El presidente del Gobierno, Pedro Sánchez, ha hecho de la resiliencia una virtud. En sus mandatos al frente de Moncloa ha afrontado una pandemia mundial, una erupción volcánica y varios conflictos bélicos que han modificado el tablero geopolítico, entre otros asuntos. “Estamos en lo urgente, pero sin perder de vista lo importante”, ha asegurado en numerosas ocasiones. Sin embargo, lo cierto es que varias de las crisis han pillado a España con los deberes sin hacer.
Algunas catástrofes o episodios no se pueden prever, pero se hubieran podido gestionar con más -y mejores- herramientas. La guerra en Irán sorprendió a España con la Ley de Ciberseguridad desactualizada y sin Ley de Entidades Críticas; los accidentes de Adamuz y Gelida no pudieron ser investigados por la Autoridad creada ex profeso para este tipo de sucesos por falta de estatutos; y ahora, la Agencia Estatal de Salud Pública hubiera ayudado en la gestión del hantavirus.
Todos estos casos tienen un denominador común: que España llega tarde. No es que el suceso ocurra y, después, se legisle en consecuencia, es que el Gobierno debía haber articulado todas estas reformas antes y acumula retrasos. De hecho, la falta de mayorías en el Congreso amenaza bloquear algunas de ellas.
Algunas catástrofes o episodios no se pueden prever, pero se hubieran podido gestionar con más -y mejores- herramientas
La guerra en Irán y las prisas por la seguridad
Las tensiones geopolíticas de los últimos años y la evolución tecnológica han elevado a la categoría de urgente el refuerzo de la ciberseguridad de los países. El riesgo de injerencia extranjera y la amenaza de los conflictos híbridos obligan a los estados a robustecer este flanco, máxime con una guerra abierta en Irán y con Estados Unidos en pleno pulso retórico contra el Gobierno de España por no apoyar su ofensiva.
Sánchez es perfectamente consciente de esta amenaza, no en vano, en el paquete que anunció hace casi un año (en abril de 2025) para elevar el gasto en Defensa al 2% del PIB, especificó que un 31% de los 10.471 millones de euros invertidos se dedicarían a elaborar, fabricar y adquirir nuevas capacidades de telecomunicaciones y ciberseguridad.
El propósito era crear una suerte de “escudo digital” para garantizar la protección de los derechos en este ámbito frente a hackers, estimulando la nube, el 5G, la Inteligencia Artificial y la computación cuántica.
Igual de fundamental que es invertir, lo es mantener la legislación actualizada y adaptada a la rápida evolución tecnológica, dotando a las instituciones de herramientas eficaces para prevenir, detectar y responder a estas amenazas; y esta es una asignatura pendiente de España puesto que la guerra en Irán ha pillado con la ley de ciberseguridad obsoleta con respecto al marco europeo.
Ya en enero del año 2024, el entonces ministro de Transformación Digital y de la Función Pública, José Luis Escrivá (actual gobernador del Banco de España), prometió ante la Comisión de su rama en el Congreso de los Diputados una nueva ley de ciberseguridad que hiciera las veces de paraguas normativo y diera institucionalidad a las intervenciones que ya realizan Interior, Defensa y el Centro Criptológico Nacional. Nunca llegó. Y no solo no llegó, sino que además, el Gobierno lleva mucho retraso regulatorio en esta materia.
Hace más de un año que pasó por el Consejo de Ministros el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad en primera vuelta (en concreto, el 14 de enero de 2025). Esta es la iniciativa a través de la cual el Ejecutivo pretende transponer la Directiva (UE) 2022/2555, comúnmente conocida como Directiva NIS2, que debía haberse integrado ya en el ordenamiento jurídico español antes de octubre de 2024.
El retraso expone a España a una posible sanción por parte del Tribunal de Justicia de la Unión Europea (TJUE), pero lo más sangrante es que pone en riesgo a los sujetos obligados de la norma por no disponer de un marco legislativo específico y definido, generando inseguridad jurídica.
La demora puede deberse a que Europa prepara un nuevo paquete de Ciberseguridad (el desvelado el pasado 20 de enero), y tanto esta iniciativa como el Ómnibus Digital sobre IA anticipan nuevas modificaciones a la NIS2 y España aguarda para transponer todo en el mismo articulado, el de Ciberseguridad.
Noticia destacada
España pedirá a la UE revisar los derechos de autor ante el avance de la IA generativa
5 minutos
El blindaje de las entidades críticas
El martes 17 de marzo, varias semanas después del inicio de la guerra en Irán, el Consejo de Ministros aprobó el Proyecto de Ley de Protección y Resiliencia de las entidades críticas, una iniciativa que transpone una directiva europea que fue aprobada en 2022.
