Internacional

La guerra a l'Iran obliga Espanya a blindar dos flancs pendents: ciberseguretat i entitats crítiques

El Govern ha fet dos passos importants aquesta setmana per reforçar les seves capacitats de defensa, tot i que la seva aplicació encara és llunyana

5 minuts

EuropaPress 7161350 presidente gobierno pedro sanchez antes recibir presidente estado palestina

Publicat

5 minuts

L'escalada bèl·lica a l'Iran ha exposat dues sensibles costures d'Espanya: la protecció de les entitats crítiques i la ciberseguretat. En plena guerra, el Govern s'ha vist forçat a fer passos per blindar ambdós flancs, ja que tenia deures pendents i, ara, la urgència apressa davant de potencials ingerències estrangeres.

El passat dimarts el Consell de Ministres va aprovar el Projecte de llei de Protecció i Resiliència de les Entitats crítiques, tal com va avançar en exclusiva Demòcrata. La iniciativa transposa la Directiva europea 2022/2557 sobre la salvaguarda d'aquelles organitzacions que presten serveis essencials en sectors estratègics i resulten indispensables per mantenir les funcions socials o les activitats econòmiques, que la tenia pendent.

Què és una entitat crítica i per què s'ha de protegir

Una entitat crítica és qualsevol organització —pública o privada— que presta un servei essencial per al funcionament de la societat o de l'economia. La seva rellevància no depèn tant de la seva mida com de l'impacte que tindria una interrupció de la seva activitat.

La nova regulació introdueix a més el concepte d’ “efecte pertorbador significatiu”, que permet mesurar fins a quin punt una caiguda del servei podria afectar la seguretat, la salut pública o l’estabilitat econòmica. És aquest impacte potencial el que determina si una infraestructura o entitat ha de ser considerada crítica.

En la pràctica, això inclou des d'operadors energètics fins a hospitals, xarxes de transport, sistemes d'abastament d'aigua o instal·lacions vinculades a la cadena alimentària. Es tracta d'activitats la interrupció de les quals no només afecta usuaris concrets, sinó que pot generar efectes en cascada sobre el conjunt del sistema econòmic i social.

És una qüestió de seguretat nacional, per la qual cosa afecta els següents sectors:

  • Energia.
  • Transport.
  • Sanitat.
  • Sector bancari.
  • Mercats financers.
  • Aigua.
  • Infraestructures digitals
  • Administració pública.
  • Alimentació.
  • Indústria nuclear.
  • Infraestructures de recerca.
  • Seguretat privada.

Alguns sectors com el bancari, els mercats financers o les infraestructures digitals queden al marge del nou projecte de llei perquè ja compten amb marcs reguladors específics, especialment en l'àmbit de la ciberseguretat.

La importància de les entitats crítiques ha cobrat protagonisme en els últims anys arran de crisis encadenades. La pandèmia, la guerra a Ucraïna o les tensions geopolítiques han posat de manifest la vulnerabilitat de les cadenes de subministrament i dels serveis essencials.

Un error en algun punt d'una d'aquestes infraestructures pot traduir-se en apagades, interrupcions del transport, problemes sanitaris o desproveïments. Per això, la prioritat de les administracions és garantir no només la seva protecció física, sinó també la seva capacitat de resistir, adaptar-se i recuperar-se davant d'incidents.

Què canvia i quan?

El Projecte de llei d'Entitats crítiques adapta la normativa espanyola per establir un model més estructurat, basat en la prevenció i la gestió del risc. Un dels seus principals pilars serà a Estratègia Nacional de Protecció i Resiliència, que es basarà en una avaluació periòdica d'amenaces i riscos. A partir d'aquí, es coordinaran plans nacionals, sectorials i operatius, en els quals participaran tant les administracions com les mateixes empreses.

Com a gran novetat, un esquema nacional de certificació en resiliència, un mecanisme que fins ara no existia en aquest àmbit i que permetria avaluar de forma estandarditzada si les mesures adoptades per les entitats compleixen determinats nivells de qualitat, seguretat i compliment normatiu. En la pràctica, funcionarà com un segell que acreditarà que una organització està preparada per afrontar riscos i garantir la continuïtat dels seus serveis.

