Teniendo en cuenta el nivel de amenazas a las que se pueden ver expuestas las IC que actúan en los Estados miembros de la UE, el legislador europeo se ha venido poniendo como objetivo ampliar la normativa sobre la protección física y cibernética de las IC. En el marco de dicha legislación conviene sobre todo destacar la Estrategia de Ciberseguridad de la UE, adoptada el 14 de diciembre de 2020 (Comisión Europea, 2020).

Aunque no va a ser objeto de análisis en el presente trabajo, conviene aquí hacer mención del Reglamento (UE) 2022/2554, también conocido como Reglamento DORA (Digital Operational Resilience Act). Dicho reglamento, el cual entró en vigor el 16 de enero de 2023 y comenzó a aplicarse a partir del 17 de enero de 2025, tiene como objetivo reforzar la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión, y garantizar que el sector financiero, dentro del ámbito de la UE, pueda mantener un elevado nivel de resiliencia en caso de perturbaciones operativas graves fruto, por ejemplo, de ciberataques o incidentes. Dicho reglamento armoniza las normas relativas a la resiliencia operativa del sector financiero aplicables a veinte tipos diferentes de entidades financieras, así como de proveedores terceros de servicios de tecnologías de la información y comunicación (TIC). Efectivamente, tal y como se ha señalado, el Reglamento DORA supone un cambio de paradigma para la regulación de la ciberseguridad de las entidades financieras, ya que, por primera vez, los prestadores de servicios tecnológicos (proveedores de servicios TIC) entran dentro de su ámbito subjetivo de aplicación (Gómez Castro y Montilla Castilla, 2025; González García, 2025). Hasta ahora, estos proveedores estaban obligados a cumplir con ciertas obligaciones de seguridad en sus relaciones con las entidades financieras, en la medida en que los contratos con estas entidades debían tener un contenido obligatorio en materia de ciberseguridad. Sin embargo, la aplicación del Reglamento DORA supone que ciertas obligaciones sean de aplicación directa a estos proveedores, sin depender únicamente del concreto contrato suscrito.

La arriba mencionada Estrategia del año 2020 tiene como primer objetivo fortalecer la resiliencia ante las ciberamenazas y garantizar que tanto los ciudadanos como las empresas puedan beneficiarse de tecnologías digitales dignas de confianza. Por ello, el legislador europeo pretende promover normas encaminadas a soluciones de calidad, así como estándares de ciberseguridad para aquellos bienes y servicios esenciales vinculados a las IC, impulsando el desarrollo y la aplicación de nuevas tecnologías bajo unos márgenes de seguridad que impidan amenazas procedentes del ciberespacio.

Siguiendo los avances logrados en las estrategias anteriores, la Estrategia aprobada en el año 2020 contiene propuestas concretas para la aplicación de tres instrumentos principales. Estos tres instrumentos son: iniciativas de regulación, de inversión y políticas. Las mismas deben centrarse en tres áreas de acción de la UE:

Con todo, la Estrategia del año 2020 no se centra exclusivamente en la ciberresiliencia de IC, sino que también tiene en cuenta la resiliencia física. A partir de estas consideraciones, dicha estrategia contempla dos propuestas legislativas, las cuales se ocupan respectivamente de la resiliencia cibernética y física de las IC y las redes: Directiva NIS-2 y Directiva CER, que cubren una amplia gama de sectores y tienen como objetivo abordar los riesgos actuales y futuros —ya sean estos online u offline (desde ciberataques hasta desastres naturales)— de una manera coherente y complementaria.

Tal y como señala la Estrategia del año 2020, los riesgos de ciberseguridad siguen evolucionando con el aumento de la digitalización y la interconexión. Los riesgos físicos también son cada vez más complejos desde la adopción, en 2008, de las normas de la UE sobre infraestructuras críticas, que en el año 2020 se aplicaban exclusivamente a los sectores de la energía y el transporte. Por ello, el objetivo de las revisiones que se llevan a cabo por ambas directivas, aprobadas en el año 2022, es actualizar las normas según la lógica de la Estrategia de la UE para una Unión de la Seguridad, superar la falsa dicotomía entre lo que está en línea y fuera de ella, así como romper con el enfoque compartimentado.

