Resiliencia de Entidades Críticas La trasposición al ordenamiento jurídico español de la Directiva europea sobre Resiliencia de Entidades Críticas ha dado recientemente un paso más. El Consejo de Ministros aprobó, el 17 de marzo, el proyecto de Ley de Protección y Resiliencia de las Entidades Críticas (Ley CER), cuyo objetivo es establecer una serie de medidas de salvaguarda y continuidad de las operaciones de las entidades, públicas y privadas, que prestan servicios esenciales para la sociedad. El texto completo está ya publicado en el Boletín Oficial de las Cortes Generales y tendrá ahora que ser sometido a votación en el Parlamento. La Directiva CER entró en vigor en enero de 2023 y establecía como límite para su trasposición por parte de los Estados miembros el 17 de octubre de 2024. España no es el único país de la UE que todavía no ha trasladado la norma a su legislación, pero actualmente incumple ese mandato. ¿Qué dice la Ley CER? La Ley CER tendrá por objeto identificar a las entidades críticas en España y establecer las medidas adecuadas para mejorar su capacidad de resiliencia. Se trata de garantizar que dichas entidades sean capaces de continuar prestando aquellos servicios indispensables para la sociedad incluso en situaciones de crisis o tras sufrir un impacto. Esta norma afectará a operadores de 12 sectores de actividad considerados críticos, como la energía, la salud, el transporte, el agua o la Administración Pública. No en vano, la Secretaría de Estado de Seguridad (SES) del Ministerio del Interior será la encargada de elaborar un Catálogo de Entidades Críticas bajo los criterios que establezca, por un lado, la Estrategia Nacional de Protección y Resiliencia de las Entidades y Críticas y, por otro, la Evaluación Nacional de Amenazas y Riesgos. Aquellas entidades consideradas críticas deberán adoptar diversas medidas de protección y resiliencia, como, por ejemplo, la elaboración de planes específicos para la respuesta y mitigación de incidentes. Igualmente, deberán designar a responsables de seguridad y resiliencia que ejerzan de punto de contacto con las autoridades. Es más, la norma contempla la creación de un sistema de notificación de aquellos incidentes que puedan alterar el funcionamiento de los servicios esenciales. Entre las medidas más novedosas, la Ley CER permitirá a los operadores críticos solicitar la comprobación de antecedentes penales de los trabajadores que contraten o trabajen en sus instalaciones. Otra novedad importante es la consideración de la seguridad privada como uno de los 12 sectores críticos obligados. Concretamente, estarán sujetas las empresas que presten “servicios de seguridad privada relativos a las funciones de seguridad directamente relacionadas con el mantenimiento de los servicios esenciales”, si bien esto deberá concretarse reglamentariamente. CNPREC El marco institucional de gestión del sistema de resiliencia de las entidades críticas será muy similar al actual Sistema de Protección de Infraestructuras Críticas. La SES será la autoridad nacional competente en la materia, que ejercerá sus funciones a través del nuevo Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), que sustituirá al Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). El CNPREC será el punto de contacto único de las entidades críticas con la SES en lo relativo a sus responsabilidades, funciones y obligaciones en aquellas materias relacionadas con su protección y resiliencia. También ejercerá de punto de contacto único para la cooperación transfronteriza con los puntos de contacto únicos de otros Estados miembros de la Unión Europea. A través de esta ley, se creará la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado adscrito a la SES, para la aprobación de los planes estratégicos sectoriales y la colaboración en la identificación de las entidades críticas. Entidades excluidas Una vez en vigor, la ley será de aplicación a las entidades críticas ubicadas en el territorio nacional, a excepción de aquellas cuestiones que se encuentren reguladas en la normativa específica de las entidades pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales (como el Reglamento DORA o la Directiva NIS2). Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias en seguridad ciudadana, que disponen de su propia normativa. Aprobado el proyecto de Ley de Protección y Resiliencia de las Entidades Críticas / Marzo-Abril 2026 25
RkJQdWJsaXNoZXIy MTI4MzQz