El Gobierno prevé aprobar, en segunda vuelta, el Anteproyecto de Ley de Protección y Resiliencia de las Entidades Críticas, una iniciativa que transpone la Directiva europea 2022/2557 sobre la salvaguarda de aquellas organizaciones que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas. El texto, al que ha tenido acceso Demócrata en exclusiva, plantea como novedad la creación de un esquema nacional de certificación en materia de resiliencia de las entidades críticas.
Según ha podido saber este periódico, y tal y como se adelantó en la Agenda Demócrata, el anteproyecto de ley ya ha pasado por la Comisión General de Secretarios de Estado y Subsecretarios (CGSEYS), por lo que está listo para recibir el visto bueno en Consejo de Ministros. Previsiblemente, este martes (la próxima semana, a lo sumo).
De forma habitual, el Gobierno de Pedro Sánchez practica lo que se conoce como gold plating, esto es, ir más allá de lo que propone la Directiva europea como tal. Así las cosas, como novedad, el texto establece la creación de un esquema nacional de certificación en materia de resiliencia de las entidades críticas.
A juicio del Ejecutivo, “esto permitirá a las entidades garantizar que sus medidas se acomodan a un esquema de certificación que analice los aspectos globales de su operativa, estandarizando y mostrando los niveles de calidad, seguridad y cumplimiento”, según reza el texto al que ha tenido acceso Demócrata.
Un objetivo articulado mediante una Estrategia
El propósito de la norma es robustecer y garantizar las entidades u organismos que explotan infraestructuras críticas en sectores estratégicos como el de la energía, el transporte, la sanidad, el agua, la Administración pública, la producción, transformación y distribución de alimentos, la industria nuclear, las instalaciones de investigación o la seguridad privada, entre otros.
El propósito de la norma es robustecer y garantizar las entidades u organismos que explotan infraestructuras críticas en sectores estratégicos
Se establece, en sintonía, una serie de medidas concretas para garantizar los servicios esenciales que prestan. Para ello, se articulará un nuevo marco de planificación que pivotaría en torno a la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas (elaborada por la Secretaría de Estado de Seguridad y aprobada por el Consejo de Seguridad Nacional) y de la Evaluación Nacional de Amenazas y Riesgos elaborada y aprobada por la citada Secretaría de Estado de Seguridad.
Análisis individuales y controles de acceso
Otra de las medidas con las que se pretende potenciar la resiliencia de las entidades críticas consiste en la realización de una evaluación individualizada del riesgo por parte de las mismas, detallando actuaciones singulares que implementarían para mitigar los incidentes.
De igual forma, se establecería un sistema de comprobación de identidad de las personas que desempeñen determinados cometidos o deban acceder a según qué instalaciones, información o sistemas de control de las propias entidades.
El texto incorpora el concepto de “efecto perturbador significativo”, que permitirá determinar cuándo la interrupción de un servicio puede generar impactos relevantes en la sociedad o la economía. En este sentido, se regularán también las particularidades de las entidades que pertenecen al sector bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales.
El asesoramiento a las entidades también se erige como una de las piedras angulares del sistema de protección y resiliencia.
Por último, la ley crea un Catálogo Nacional de Entidades Críticas y Estratégicas, que integra la información relativa a las infraestructuras críticas preservando el carácter clasificado de las mismas; y nueve disposiciones adicionales, entre las que destaca la relativa a Informes y comprobaciones para acreditaciones y antecedentes, destinada a posibilitar la realización de las comprobaciones necesarias en relación con la prevención de ilícitos penales y amenazas graves contra la seguridad pública en instalaciones y entidades críticas, entre otros ámbitos, emitiendo acreditaciones o informes de idoneidad.
Otras medidas, supervisores y exenciones
Las entidades deberán asegurar la idoneidad de las personas que prestan sus servicios y habrán de designar un responsable de seguridad como contacto con las autoridades competentes.
La Secretaría de Estado de Seguridad será la autoridad nacional competente en la aplicación de las antecitadas medidas; y se crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas como órgano colegiado adscrito a la Secretaría de Estado de Seguridad para la aprobación de los planes estratégicos sectoriales y la colaboración en la identificación de las entidades críticas, y el Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas.
El anteproyecto, de prosperar, sería de aplicación a las entidades críticas ubicadas en el territorio nacional, excepto a las pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales, que pueden considerarse críticas, pero quedan excluidas al encontrarse reguladas por su normativa específica.
Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias estatutarias reconocidas y asumidas para la protección de personas y bienes y para el mantenimiento del orden público, que se regirán por su propia normativa.