La primera directiva a la que hace alusión la Estrategia de la UE del año 2020 está dirigida de forma exclusiva a la protección de las IC frente a amenazas procedentes del ciberespacio. En concreto, el objetivo de la Directiva NIS-2 es introducir medidas vinculantes para la administración y la economía con las cuales se debe garantizar un elevado nivel común de ciberseguridad en toda la UE. Con ello se pretende proteger a entidades importantes y especialmente importantes de los daños causados por ciberataques, mejorando al mismo tiempo el funcionamiento del mercado interior europeo.

En la misma se señala que las diferencias existentes entre los Estados miembros a la hora de definir y proteger IC frente a ciberamenazas no solo conllevan una fragmentación del mercado interior; en última instancia, esas diferencias pueden derivar también en una mayor vulnerabilidad de algunos Estados miembros, cuyos efectos pueden llegar a sentirse en toda la UE. Por consiguiente, el objetivo de la Directiva 2022/2555 es eliminar esas divergencias tan pronunciadas entre los Estados miembros, obligando a estos a definir una estrategia nacional de ciberseguridad para hacer frente a las amenazas. En concreto, la mencionada directiva hace referencia a la definición de normas mínimas relativas al funcionamiento de un marco regulador coordinado, el establecimiento de mecanismos para que las autoridades competentes de cada Estado miembro cooperen de manera eficaz, la actualización de la lista de sectores y actividades sujetos a las obligaciones de ciberseguridad y la disponibilidad de vías de recurso y medidas de ejecución eficaces, que son fundamentales para garantizar el cumplimiento efectivo de dichas obligaciones.

Ahora bien, teniendo en cuenta las interrelaciones que existen entre la ciberseguridad y la seguridad física de las entidades consideradas como críticas, la propia Directiva 2022/2555 señala expresamente que debe garantizarse un enfoque coherente e integrador entre dicha directiva y la Directiva (UE) 2022/2557, relativa a la resiliencia física de las entidades críticas. Para ello, cada Estado miembro debe velar por que sus estrategias nacionales de ciberseguridad establezcan un marco de actuación para mejorar la coordinación dentro de dicho Estado miembro entre las autoridades competentes con arreglo a la Directiva 2022/2555 y las competentes con arreglo a la Directiva 2022/2557, en el contexto del intercambio de información sobre los riesgos, ciberamenazas e incidentes relacionados con la ciberseguridad, así como sobre los riesgos, amenazas e incidentes no relacionados con la ciberseguridad, y sobre el ejercicio de las tareas de supervisión. Además, las autoridades competentes con arreglo a la Directiva 2022/2555 y las que lo son en relación a la Directiva 2022/2557 deben cooperar e intercambiar información sin demora indebida, en particular en lo que hace referencia a la identificación de las entidades críticas, los riesgos, las ciberamenazas e incidentes relacionados con la ciberseguridad, así como en lo que respecta a los riesgos, amenazas e incidentes no relacionados con la ciberseguridad que afecten a las entidades críticas, incluidas las medidas de ciberseguridad y físicas adoptadas por las entidades críticas, así como en lo que se refiere a los resultados de las actividades de supervisión realizadas con respecto a dichas entidades.

Frente al contenido regulador de la Directiva 2022/2555, la Directiva CER que aquí se analiza se centra en la protección física de las denominadas «entidades críticas» en el seno de la UE. Dicha directiva sustituye a la Directiva Europea de Infraestructuras Críticas del año 2008, introduciendo nuevas reglas para fortalecer la resiliencia de las entidades críticas ante una serie de amenazas, incluidos peligros naturales, ataques terroristas, amenazas internas o sabotaje.

