El martes 27 de mayo de 2025, el ministro Fernando Grande‑Marlaska dio a conocer un anteproyecto de ley para elevar la protección y resistencia de las infraestructuras críticas del país. Esta normativa se dirige a las organizaciones que suministran “servicios esenciales”, como la red eléctrica, hospitales y entidades bancarias, y que hoy día enfrentan amenazas híbridas, actos de sabotaje, riesgos tecnológicos y fenómenos climáticos que trascienden las fronteras nacionales.
El anuncio llega poco menos de un mes después del gran apagón registrado el 28 de abril en la península Ibérica, y responde al mandato de la directiva europea de 2022 para que estas infraestructuras realicen evaluaciones de riesgo y desplieguen planes de resiliencia. En ese contexto, el borrador legislativo introduce tres ejes principales: la comprobación de antecedentes del personal sensitivo, el diseño de un “Plan de Resiliencia” por cada entidad crítica, y la creación de un esquema de certificación estandarizado de seguridad.
Grande-Marlaska calificó el texto de “cambio de paradigma en la seguridad nacional”, al focalizarse no solo en la protección de instalaciones concretas, sino en garantizar la continuidad del suministro de servicios vitales: “Queremos reforzar la resiliencia de las entidades críticas y garantizar que adoptan las medidas para minimizar los riesgos de que se produzca una perturbación de algo tan importante como los servicios esenciales”.
Entre las entidades que entran en el nuevo marco se encuentran, además de los sectores tradicionales como energía, electricidad, salud o banca, otras áreas hasta ahora menos reguladas: sistemas urbanos de calefacción, seguridad privada o tratamiento de aguas residuales. No obstante, se excluyen expresamente del alcance del anteproyecto ciertos ámbitos —como la banca, los mercados financieros y las infraestructuras digitales— dado que ya se encuentran regulados por normativa específica.
Con respecto al personal que desarrolla tareas sensibles, el anteproyecto contempla que las entidades puedan acceder a datos de antecedentes personales y penales de quienes tienen acceso directo o remoto a instalaciones críticas, bajo los términos que establezca la Secretaría de Estado de Seguridad. “La comprobación de antecedentes será proporcionada y se limitará estrictamente a lo necesario”, aclara el propio documento.
En cuanto al “Plan de Resiliencia”, cada operador crítico deberá llevar a cabo una evaluación de todos los riesgos que puedan afectar la prestación del servicio esencial. A partir de esta evaluación, tendrá que establecer medidas de prevención, respuesta y recuperación, formación para la plantilla y gestión de la cadena de suministro. Además, se prevé la elaboración de una Estrategia Nacional de Protección y Resiliencia de Entidades Críticas, que deberá aprobar el Consejo de Seguridad Nacional cada cuatro años, junto con una evaluación nacional de amenazas y riesgos.
Con el objetivo de una tramitación acelerada, el Consejo de Ministros ha acordado que el trámite del anteproyecto se realice por procedimiento de urgencia, lo que reduce a la mitad los plazos para emitir los informes pertinentes. A continuación, Interior tiene la intención de remitir el texto al Congreso de los Diputados lo antes posible para convertirlo en ley.
El documento incorpora también la constitución de un “Catálogo Nacional de Entidades Críticas y Estratégicas”, herramienta en la que las autoridades recopilarán la identificación de las infraestructuras, aunque con carácter clasificado para garantizar la protección de la información sensible. Asimismo, se introduce un esquema de certificación nacional que evaluará si las entidades cumplen los requisitos de resiliencia, y se consideran entidades de “especial importancia europea” aquellas que operan en seis o más estados miembros de la Unión Europea, con mecanismos de coordinación a esa escala.
La Secretaría de Estado de Seguridad seguirá como autoridad competente para la supervisión del cumplimiento, a través del Centro Nacional de Protección y Resiliencia de Entidades Críticas, que coordinará públicos y privados en esta nueva arquitectura de seguridad.
Con esta iniciativa, España busca adelantarse a los cambios y adaptarse proactivamente frente a amenazas emergentes, reforzando el marco legal y operativo de protección para aquellas infraestructuras cuya interrupción podría generar un impacto grave para la sociedad y la economía.
