El Gobierno aprueba la ley PREC de protección y resiliencia de las entidades públicas y privadas que operan en los sectores estratégicos. Esta ley es la trasposición de la Directiva Europea de Resiliencia de Entidades Críticas CER aporbada por la Comisión Europea en 2023. 

Entre otras aportaciones para el desarrollo de esta Directiva CER se encuentra el Modelo de Gobernanza y gestión integral de Riesgos para la continuidad de negocio y Resiliencia elaborado por PESI, presentado a través de la Plataforma Europea al grupo de expertos de DGHOME, antes de la Pandemia del Covid.

Como sabéis PESI ha venido elaborando este Modelo desde que la Plataforma Europea le encomendó estudiar la integración de la Safety, el factor Humano y la Seguridad Mediambiental (ampliada a los efectos de desastres naturales y del Cambio Climático) con la Security (Protección de Infraestructuras) y la Ciberseguridad (la Ciberserguridad industrial ya se había integrado en la Safety bajo el modelo RAMS Fiabilidad-Disponibilidad-Mantenimiento-Seguridad y Ciberseguridad).

Una de las primeras acciones fue el planteamiento del Factor Humano en la PIC, a través del proyecto euopeo PSOPHIA, primer proyecto financiado por DGHOME que estudiaba el papel clave de las Personas en la Protección de Infraestructuras Críticas, tanto por la Ingeniería Social con Empleados que puderan facilitar información o puntos de entrada (física y ciber) a instalaciones críticas.

El Modelo PESI se fue desarrollando gradualmente, dotándole de algunas herramientas metodológicas y de apoyo como el Modelo de identificación y categorización de Elementos críticos de las Instalaciones (Equipos Humanos -Dirección, Equipo de crisis, O&M, Logística, Seguridad y Emergencias, Personal y PRL...-; Centros de Control -SCADA...- ; Sistemas TIC -CPD, Telecom. Ciberseg.-; Sistemas de Seguridad -PCI, CRA...-; Sistemas de vigilancia y seguridad física; Equipamientos generales -energía, agua,...-, Instalaciones -edificios, almacenes... -, red de trasnporte; servicios subcontratados esenciales -mantenimiento, TIC...-; Procesos críticos -maquinaria, sistemas, materias primas y peligrosas...-; Cumplimiento normativo y regulatorio; RSC y aceptación social de la actividad...).

A través de este modelo se facilita la Gestión de Riesgos y Dependencias frente a los nefastos Efectos en cascada (dominó): intradependencias entres elementos críticos de la instalaciñon y las dependencias de algunos de ellos con Infraestructuras críticas y servicios esenciales externos (red de energía, agua, Telecomunicaciones, red de transporte -carretera, ferrocarril...-, servicios de Emergencia y Protección civil, Policía, etc. A su vez se tenía en cuenta la Cadena de Valor de la Organización con la Red de Proveedores y la cadena logísitca. Esta inclusión de la Cadena de Valor (esencial) fue incorporada también a la Directiva de Resiliencia.

A su vez PESI propuso la integración de los 3 Modelos de Gestión (ISO): Gestión de Riesgos, Gestión de la Continuidad de Negocio y Gestión de Crisis de forma interrelacionada a través del BIA (Business Impact Analysis), en el cual se podían aplicar la gestión de las Dependencias (modelo de Criticidad), para mejorar la capacidad de la Continuidad del Servicio esencial y por ende de su Resiliencia, incluida su Cadena de valor.

Nos enorgullece haber podido aportar a estos trabajos la gran experiencia, conocimiento y buenas prácticas de los directivos de los Operadores de Infraestructuras Críticas españoles colaboradores de PESI. Conocimiento y sentido común en su Seguridad integral y Protección, tanto en lo relativo a los ámbitos PIC como también en los de la Fiabilidad y Seguridad operacional, la resiliencia climática y la Gestión de Personas y de la Prevención y la mejora de la cultura de seguridad en la organización. Todo ello ha conducido a que nuestros Operadores de "Entidades Críticas" estén mejor preparados ante el retod e la Resiliencia y el cumplimiento de esta nueva Ley PREC, que tiene una dimensión muy superior a la anterior PIC.

PESI facilita toda esta experiencia a las Empresas Españolas para sus hojas de ruta para la mejora de sus Competencias en Resiliencia.

 

Aprobación de la Ley PREC (trasposición de la Directiva Europea CER)

El Consejo de Ministros ha aprobado este martes 17 de marzo, a propuesta del Ministerio del Interior, el proyecto de Ley de Protección y Resiliencia de Entidades Críticas, que incorpora al ordenamiento jurídico nacional la más reciente directiva europea (CER Directiva de Resiliencia de Entidades Críticas, 2023) sobre la salvaguarda de aquellas instituciones y empresas que prestan servicios esenciales en sectores estratégicos indispensables para mantener las funciones sociales o las actividades económicas vitales en el ámbito nacional y la Unión Europea.

La Secretaría de Estado de Seguridad del Ministerio del Interior será la autoridad nacional competente en la materia a través del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC, hasta ahora denominado Centro Nacional de Protección de Infraestructuras Críticas, CNPIC)

La norma encomienda a la Secretaría de Estado de Seguridad la elaboración, custodia y actualización de un catálogo de las entidades consideradas estratégicas, que estarán obligadas a adoptar determinadas medidas de protección y resiliencia

El catálogo incluye los sectores tradicionales, añade otros muchos novedosos (el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada, las instalaciones de investigación o las aguas residuales, entre otros muchos) y deja fuera a los sectores con normativa propia (bancario, de los mercados financieros, de las infraestructuras digitales, entidades dependientes del Ministerio de Defensa, las Fuerzas y Cuerpos de Seguridad del Estado y los cuerpos de policía de las comunidades autónomas).

