Editorial “Ser lo que soy, no es nada sin la Seguridad” (Shakespeare) / Mayo-Junio 2025 7 De la seguridad integral a la resiliencia El anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas, aprobado en mayo, representa el cambio definitivo hacia un nuevo modelo de seguridad de aquellas compañías e infraestructuras esenciales para el funcionamiento de la sociedad. La norma propone una nueva orientación que pasa de la protección de las infraestructuras frente a amenazas antrópicas a un enfoque más amplio basado en la continuidad de los servicios y en la gestión de todo tipo de riesgos. En ese sentido, introduce cambios que recuerdan al modelo PIC que conocemos actualmente, como el sistema de planificación, y otros novedosos, tales como los relacionados con la cadena de suministro, la amenaza interna, la inclusión de nuevos sectores críticos –entre ellos el de la seguridad privada–, la elaboración de una estrategia nacional en la materia o el régimen sancionador. Entre los cambios más notables de la futura Ley de Protección y Resiliencia de las Entidades Críticas está el alejamiento del enfoque integral de la seguridad que abandera la todavía vigente Ley de Protección de Infraestructuras Críticas. No es que el anteproyecto ignore la ciberseguridad, pero deriva toda competencia a la nueva versión de la Ley de Seguridad de las Redes y Sistemas de la Información (NIS2) –también en fase de anteproyecto–. Esto podría devolver a las organizaciones a la gestión de riesgos en silos departamentales, añadiendo complejidad a la gestión de riesgos y eficacia ante determinados riesgos de índole tecnológica e impacto físico. En cualquier caso, resulta positivo que la norma avance y profundice en el concepto de continuidad de los servicios esenciales y de las entidades que los gestionan, para evitar interrupciones de los primeros en situaciones de crisis. El apagón es una muestra del impacto que representa la paralización de un servicio como, en este caso, la electricidad, y la necesidad de contemplar todos los escenarios posibles para establecer medidas que los mitiguen llegado el caso. Y, a este respecto, una de las cuestiones que será necesario aclarar reglamentariamente es en qué consiste exactamente un “efecto perturbador significativo” más allá de su definición etimológica. Un baremo de medición demasiado laxo dispararía la burocracia, mientras que uno excesivamente restrictivo podría dejar fuera situaciones potencialmente críticas. Con la aprobación de esta ley, España se coloca ante la oportunidad de pasar de la defensa reactiva a la resiliencia proactiva de sus servicios esenciales. El legislador debe preservar la visión holística de la seguridad de las entidades críticas, evitando compartimentos estancos que minen la eficacia de la respuesta a las amenazas. Lograr un equilibrio entre rigor y agilidad reglamentaria marcará la diferencia entre la mera corrección formal y la auténtica resiliencia operativa. El legislador debe preservar la visión holística de la seguridad de las entidades críticas, evitando compartimentos estancos que minen la eficacia de la respuesta
RkJQdWJsaXNoZXIy MTI4MzQz