Noticia destacada
El Gobierno aprueba la ley de Entidades críticas con un nuevo sistema de certificación
4 minutos
El propósito de la norma es robustecer y garantizar las entidades u organismos que explotan infraestructuras críticas en sectores estratégicos como el de la energía, el transporte, la sanidad, el agua, la Administración pública, la producción, transformación y distribución de alimentos, la industria nuclear, las instalaciones de investigación o la seguridad privada, entre otros.
La norma ha llegado al Congreso cuatro años después y no está garantizado su aterrizaje en el BOE por la falta de mayorías, que mantiene bloqueadas no pocas leyes.
Noticia destacada
Qué son las entidades críticas, por qué se deben proteger y a qué sectores afecta la nueva ley
4 minutos
Los accidentes ferroviarios
La Comisión de Investigación de Accidentes Ferroviarios (CIAF) asumió la investigación del accidente de Adamuz y de Gelida, aunque no debería. En agosto de 2024 el BOE publicó la Ley de creación de la Autoridad Administrativa Independiente para la Investigación Técnica de Accidentes e Incidentes ferroviarios, marítimos y de aviación civil; sin embargo, pese a haber pasado un año y medio, la entidad estaba operativa porque no se había aprobado en tiempo y forma su estatuto.
La idea del Ejecutivo, apremiado por la Agencia Europea Ferroviaria, era articular una nueva autoridad que aglutinase las investigaciones de los diferentes siniestros. La ley fue aprobada y se publicó en el BOE (Boletín Oficial del Estado) el 2 de agosto de 2024.
El texto recogía en su Disposición final sexta que el Gobierno disponía de un año de plazo para aprobar su Estatuto orgánico mediante real decreto. No se cumplió. El estatuto sigue en tramitación. El trámite de Audiencia Pública del borrador finalizó hace nueve meses, en concreto, el 1 de abril de 2025.
No es frecuente que expiren los plazos para aprobar los estatutos que rigen el funcionamiento de organismos de reciente creación, pero tampoco es un caso aislado. Ya ocurrió con la Autoridad Independiente de Protección del Informante (AIPI).
La gestión sanitaria del hantavirus
Este escenario revela una fractura en la regulación del Gobierno: se aprueban leyes para crear organismos, pero su funcionamiento se dilata por retrasos en la aprobación de sus estatutos, resultando en entidades fantasma. De hecho, en una información publicada por Demócrata a finales de enero, se deslizaba que la Agencia Estatal de Salud iba por el mismo camino.
A finales de julio de 2025 la Ley por la que se crea la Agencia Estatal de Salud Pública y modifica la Ley General de Salud Pública aterrizó en el BOE. La norma crea como tal la Agencia Estatal de Salud Pública, un órgano cuyo propósito es reforzar las capacidades del Estado para mejorar la salud de la población, la equidad en salud y su bienestar y proteger a la población frente a riesgos y amenazas sanitaria. Hubiera sido un instrumento excelente para gestionar el hantavirus, sin embargo, no está operativa.
El articulado establece que el Gobierno disponía de seis meses a partir de la entrada en vigor de la ley para aprobar mediante Real Decreto el Estatuto de la Agencia. La propuesta debe partir de los ministerios de Sanidad, Hacienda y para la Transformación Digital y de la Función Pública y recoger los órganos, centros y servicios de la Administración General del Estado que quedarán integrados en ella; así como concretar la incorporación de su Consejo Rector de representantes de las comunidades autónomas a propuesta del Consejo Interterritorial del Sistema Nacional de Salud. Y como no podía ser de otra forma, ha de determinar la estructura organizativa y sus órganos de gobierno y ejecutivos. El plazo expiró el 30 de enero.
Actualmente se está valorando la ubicación de la sede, que estaba prevista para febrero, pero se aplazó la decisión al 18 de agosto. Ocho han sido las ciudades que se han postulado oficialmente para acogerla: Toledo, Granada, Zaragoza, Murcia, Barcelona, León, Oviedo y Lugo. El Ministerio de Sanidad emitirá un informe, a continuación, la Comisión Consultiva elaborará y emitirá un dictamen y, finalmente, la propuesta se elevará al Consejo de Ministros.
Depurando responsabilidades
Ningún Gobierno elige las crisis a las que se enfrenta. Ni las pandemias, ni los accidentes ferroviarios, ni los conflictos internacionales dependen de la voluntad de quien ocupa La Moncloa. Pero sí es responsabilidad del Ejecutivo que, cuando llegan, el Estado disponga de las herramientas necesarias para responder. La anticipación normativa, la actualización de las leyes y la puesta en marcha efectiva de las autoridades no son un lujo, sino una obligación.