Con la Directiva 2022/2557 se ha creado un marco jurídico europeo uniforme para fortalecer la resiliencia de las entidades críticas en al menos once sectores frente a amenazas, más allá de la protección de la seguridad informática en el mercado interior. El objetivo de la Directiva es establecer obligaciones mínimas uniformes para las entidades críticas y garantizar su implementación mediante medidas de apoyo y supervisión coherentes y específicas. Para fortalecer la resiliencia de estas entidades críticas, las cuales resultan cruciales para el buen funcionamiento del mercado interior, la Directiva 2022/2557 crea un marco general («paraguas»), el cual, en el sentido de un enfoque de todos los peligros, tiene en cuenta los peligros naturales o los peligros provocados por el hombre, ya sean accidentales o intencionados.

En la misma se señala que las entidades que explotan las infraestructuras consideradas como críticas han de estar mejor equipadas para hacer frente a los riesgos para sus operaciones que puedan dar lugar a una perturbación en la prestación de servicios esenciales. Al respecto, afirma que actualmente existe un panorama dinámico de amenazas, entre las que figuran las amenazas híbridas y terroristas en evolución, así como las crecientes interdependencias entre infraestructura y sectores. Además, ha aumentado el riesgo físico derivado de las catástrofes naturales y del cambio climático, que intensifica la frecuencia y la magnitud de los fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden mermar la capacidad, la eficiencia y la vida útil de determinados tipos de infraestructuras y entidades en caso de no existir medidas de adaptación al cambio climático. Como se puede observar, el foco de atención de esta directiva se centra en la protección física de las entidades críticas, al no hacerse alusión alguna a las ciberamenazas, objeto como se sabe de la Directiva 2022/2555. De este modo, la Directiva 2022/2557 crea un marco general que aborda la resiliencia de las entidades críticas con respecto a todos los peligros, ya sean naturales o provocados, accidental o intencionadamente, por el ser humano.

Por otro lado, la Directiva 2022/2557 afirma que el mercado interior se caracteriza por la fragmentación en lo que respecta a la identificación de las entidades críticas, pues los sectores y categorías de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. Por consiguiente, la Directiva que aquí se analiza tiene como uno de sus objetivos lograr un nivel sustancial de armonización en lo que se refiere a los sectores y categorías de entidades que entran en su ámbito de aplicación.

Y es que las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por el derecho nacional. El hecho de que algunos Estados miembros tengan unos requisitos menos estrictos para esas entidades críticas no solo conduce a distintos niveles de resiliencia, sino que también acarrea una carga administrativa adicional e innecesaria para las empresas que realizan operaciones transfronterizas, en particular en el caso de aquellas que tienen actividad en Estados miembros con unos requisitos más estrictos. Por consiguiente, un marco de la Unión uniforme también debe conducir a condiciones de competencia equitativas para las entidades críticas en toda la UE.

Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro debe contar con una estrategia que mejore la resiliencia de las entidades críticas. Dicha estrategia debe establecer los objetivos estratégicos y las medidas de actuación que hayan de aplicarse. A fin de alcanzar ese enfoque global, los Estados miembros deben garantizar que sus estrategias establezcan un marco de actuación para mejorar la coordinación entre las autoridades competentes con arreglo a la Directiva 2022/2557 y las autoridades competentes con arreglo a la Directiva 2022/2555, en el contexto del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y en el contexto del ejercicio de las tareas de supervisión. Como se sabe, a dicha interdependencia y coordinación entre la protección física y cibernética hace también alusión la Directiva 2022/2555, analizada en el epígrafe anterior.

Por otro lado, cada Estado miembro debe realizar, en un marco armonizado, una evaluación de los riegos naturales y de origen humano pertinentes, incluidos los de carácter transfronterizo o intersectorial, que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública como las pandemias y las amenazas híbridas u otras amenazas antagónicas, incluidos los delitos de terrorismo, la infiltración delictiva y el sabotaje.

