SEGURIDAD Y DEFENSA: Manuel Sánchez Gómez-Merelo
SEGURIDAD Y DEFENSA
Blog sobre convergencia y tecnología de Tendencias21
Secciones
Bitácora

La Nueva Ley de Resiliencia y su impacto en la normativa española de infraestructuras críticas


Hacia un modelo integral basado en la continuidad de funciones esenciales

La evolución del entorno de riesgos, caracterizado por amenazas híbridas, interdependencias críticas y alta digitalización, ha impulsado un cambio profundo en el marco regulatorio europeo y nacional. La nueva legislación en materia de resiliencia -inspirada en la Directiva CER- introduce un cambio de paradigma en la protección de infraestructuras críticas.


24/03/2026

MANUEL SANCHEZ GÓMEZ-MERELO


 

En España, el Gobierno ha aprobado, a propuesta del Ministerio del Interior, el proyecto de Ley de Protección y Resiliencia de Entidades Críticas, que incorpora al ordenamiento jurídico nacional la más reciente directiva europea sobre la salvaguarda de aquellas instituciones y empresas que prestan servicios esenciales en sectores estratégicos indispensables para mantener las funciones sociales o las actividades económicas vitales en el ámbito nacional y la Unión Europea. Este cambio supone la transición desde el modelo tradicional de protección de activos hacia un enfoque centrado en la resiliencia de las entidades críticas, donde el objetivo principal es garantizar la continuidad de los servicios esenciales.
 

  1. Introducción: del modelo PIC a la resiliencia
     
El modelo español de protección de infraestructuras críticas, basado en la Ley 8/2011 y su desarrollo reglamentario, ha sido durante años un referente en la gestión de la seguridad estratégica. Sin embargo, el contexto actual ha evolucionado significativamente hacia: Mayor exposición a riesgos complejos; Interdependencia entre sistemas físicos y digitales; Incremento de amenazas híbridas. En este escenario, el enfoque tradicional -centrado en la protección de infraestructuras- resulta insuficiente. La nueva normativa impulsa un cambio hacia la resiliencia, entendida como la capacidad de las organizaciones para anticipar, resistir, responder y recuperarse ante cualquier tipo de incidente.
 
  1. Origen del cambio: el marco europeo
     
La transformación normativa tiene su origen en el marco europeo, especialmente en la Directiva de Resiliencia de Entidades Críticas (CER). Esta normativa introduce tres elementos clave:
 
  • Ampliación del alcance: más sectores y servicios esenciales
     
  • Enfoque “all hazards”: consideración de todo tipo de amenazas
     
  • Orientación a funciones críticas: más allá del activo físico
     
Además, la Directiva CER se complementa con otras regulaciones como NIS2, consolidando un modelo donde la seguridad física y la ciberseguridad convergen.
 
  1. Transformación del modelo español
     
La adaptación de la normativa española implica una evolución significativa del modelo actual.
 
  • De infraestructura crítica a entidad crítica
     
El foco se desplaza: De la infraestructura al servicio que presta; Del activo a la función esencial.
 
  • De protección a resiliencia
     
Se pasa de: Proteger a garantizar continuidad; Reaccionar a anticipar
 
  • De cumplimiento a gestión activa
     
La seguridad deja de ser un ejercicio de cumplimiento normativo para convertirse en un proceso continuo de gestión del riesgo.
 
  1. Un nuevo modelo de gestión de riesgos
     
La nueva normativa introduce un enfoque más avanzado y dinámico: Evaluación integral: Inclusión de riesgos físicos, digitales, naturales e híbridos; Análisis de interdependencias Enfoque basado en escenarios: Eventos extremos; Crisis complejas; Impactos en cascada Evaluación continua: Revisión periódica de riesgos; Adaptación a cambios del entorno
 
  1. Nuevas obligaciones para operadores críticos
     
El nuevo marco normativo establece exigencias más amplias y profundas para los operadores.
 