Detalle de la nueva Ley PREC (fuente: Minº del Interior)

El Consejo de Ministros ha aprobado en su reunión de este martes 17 de marzo, a propuesta del Ministerio del Interior, el proyecto de Ley de Protección y Resiliencia de Entidades Críticas, que incorpora al ordenamiento jurídico nacional la más reciente directiva europea sobre la salvaguarda de aquellas instituciones y empresas, públicas o privadas, que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas vitales no solo en el ámbito nacional, sino también en la Unión Europea.

El proyecto de ley, que es enviado a las Cortes Generales para su tramitación y aprobación parlamentaria, tiene como objetivo apoyar y garantizar el funcionamiento de las entidades públicas o privadas que explotan infraestructuras críticas en sectores estratégicos.

Además de sectores tradicionales como la energía, la salud, el transporte, el agua, la Administración pública, la producción y distribución de alimentos o la industria nuclear, este catálogo incorporará nuevos sectores como el hidrógeno, los sistemas urbanos de calefacción y refrigeración, la seguridad privada, las instalaciones de investigación o las aguas residuales, entre otros muchos.

El proyecto de ley aprobado este martes encomienda a la Secretaría de Estado de Seguridad del Ministerio del Interior la elaboración, custodia y actualización de un catálogo de las entidades consideradas estratégicas, que serán identificadas mediante criterios que se fijarán en: 

• la Estrategia Nacional de Protección y Resiliencia de las Entidades y Críticas, que elaborará la Secretaría de Estado de Seguridad y aprobará el Consejo de Seguridad Nacional a propuesta del Ministro del Interior,
• y en la Evaluación Nacional de Amenazas y Riesgos, que elaborará y aprobará la Secretaría de Estado de Seguridad.

La norma regula el procedimiento para la identificación de las entidades críticas, que estarán obligadas a adoptar determinadas medidas de protección y resiliencia, entre otras:

• elaborar un plan de resiliencia que incluya las medidas de protección física, respuesta y mitigación frente a incidentes en el marco del plan estratégico sectorial correspondiente,
• se establecerá un sistema de comprobación de los antecedentes personales de los empleados relacionados de manera directa con la operación, mantenimiento o control de la infraestructura crítica para garantizar su idoneidad,
• deberán designar a un responsable de seguridad y resiliencia de la entidad como punto de contacto con las autoridades competentes,
• se fijará un sistema de notificación de todo tipo de incidentes que puedan alterar el funcionamiento de los servicios esenciales.

Marco institucional

En cuanto al marco institucional de gestión del sistema de resiliencia de las entidades críticas, los órganos se mantienen en términos similares a los actuales. La Secretaría de Estado de Seguridad del Ministerio del Interior será la autoridad nacional competente en la materia, sin perjuicio de que la interlocución directa entre ésta y las entidades críticas la asuma el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC, hasta ahora denominado Centro Nacional de Protección de Infraestructuras Críticas, CNPIC).

El CNPREC también será el punto de contacto único para la cooperación transfronteriza con los puntos de contacto únicos de otros Estados miembros de la Unión Europea. El proyecto de ley regula las entidades críticas de especial importancia europea, aquéllas consideradas críticas que prestan servicios esenciales a o en seis o más Estados miembros de la UE, con la finalidad de garantizar en todos ellos un nivel homogéneo en la aplicación de las medidas destinadas a asegurar un elevado nivel de resiliencia.

Asimismo, los distintos departamentos ministeriales del Gobierno serán puntos de contacto especializados para cada uno de los sectores estratégicos según su ámbito competencial.

Junto a la identificación de las entidades críticas, el proyecto establece una serie de medidas específicas destinadas a garantizar los servicios esenciales que prestan las entidades críticas, así como obligaciones para la mejora de su resiliencia.

Para ello, y hasta la elaboración de la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas y de la Evaluación Nacional de Amenazas y Riesgos, siguen vigentes los actuales planes, cuya eficacia ha sido valorada de manera positiva y que son:

• El Plan Nacional de Protección y Resiliencia de las Entidades Críticas, documento estructural elaborado por la Secretaría de Estado de Seguridad que permitirá dirigir y coordinar las actuaciones precisas para fortalecer la seguridad de las entidades críticas.
• Los planes estratégicos sectoriales, responsabilidad también de la Secretaría de Estado de Seguridad y elaborados para cada uno de los sectores estratégicos recogidos en el anteproyecto.
• Los planes de apoyo operativos, elaborados por las Fuerzas y Cuerpos de Seguridad en relación con cada una de las infraestructuras críticas existentes en su demarcación territorial.

Por último, la norma crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas como órgano colegiado adscrito a la Secretaría de Estado de Seguridad para la aprobación de los planes estratégicos sectoriales y la colaboración en la identificación de las entidades críticas, e instaura y el Grupo de Trabajo Interdepartamental para la Protección y Resiliencia de las Entidades Críticas.

Ámbito de aplicación

Una vez en vigor, la ley será de aplicación a las entidades críticas ubicadas en el territorio nacional, a excepción de aquellas cuestiones que se encuentren reguladas en la normativa específica de las entidades pertenecientes a los sectores bancario, de los mercados financieros y de las infraestructuras digitales.

Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias en seguridad ciudadana, que disponen de su propia normativa.

Cabe recordar, por último, que la normativa europea sobre ciberseguridad está recogida en otras directivas distintas a la que ahora se incorpora a la legislación nacional y que serán traspuestas mediante la Ley de Coordinación y Gobernanza de la Ciberseguridad que tramita el Ministerio del Interior y cuyo anteproyecto ya fue aprobado por el Consejo de Ministros el pasado mes de enero.