El texto incorpora al ordenamiento jurídico nacional la directiva europea sobre la salvaguarda de aquellas instituciones y empresas, públicas o privadas, que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas vitales no solo en el ámbito nacional, sino también en la Unión Europea.
El proyecto de ley tiene como objetivo apoyar y garantizar el funcionamiento de las entidades públicas o privadas que explotan infraestructuras críticas en sectores estratégicos.
Además de sectores tradicionales como la energía, la salud, el transporte, el agua, la Administración pública, la producción y distribución de alimentos o la industria nuclear, este catálogo incorporará nuevos sectores como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada, las instalaciones de investigación o las aguas residuales, entre otros.
El proyecto de ley encomienda a la Secretaría de Estado de Seguridad del Ministerio del Interior la elaboración, custodia y actualización de un catálogo de las entidades consideradas estratégicas, que serán identificadas mediante criterios que se fijarán en:
- la Estrategia Nacional de Protección y Resiliencia de las Entidades y Críticas, que elaborará la Secretaría de Estado de Seguridad y aprobará el Consejo de Seguridad Nacional a propuesta del Ministro del Interior,
- y en la Evaluación Nacional de Amenazas y Riesgos, que elaborará y aprobará la Secretaría de Estado de Seguridad.
La norma regula el procedimiento para la identificación de las entidades críticas, que estarán obligadas a adoptar determinadas medidas de protección y resiliencia, entre otras:
- elaborar un plan de resiliencia que incluya las medidas de protección física, respuesta y mitigación frente a incidentes en el marco del plan estratégico sectorial correspondiente,
- se establecerá un sistema de comprobación de los antecedentes personales de los empleados relacionados de manera directa con la operación, mantenimiento o control de la infraestructura crítica para garantizar su idoneidad,
- deberán designar a un responsable de seguridad y resiliencia de la entidad como punto de contacto con las autoridades competentes,
- se fijará un sistema de notificación de todo tipo de incidentes que puedan alterar el funcionamiento de los servicios esenciales.
Marco institucional
En cuanto al marco institucional de gestión del sistema de resiliencia de las entidades críticas, los órganos se mantienen en términos similares a los actuales. La Secretaría de Estado de Seguridad del Ministerio del Interior será la autoridad nacional competente en la materia, sin perjuicio de que la interlocución directa entre esta y las entidades críticas la asuma el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC, hasta ahora denominado Centro Nacional de Protección de Infraestructuras Críticas, CNPIC).
El CNPREC también será el punto de contacto único para la cooperación transfronteriza con los puntos de contacto únicos de otros Estados miembros de la Unión Europea. El proyecto de ley regula las entidades críticas de especial importancia europea, aquéllas consideradas críticas que prestan servicios esenciales a o en seis o más Estados miembros de la UE, con la finalidad de garantizar en todos ellos un nivel homogéneo en la aplicación de las medidas destinadas a asegurar un elevado nivel de resiliencia.
Asimismo, los distintos departamentos ministeriales serán puntos de contacto especializados para cada uno de los sectores estratégicos según su ámbito competencial.
Junto a la identificación de las entidades críticas, el proyecto establece una serie de medidas específicas destinadas a garantizar los servicios esenciales que prestan las entidades críticas, así como obligaciones para la mejora de su resiliencia.
Para ello, y hasta la elaboración de la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas y de la Evaluación Nacional de Amenazas y Riesgos, siguen vigentes los actuales planes:
- El Plan Nacional de Protección y Resiliencia de las Entidades Críticas, documento estructural elaborado por la Secretaría de Estado de Seguridad que permitirá dirigir y coordinar las actuaciones precisas para fortalecer la seguridad de las entidades críticas.
- Los planes estratégicos sectoriales, responsabilidad también de la Secretaría de Estado de Seguridad y elaborados para cada uno de los sectores estratégicos recogidos en el anteproyecto.
- Los planes de apoyo operativos, elaborados por las Fuerzas y Cuerpos de Seguridad en relación con cada una de las infraestructuras críticas existentes en su demarcación territorial.
Por último, la norma crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas como órgano colegiado adscrito a la Secretaría de Estado de Seguridad para la aprobación de los planes estratégicos sectoriales y la colaboración en la identificación de las entidades críticas, e instaura el Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas.
Ámbito de aplicación
Una vez en vigor, la ley será de aplicación a las entidades críticas ubicadas en el territorio nacional, a excepción de aquellas cuestiones que se encuentren reguladas en la normativa específica de las entidades pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales.
Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias en seguridad ciudadana, que disponen de su propia normativa.
Cabe recordar, por último, que la normativa europea sobre ciberseguridad está recogida en otras directivas distintas a la que se incorpora a la legislación nacional y que serán traspuestas mediante la Ley de Coordinación y Gobernanza de la Ciberseguridad que tramita el Ministerio del Interior y cuyo anteproyecto fue aprobado por el Consejo de Ministros en enero.