Por último, en la Directiva 2022/2557 se señala que los Estados miembros deben designar o establecer autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la mencionada directiva, y garantizar que dichas autoridades dispongan de las competencias y los recursos adecuados.

Tanto la Directiva 2022/2555 como la Directiva 2022/2557 establecían que los Estados miembros debían transponerlas al derecho nacional en el plazo de veintiún meses a partir de su entrada en vigor. Teniendo en cuenta que ambas directivas entraron en vigor el 16 de enero de 2023 (es decir, veinte días después de su publicación en el DOUE), los Estados miembros debían adoptar y publicar las medidas necesarias para dar cumplimiento a lo establecido en ambas directivas antes del 17 de octubre del año 2024. Como se verá en los epígrafes siguientes, en el caso de Alemania, ya durante el año 2024 se elaboraron proyectos de ley consolidados dirigidos a transponer al ordenamiento jurídico germano el contenido de ambas directivas. En el momento de concluir el presente trabajo, dichos proyectos han desembocado finalmente en la aprobación de sendas leyes mediante las cuales se ha logrado transponer al ordenamiento jurídico germano las directivas del año 2022. En el polo opuesto, en España solo existen en estos momentos sendos anteproyectos de ley con el punto de mira puesto respectivamente en la Directiva 2022/2555, así como en la Directiva 2022/2557, por lo que en este último país la transposición de la normativa europea con respecto a la protección física y cibernética de entidades e infraestructuras críticas se encuentra todavía muy lejos en el horizonte.

Lo primero que resulta necesario al comienzo de este epígrafe es saber qué se entiende en Alemania por infraestructuras críticas (IC). Al respecto, en el país germano se suele utilizar a menudo el término KRITIS, aunque también, en no pocas ocasiones, se puede encontrar el concepto de infraestructuras críticas (kritische Infrastrukturen).

Según una definición acuñada por el Gobierno federal: «Las infraestructuras críticas (KRITIS) son organizaciones o instalaciones de gran importancia para la comunidad estatal, cuya caída o deterioro daría lugar a cuellos de botella duraderos en el suministro, perturbaciones importantes en la seguridad pública u otras consecuencias dramáticas» (Bundesamt für Sicherheit in der Informationstechnik, s. f.). Por estas razones, garantizar la protección de estas infraestructuras constituye una tarea fundamental para el Estado y la economía, así como un tema central de la política y seguridad alemanas.

Conviene señalar que el acrónimo KRITIS y la expresión kritische Infrastrukturen a veces se utilizan como sinónimos, si bien, en ocasiones, KRITIS se refiere a un espectro más amplio de infraestructuras que las previstas en la Ley de la Oficina Federal de Seguridad de la Información (BSI-Gesetz), la cual aquí únicamente se apunta, ya que será analizada en el epígrafe siguiente.

Las IC son infraestructuras que resultan particularmente importantes para el funcionamiento de la comunidad y para asegurar las necesidades básicas de la población. Las mismas se caracterizan por que, en caso de interrupciones o fallos, se perjudicarían significativamente procesos esenciales de la vida diaria de una gran parte de la población. Por tanto, la protección de las IC en Alemania reviste gran importancia económica y social (Beucher et al., 2023: 502). En lo que respecta a este concreto país, los operadores de aquellas instalaciones pertenecientes a una infraestructura crítica son los principales responsables de protegerlas. Estos deben estar completamente preparados contra peligros tales como desastres naturales, terrorismo, sabotaje y también errores humanos. Para poder reaccionar con flexibilidad a las diferentes amenazas, la resiliencia de las IC adquiere cada vez mayor importancia.

