El Consejo de Ministros aprobó el 17 de marzo de 2026 el proyecto de Ley de Protección y Resiliencia de Entidades Críticas. Su objetivo es reforzar a las entidades públicas y privadas que prestan servicios esenciales en sectores estratégicos, porque cuando una de ellas se detiene el impacto se percibe enseguida y se extiende por las interdependencias del sistema.
Este paso llega con dos
años de retraso respecto al calendario europeo. La Directiva (UE) 2022/2557 exigía
a los Estados Miembros transponer sus obligaciones antes del 17 de octubre de
2024 y aplicarlas a partir del día siguiente. También fijaba como fecha límite
el 17 de julio de 2026 para la identificación de entidades críticas.
La referencia oficial publicada tras el Consejo de Ministros explica que el proyecto incorpora al ordenamiento español la directiva europea que protege a instituciones y empresas que prestan servicios esenciales y que resultan indispensables para funciones sociales o actividades económicas críticas.
El anteproyecto concreta su alcance en tres líneas: definir e identificar entidades críticas, imponer obligaciones para mejorar su resiliencia y fijar procedimientos comunes de cooperación e información junto con un sistema de supervisión.
El texto aclara que la ciberseguridad en estos sectores ya está regulada de forma completa en la Directiva (UE) 2022/2555, conocida como NIS2. Por ello, todas las materias cubiertas por su futura transposición quedan fuera del ámbito de esta ley, aunque exige coordinación entre autoridades. La Moncloa lo resume de forma sencilla al señalar que la regulación de ciberseguridad irá por otra vía y que no conviene mezclarla con las obligaciones de resiliencia física y operativa de entidades críticas.
La ley se dirige a entidades públicas o privadas que operan infraestructuras críticas en sectores estratégicos. El catálogo abarcará sectores tradicionales como energía, salud, transporte, agua, Administración pública, producción y distribución de alimentos e industria nuclear. Añade también nuevas áreas como hidrógeno, sistemas urbanos de calefacción y refrigeración, seguridad privada, instalaciones de investigación y aguas residuales.
El anexo sectorial del anteproyecto clasifica los sectores y subsectores con sus organismos responsables y las categorías de entidades afectadas. En energía aparecen electricidad, gas e hidrógeno. En transporte se diferencian los distintos modos (aéreo, ferroviario, marítimo-fluvial, carretera, transporte público y datos geoespaciales). Se incluyen también banca e infraestructuras de los mercados financieros. En agua figuran agua potable y aguas residuales. En infraestructuras digitales aparecen categorías habituales de NIS2 como DNS, servicios en la nube y centros de datos, junto con otros prestadores como puntos de intercambio de internet o registros de dominios.
La ley establece exclusiones como entidades dependientes del Ministerio de Defensa, Fuerzas y Cuerpos de Seguridad del Estado y algunas policías autonómicas, además de las materias propias de la transposición de NIS2.
Para sectores ya
fuertemente regulados como banca, infraestructuras de mercados financieros e
infraestructuras digitales, varias obligaciones del anteproyecto solo se aplicarán
de forma supletoria si no existe regulación equivalente.
La ley combina obligaciones de carácter general como estrategia, evaluación nacional y planes sectoriales, con obligaciones directas para cada entidad identificada. El esquema comenzará con una Estrategia Nacional aprobada por el Consejo de Seguridad Nacional y elaborada por la Secretaría de Estado de Seguridad, en coordinación con el ámbito NIS2.
Después, se desarrollará la Evaluación Nacional de Amenazas y Riesgos, basada en el Reglamento Delegado (UE) 2023/2450, que completa la Directiva 2022/2557.
A nivel de entidad, las obligaciones operativas son:
- La entidad crítica debe realizar una evaluación de riesgos basada en la evaluación nacional y otras fuentes. Tras su identificación, tiene un plazo máximo de nueve meses para enviarla a la Secretaría de Estado de Seguridad para su validación. Está obligada a actualizarla cuando sea necesario y al menos cada cuatro años.
- A partir de esa evaluación, debe elaborar un Plan de Resiliencia con medidas técnicas, organizativas y de seguridad. El anteproyecto marca contenidos mínimos como prevención, protección física, respuesta y mitigación, recuperación con continuidad de actividad y cadenas de suministro alternativas, gestión de empleados y formación y concienciación. El plan debe enviarse a validación en un plazo máximo de seis meses.