  • Planes de resiliencia
     
Evolución de los tradicionales: Planes de Seguridad del Operador (PSO);  Planes de Protección Específicos (PPE) Hacia modelos integrados que incluyen: Continuidad de negocio; Gestión de crisis; Recuperación operativa
 
  • Gobernanza y organización
     
Designación de responsables de resiliencia; Integración en la alta dirección; Estructuras de coordinación interna
 
  • Gestión de incidentes
     
Notificación obligatoria; Coordinación con autoridades; Evaluación posterior
 
  • Continuidad operativa
     
Planes de continuidad robustos; Redundancia de sistemas; Capacidades de recuperación
 
  1. Refuerzo de la colaboración público–privada
     
Uno de los pilares del nuevo modelo es la intensificación de la cooperación entre sector público y privado. Elementos clave: Intercambio de información; Sistemas de alerta temprana; Coordinación en la gestión de crisis Las autoridades asumen un rol más activo en: Supervisión: Apoyo operativo; Evaluación de resiliencia
 
  1. Convergencia con la ciberseguridad
     
La integración con la normativa de ciberseguridad, especialmente NIS2, es uno de los aspectos más relevantes. Características del nuevo enfoque: Gestión unificada de riesgos físicos y digitales; Protección de sistemas OT e IT; Enfoque integral “all hazards” Esto obliga a las organizaciones a romper definitivamente la separación entre seguridad física y ciberseguridad.
 
  1. Impacto en la gobernanza empresarial
     
La resiliencia se eleva al máximo nivel de decisión. Implicaciones: Participación del consejo de administración; Responsabilidad directa de la alta dirección; Integración en la estrategia corporativa. Nuevos roles: Chief Security Officer (CSO); Responsable de resiliencia; Coordinación con CISO.
 
  1. Tecnología como habilitador de resiliencia
     
La transformación regulatoria impulsa la adopción de tecnologías avanzadas: Monitorización continua; Sistemas de detección temprana; Analítica de datos; Plataformas integradas de seguridad No obstante, la tecnología debe estar alineada con una estrategia de gestión del riesgo, evitando enfoques puramente tecnológicos.
 
  1. Supervisión, auditoría y cumplimiento
     
El nuevo marco introduce mecanismos más exigentes: Auditorías periódicas de resiliencia; Evaluación de capacidades operativas; Definición de indicadores (KPIs); Medición de tiempos de recuperación
 
  1. Retos y oportunidades
     
Retos: Adaptación del marco normativo actual; Integración real de seguridad física y ciberseguridad; Desarrollo de cultura de resiliencia; Diferentes niveles de madurez entre sectores Oportunidades: Modernización del modelo de seguridad; Mejora de la coordinación institucional; Incremento de la resiliencia nacional; Ventaja competitiva para organizaciones avanzadas Conclusión La nueva Ley de Resiliencia representa un cambio estructural en la protección de infraestructuras críticas en España. El foco se desplaza desde la protección de activos hacia la garantía de continuidad de funciones esenciales, integrando seguridad, tecnología y gobernanza en un modelo único. En este contexto, la resiliencia deja de ser un concepto teórico para convertirse en una capacidad estratégica imprescindible. No se trata solo de evitar fallos, sino de garantizar que, cuando estos ocurran, el sistema siga funcionando y pueda recuperarse con rapidez y eficacia.

Nuevo comentario:

Bitácora

Editado por
MANUEL SANCHEZ GÓMEZ-MERELO
Eduardo Martínez de la Fe
MANUEL SANCHEZ GÓMEZ-MERELO, es consultor internacional de seguridad, arquitecto técnico y periodista. Completa esta formación con diversos cursos de postgrado en las áreas de seguridad pública y privada, defensa comunicaciones.

Dedicado por más de 30 años a la Consultoría e Ingeniería de Seguridad y Defensa por más de 20 países como asesor para asuntos aeroportuarios, puertos, cárceles hospitales, entidades bancarias, museos, transporte ferroviario, servicios de Correos y puertos.

