A continuación, hacemos un análisis de este anteproyecto de Ley que se compone de cinco capítulos que regulan desde definiciones y planificación hasta supervisión y sanciones, con medidas como planes de resiliencia, notificación de incidentes y certificación, así como implementar protocolos y medidas preventivas para garantizar la seguridad y continuidad del funcionamiento.
También se definen las Instituciones responsables a nivel nacional, así como mecanismos de colaboración entre Comunidades Autónomas, gobiernos y entidades críticas. Asimismo, el proyecto de ley promueve la colaboración entre entidades públicas y privadas, reconociendo que la protección de infraestructuras críticas requiere un esfuerzo conjunto y coordinado y la participación activa de ambas partes.
El gobierno español ha aprobado en el Consejo de Ministros del día 27 de mayo de 2025 el Anteproyecto Protección y Resiliencia de Entidades Críticas, que traspone la Directiva CER (2022/2557), acordando la tramitación urgente del anteproyecto para reducir a la mitad los plazos para informes ministeriales y de organismos consultivos.
Una vez aprobado de manera definitiva se derogará parcialmente la Ley 8/2011 y el Real Decreto 704/201.
La Constitución Española reconoce los derechos fundamentales y libertades públicas, que los poderes públicos deben garantizar. En el desarrollo de las medidas de protección que resulten adecuadas para garantizar estos derechos, se encuentran aquellas que permitan el funcionamiento efectivo de las entidades críticas, de forma que puedan prestar adecuadamente los servicios esenciales que demanda la ciudadanía.
No obstante, la evaluación realizada en 2019 de la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas únicamente a activos individuales no bastan para evitar que se produzcan perturbaciones.
Por tanto, resultaba necesario modificar el enfoque para garantizar que se tuvieran mejor en cuenta los riesgos, se mejorase la definición y la coherencia de las funciones y las obligaciones de las entidades críticas que presten servicios esenciales para el funcionamiento del mercado interior de la Unión Europea, y se adaptasen sus normas a fin de aumentar la resiliencia de las entidades críticas de forma que éstas pudieran reforzar su capacidad de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes que afecten a la prestación de servicios esenciales.
Con ese objetivo se aprobó la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, que, con efectos de 18 de octubre de 2024, es aplicable dentro del ámbito de la Unión.
La resiliencia, entendida como la capacidad de las entidades para la prevención, la protección, la respuesta, la resistencia, la mitigación, la absorción, la adaptación y la recuperación de sus funciones en casos de incidente, resulta una cualidad para cuya consecución es necesario, en primer lugar, contar con una Estrategia Nacional en la que se establezcan los objetivos para la mejora de la resiliencia de las entidades críticas, así como la adopción de un enfoque basado en el riesgo, que se centre en las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales, cuyos resultados hagan posible tanto la identificación de las entidades que deban ser consideradas críticas, como el impulso de las actuaciones orientadas a la implementación de las medidas adecuadas para ayudar a éstas a alcanzar sus objetivos de resiliencia frente a los riesgos pertinentes.
Esta ley consta de cuarenta y un artículos, estructurados en cinco capítulos, así como de ocho disposiciones adicionales, una transitoria, una derogatoria y siete finales.