- La entidad debe contar con una estructura interna clara que incluya una persona, unidad u órgano responsable de seguridad y resiliencia con habilitación de Director de Seguridad y un Área de Seguridad.
- Se incorpora un mecanismo de comprobación de idoneidad de personas para tareas sensibles o con acceso a instalaciones, información o sistemas de control. Lo gestiona el CNPREC e incluye verificación de identidad, antecedentes penales y cualquier información relevante para evaluar riesgos.
- La ley establece un sistema de notificación de incidentes. Las entidades deben informar en un máximo de 24 horas desde que tengan conocimiento de incidentes que afecten o puedan afectar significativamente un servicio esencial y presentar un informe detallado en un plazo máximo de un mes.
Por otro lado, ley incorpora dos disposiciones adicionales:
- Prevé que las entidades críticas puedan implantar sistemas de reconocimiento biométrico para control de accesos y desplazamientos. También contempla la instalación de sistemas antidrones de detección.
- Se creará el tratamiento de datos INCOA para gestionar información de identidad y antecedentes penales y policiales con fines de prevención de amenazas graves para la seguridad pública.
La Secretaría de Estado de Seguridad es la autoridad encargada de la supervisión y podrá realizar inspecciones presenciales, supervisión externa, auditorías y planes preventivos por entidad o por sector. Las entidades deberán permitir el acceso a información, sistemas e instalaciones relacionados con los servicios esenciales.
En los casos en que una organización esté sujeta a NIS2 y, además, sea identificada como crítica, se prevé un mecanismo de coordinación. La Secretaría de Estado de Seguridad podrá solicitar a la autoridad nacional NIS2 que exija información y evidencias de aplicación efectiva de las medidas, incluidas auditorías externas independientes a cargo de la entidad. Con ello se busca evitar duplicidades sin dejar espacios no supervisados entre lo físico y lo digital.
La ley también recoge medidas de apoyo. La Secretaría de Estado de Seguridad puede colaborar con las entidades críticas mediante metodologías, ejercicios, asesoramiento, formación y capacitación, e incluso recursos financieros cuando sea necesario y esté justificado por interés público.
Las infracciones se clasifican en muy graves, graves y leves. Entre las muy graves se incluyen la falta de notificación de incidentes en 24 horas cuando exista un riesgo o perjuicio muy grave, la ausencia de medidas de resiliencia que provoquen efectos severos, el impedimento de la supervisión o la aportación de datos falsos para certificación.
Las sanciones económicas previstas para las infracciones son:
- Muy graves: multa de 1.000.001 a 10.000.000 de euros o el 2% del volumen de negocios anual mundial del grupo.
- Graves: de 100.001 a 1.000.000 de euros
- Leves: de 10.000 a 100.000 euros
La ley incorpora sanciones accesorias como la suspensión temporal de licencias, autorizaciones o permisos y clausura temporal de instalaciones, con incrementos por reincidencia. Las sanciones firmes por infracciones muy graves y graves podrán publicarse en el BOE y en la web de la autoridad competente, a costa del sancionado.
Los plazos de prescripción de infracciones serán de seis meses, un año o dos años, según gravedad, y para sanciones de tres años, dos años o un año.
La Secretaría de Estado de Seguridad será la autoridad nacional competente y asumirá funciones de supervisión, estrategia, evaluación nacional, planes sectoriales y validación de evaluaciones y planes de resiliencia. A su vez, será la encargada de elaborar, custodiar y actualizar el Catálogo Nacional de Entidades Críticas y Estratégicas, con la información específica de infraestructuras críticas y estratégicas situadas en España.
El Centro Nacional para la Protección y Resiliencia de las Entidades Críticas, antiguo CNPIC, ejercerá como punto de contacto único para cooperación operativa y transfronteriza.
Se crearán también puntos de contacto especializados por sector, una Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas y un Grupo de Trabajo Interdepartamental que apoyará la evaluación nacional y los planes sectoriales.
La futura aplicación de la ley exigirá resiliencia demostrable y no solo documentación. Para el tejido empresarial, especialmente en servicios esenciales, conviene empezar cuanto antes a alinear continuidad, gestión de incidentes y coordinación entre lo físico y lo digital, antes de que las obligaciones europeas y la supervisión entren en plena aplicación.
La entrada en vigor de esta ley queda marcada como “xxx días” tras la publicación en el BOE, lo que confirma que se trata de una versión no definitiva y sujeta a cambios durante su tramitación.