Es socio fundador y presidente para Europa de la Federación Mundial de Seguridad (WSF), Director para Europa de la Secretaría Iberoamericana de Seguridad, Asesor gubernamental en materia de integración operativa de seguridad pública y privada en diversos países latinoamericanos.

Como experiencia académica es profesor de postgrado en ICADE (Universidad Pontificia Comillas de Madrid) desde 1986, codirector de postgrado en la Facultad de Psicología (Universidad Complutense de Madrid) y director del Curso de Seguridad en Infraestructuras Críticas del Instituto General Gutierrez Mellado de la UNED, así como conferenciante habitual y profesor en más de 20 países sobre Seguridad y Defensa.

Su representación institucional es principalmente como Miembro Experto de la Comisión Mixta de Seguridad del Ministerio del Interior, Director para Europa de la Federación Panamericana de Seguridad (FEPASEP), representante “ad honores” de la Federación de Empresas de Seguridad del MERCOSUR (FESESUR), asesor del BID (Banco Interamericano de Desarrollo) para asuntos de Seguridad Ciudadana y Observatorio de Delincuencia en Panamá, socio fundador y de honor del Observatorio de Seguridad Integral en Hospitales (OSICH), socio fundador y vicepresidente de la Asociación para la Protección de Infraestructuras Críticas (APIC)

Autor y director de la BIBLIOTECA DE SEGURIDAD, editorial de Manuales de Proyectos, Organización y Gestión de Seguridad

Actualmente es presidente y director del Grupo de Estudios Técnicos (GET), socio-senior partner de TEMI GROUP Consultoría Internacional y socio-director de CIRCULO de INTELIGENCIA consultora especializada.
Más sobre el Editor del Blog
Más sobre Manuel Sánchez
Perfil en inglés
Videos de intervenciones
Últimas conferencias
Artículos publicados Archivo por temas y meses (desde marzo 2007-hoy)
Libro como coordinador de obra colectiva:
LIBROS PUBLICADOS
Archivo
Últimos apuntes
La Nueva Ley de Resiliencia y su impacto en la normativa española de infraestructuras críticas 24/03/2026
Resiliencia y Gobernanza. La Seguridad Integral e Integrada ante el nuevo Marco Regulatorio Global 23/03/2026
Seguridad Integral para la Resiliencia 27/02/2026
Presente y futuro de la Seguridad Integral e Integrada en Infraestructuras Críticas 19/02/2026
Presente y futuro de la seguridad global en el nuevo Orden Mundial de la Inseguridad 30/01/2026
Seguridad Cognitiva - El nuevo dominio estratégico de la seguridad en entornos de amenaza híbrida 29/01/2026
Año nuevo, seguridad nueva. Nuevas tendencias y exigencias en sistemas de seguridad y protección 13/01/2026
Decálogo para la Planificación 2026 de Riesgos y Amenazas aplicadas al marco normativo español 12/01/2026
Presente y futuro de la Seguridad Global, integral e integrada 24/12/2025
La evolución del ecosistema de seguridad en 2025-2026 18/12/2025
Webs relacionadas
Más sobre Manuel Sánchez
Perfil en inglés
Videos de intervenciones
Últimas conferencias
Artículos publicados Archivo por temas y meses (desde marzo 2007-hoy)
Libro como coordinador de obra colectiva:
LIBROS PUBLICADOS
Tags
amenazas Ciberseguridad ciberterrorismo CISO Consultoría de Seguridad crisis Dirección de Seguridad Director de Seguridad Formación en Seguridad Geoseguridad Gestión del Riesgo IA infraestructuras críticas inseguridad integración de sistemas Inteligencia Artificial Manuel Sánchez Gómez-Merelo políticas de seguridad prevención Resiliencia riesgos seguridad seguridad ciudadana seguridad corporativa Seguridad Global seguridad humana seguridad integral seguridad nacional seguridad privada seguridad pública
Blog de Tendencias21 sobre Seguridad y Defensa

Tendencias 21 (Madrid). ISSN 2174-6850