del sistema
| Nivel | Elemento | Función |
|---|---|---|
| Estratégico | Estrategia Nacional | Define prioridades, gobernanza y objetivos |
| Sistémico | Evaluación Nacional de Riesgos | Identifica amenazas, interdependencias y escenarios |
| Organizativo | Evaluación de riesgos por entidad | Ajusta el análisis al contexto específico |
| Operativo | Plan de Resiliencia | Define medidas concretas de actuación |
| Supervisión | Auditoría y régimen sancionador | Garantiza cumplimiento y ejecución |
Este modelo introduce una consecuencia directa: la resiliencia deja de ser una declaración de intenciones y pasa a ser una obligación medible, auditada y sancionable.
Operational resilience diagram centered on the cycle of anticipation, prevention, response, resistance, adaptation, and recovery.
The real challenge: from compliance to capability
From a formal standpoint, the framework is well designed. However, the main challenge is not regulatory but operational. The law requires capabilities that many organizations have not yet fully developed:
- Continuous assessment of complex risks
- Management of interdependencies
- Near real‑time response
- Continuity under pressure
This represents a critical shift: the goal is not merely to comply, but to be able to operate under disruptive conditions.
The bottleneck: decision‑making
The draft law explicitly acknowledges the existence of hybrid threats, dynamic environments, and the need for continuous assessment. But it inevitably leaves out the core problem: decision‑making under uncertainty. In real environments, failures tend to concentrate around:
- Information overload
- Lack of prioritization criteria
- Absence of clear operational triggers
- Delays in activating responses
This is what differentiates organizations that simply comply from those that operate effectively. As Jorge Quintana, CEO of ACK3, summarizes:
“Risk is not managed in analysis. It is managed in decision.”
Model comparison
| Traditional model | New resilience model |
|---|---|
| Asset protection | Continuity of functions |
| Static approach | Dynamic approach |
| Reactive response | Continuous adaptation |
| Technical security | Operational capability |
| Regulatory compliance | Execution under pressure |
Cross‑sector impact: all critical sectors
The scope of the model is systemic and affects virtually the entire strategic ecosystem:
- Energy
- Transport
- Healthcare
- Financial sector
- Water
- Digital infrastructure
- Food supply
- Industry
- Public sector
- Space
This introduces a significant shift: resilience ceases to be sector‑specific and becomes structural.
Sanctions regime: resilience as a legal obligation
One of the most relevant elements of the draft law is the sanctions regime:
- Up to 10 million euros
- Or 2% of global annual turnover
Additionally:
- Mandatory audits
- Inspections
- Potential suspension of activity
This consolidates a definitive change: resilience is not optional, nor reputational. It is legally enforceable.
The strategic opportunity
Beyond compliance, this framework opens a clear opportunity. Organizations that adapt early will:
- Reduce decision‑making times
- Improve their response capability
- Minimize operational impact
- Recover activity more quickly
In an environment characterized by more frequent crises, faster‑moving impacts, and greater interconnection, resilience becomes a genuine competitive advantage.
Is your organization prepared to operate under this new model?
The organizations that will lead in this new environment will not be those that document their risks the best, but those that make better decisions and execute effectively under pressure. At ACK3, this is precisely where we focus: transforming regulatory frameworks into real operational capability.