Tanmateix, tot l'esmentat anteriorment no és ni de bon tros d'aplicació immediata. El projecte de llei ha estat remès al Congrés i haurà de superar la sempre àrdua tramitació parlamentària, màximament en un context de manca de majories d'un Executiu que sua per tirar endavant qualsevol llei -i moltes d'elles es queden pel camí, bé perquè romanen bloquejades a l'escalf de successives ampliacions del termini d'esmenes, o bé perquè decauen-.

Sistemes antidrons i biometria, més lluny

El text del projecte de llei, al qual ha tingut accés Demócrata, permet la instal·lació de sistemes antidrons i de reconeixement biomètric. Tanmateix, la seva implementació haurà d'esperar encara més. El redactat estableix que es regularà mitjançant sengles reials decrets que haurà d'aprovar el Consell de Ministres en un futur. A més, el seu ús haurà d'estar justificat en funció de l'Avaluació Nacional d'Amenaces i Riscos, cosa que permetrà adaptar les mesures a la criticitat de cada instal·lació.

Notícia destacada

Exclusiva

El Govern reforça la protecció de les infraestructures crítiques d'Espanya amb sistemes antidrons i biometria

3 minuts

Ciberseguretat, una assignatura pendent

El president del Govern, Pedro Sánchez, és perfectament conscient de la necessitat d'invertir en ciberseguretat, no en va, en el paquet que va anunciar fa gairebé un any (l'abril de 2025) per elevar la despesa en Defensa al 2% del PIB, va especificar que un 31% dels 10.471 milions d'euros invertits es dedicarien a elaborar, fabricar i adquirir noves capacitats de telecomunicacions i ciberseguretat.

El propòsit era crear una mena de “escut digital” per garantir la protecció dels drets en aquest àmbit davant de hackers, estimulant el núvol, el 5G, la Intel·ligència Artificial i la computació quàntica.

Però tan vital és invertir per a enfortir l'escut digital com tenir la legislació actualitzada, i Espanya està completament desactualitzada. Fa més d'un any que va passar pel Consell de Ministres l'Avantprojecte de Llei de Coordinació i Governança de la Ciberseguretat en primera volta (en concret, el 14 de gener de 2025). Aquesta és la iniciativa a través de la qual l'Executiu pretén transposar la Directiva (UE) 2022/2555, comunament coneguda com a Directiva NIS2, que s'havia d'haver integrat ja en l'ordenament jurídic espanyol abans d'octubre de 2024.

La iniciativa afecta els sectors considerats d'alta criticitat per al normal funcionament del país, coincidint amb bona part de les entitats crítiques:

  • Energia (electricitat, gas, petroli, hidrogen).
  • Transport (aeri, ferroviari, marítim, carreteres).
  • Banca i mercats financers
  • Sanitat i productes farmacèutics.
  • Aigua potable i aigües residuals.
  • Infraestructures digitals i serveis tecnològics (per exemple, centres de dades o serveis DNS).
  • Entitats de l'administració pública i sector espacial.
  • Indústria nuclear.

El retard en la transposició de la directiva es deu al fet que Europa prepara un nou paquet de Ciberseguretat (el revelat el passat 20 de gener), i tant aquesta iniciativa com l' Òmnibus Digital sobre IA i Centres de Dades anticipen noves modificacions a la NIS2 i Espanya espera per transposar-ho tot en el mateix articulat, el de Ciberseguretat.

Dos petits grans passos

Aquesta setmana Espanya ha fet dos petits, però grans passos, per modernitzar tota la seva estructura de defensa. En primer lloc, aprovat el projecte de llei al Consell de Ministres i remetent-lo a les Corts per a la seva tramitació. I en segon lloc, ha obert la Consulta Pública sobre la proposta de l'Òmnibus Digital, en concret, en allò relatiu a centres de dades.