El actual Ministerio Federal del Interior (BMI, por sus siglas en alemán) es responsable, dentro del Gobierno federal, de coordinar las actividades, estrategias y medidas para la mejor protección posible de las IC (Bundesministerium des Innern und für Heimat, s. f.). Para ello, en octubre del año 2022 se puso en marcha un Centro Conjunto de Coordinación de Infraestructuras Críticas (Gemeinsamer Koordinierungsstab Kritischer Infrastruktur, GEKKIS, por sus siglas en alemán) (Bundesministerium des Innern und für Heimat, 2022). Este organismo tiene, entre otras, las siguientes funciones:

Tal y como se ha señalado ya anteriormente, las IC, por ejemplo, en los sectores de la salud, la energía o los transportes, resultan indispensables para suministrar a los ciudadanos bienes y servicios vitales. La mayoría de estas IC dependen actualmente en gran medida de la tecnología de la información (TI). Este desarrollo seguirá aumentando en el futuro en el contexto de la creciente digitalización de la economía, el Estado y la sociedad. La digitalización crea, sin duda, nuevas oportunidades. Sin embargo, esta dependencia también hace que la sociedad sea vulnerable. Dado que una gran parte de las IC en Alemania se encuentra en manos privadas, su protección contra las amenazas procedentes del ciberespacio solo puede lograrse de manera efectiva mediante un esfuerzo conjunto entre el Estado y la economía. En el marco de una cooperación público-privada, denominada UP KRITIS, las empresas operadoras, sus asociaciones y las agencias estatales trabajan estrechamente de forma conjunta, intercambian información sobre amenazas cibernéticas y promueven el desarrollo de estándares de seguridad de TI específicos para cada sector. El objetivo central de UP KRITIS es aumentar la resiliencia de las IC, y en particular la resiliencia de las IC relacionadas con las tecnologías de la información y comunicación, y estabilizarlas en un nivel alto, apropiado a la importancia de la concreta IC.

Con UP KRITIS, la República Federal de Alemania dispone de un instrumento que permite actuar rápidamente en caso de crisis y entender la gestión de la crisis como una tarea conjunta de la economía y el Estado. Desde su lanzamiento oficial en el año 2007, la colaboración conocida como UP KRITIS viene realizando una contribución significativa a la prestación confiable de servicios críticos para la población en Alemania. El enfoque se centra en la interacción efectiva de la seguridad de las tecnologías de la información y la comunicación y el mantenimiento de procesos comerciales considerados como críticos. El principio rector de UP KRITIS es la cooperación de los operadores de IC con las agencias estatales para fortalecer la competencia de la economía alemana y del Gobierno federal en la responsabilidad conjunta, en particular en materia de seguridad informática en los procesos de IC.

Ahora bien, en los últimos años ha quedado claro, también en el caso de Alemania, que considerar por separado la seguridad física y la seguridad cibernética no es suficiente para lograr el objetivo común de proteger las IC. La cooperación de todos los actores relevantes resulta por tanto esencial para el éxito de las medidas y proyectos destinados a garantizar la seguridad de los procesos críticos, es decir, la colaboración de los departamentos especializados en TI y seguridad informática con los expertos en protección física, para con ello mantener los procesos de producción y suministro, así como la gestión de una eventual crisis.

A partir de lo que se acaba de señalar, en los siguientes epígrafes se va a analizar la legislación aprobada (o pendiente de aprobación) en Alemania con el objetivo de proteger las IC. Como se verá a continuación, dicha legislación ha pasado de estar enfocada casi de forma exclusiva a garantizar la resiliencia frente a amenazas provenientes del mundo cibernético, a contemplar también la necesidad de protección física frente a amenazas procedentes de desastres naturales o de la mano del hombre.

Además de otras regulaciones, las disposiciones en materia de seguridad informática han venido estando en Alemania en el centro de las actividades legislativas debido a la dependencia de las IC de las tecnologías de la información y la comunicación, en particular del uso de Internet.

La primera ley que en este sentido merece ser destacada es la Ley de la Oficina Federal de Seguridad de la Información (BSI-Gesetz). A lo que este trabajo interesa, esta ley especifica, en primer lugar, los sectores en los que las instalaciones pueden ser clasificadas como IC, así como los requisitos generales para la existencia de una IC. En concreto, el parágrafo § 2, apdo. 10, BSI-Gesetz contiene el siguiente tenor literal:

Qué servicios de los ocho sectores enunciados en el mencionado precepto se consideran críticos por su importancia y qué nivel de prestación resulta relevante en cada caso están regulados en un reglamento sobre la base del § 10, apdo. 1, BSI-Gesetz. En efecto, el 22 de abril de 2016, el Ministerio del Interior aprobó el Reglamento sobre la Determinación de Infraestructuras Críticas según la Ley BSI (BSI-KritisV), el cual entró en vigor el 3 de mayo de 2016. Posteriormente, el 21 de junio de 2017 se aprobó el Primer Reglamento para la reforma del BSI-KritisV, el cual entró en vigor el 30 de junio de 2017.

La determinación de si una empresa, como operadora de una IC, está sujeta a las obligaciones de la BSI-Gesetz u otras leyes especiales se realiza de acuerdo con los siguientes criterios:

Como se ha señalado anteriormente, el Reglamento de la BSI-Gesetz (BSI-KritisV) determina para los ocho sectores que principalmente se consideran como IC (energía, agua, alimentación, tecnología de la información y telecomunicaciones, salud, finanzas y seguros, transporte y tráfico, eliminación de residuos de áreas residenciales), aquellos servicios que deben considerarse críticos debido a su importancia, así como las correspondientes instalaciones críticas (kritische Anlagen) (Beucher et al., 2023: 515).

Aunque la energía nuclear desempeña un papel cada vez más reducido en Alemania, la misma seguirá perteneciendo al sector KRITIS hasta su desmantelamiento definitivo. Incluso después de que eso ocurra, resulta pertinente una protección reforzada. Porque debe garantizarse un tratamiento seguro de las sustancias radiactivas y de los productos finales; y esto debe continuar durante muchas décadas después del desmantelamiento de las centrales nucleares. Si bien no se va a analizar en el presente trabajo, conviene apuntar que la energía nuclear es objeto en Alemania de una regulación específica, en concreto mediante la Ley sobre el uso pacífico de la energía nuclear y la protección contra sus peligros (Ley de Energía Atómica, Atomgesetz), de 15 de julio de 1981. También, con respecto a la energía nuclear y las centrales nucleares, y desde el punto de vista de la protección frente a amenazas, hay que tener en cuenta la Directriz para la protección de los sistemas informáticos en las instalaciones nucleares y para las actividades de la categoría de seguridad III, así como para la gestión operativa prudente frente a medidas disruptivas u otras influencias de terceros (Directriz SEWD IT SK III, de 21 de septiembre de 2020). El texto de la Directriz no se publica debido a su consideración como información clasificada (Bundesamt für die Sicherheit der nuklearen Entsorgung, 2020). SEWD es el acrónimo (en alemán) de «protección contra medidas disruptivas y otras influencias de terceros durante la manipulación y transporte de otras sustancias radiactivas».

Es importante reseñar que el Reglamento sobre la Determinación de Infraestructuras Críticas según la BSI-Gesetz (BSI-KritisV) no califica per se determinadas empresas o ubicaciones operativas como IC, sino únicamente instalaciones (Anlagen). Si una empresa ofrece la prestación de un servicio considerado como crítico, solo está sujeta a la regulación como IC si para brindar el servicio opera una instalación o una parte de la misma. El Reglamento de la BSI-Gesetz enumera las correspondientes categorías de instalaciones en los anexos 1 a 7.

De acuerdo con el § 1 núm. 1 BSI-KritisV, se consideran instalaciones (Anlagen): (a) plantas de operación y otras instalaciones fijas que son necesarias para la prestación de un servicio crítico, así como (b) las máquinas, equipos y otras instalaciones móviles que son necesarias para la prestación de un servicio crítico.

El destinatario de las obligaciones de la BSI-Gesetz es el operador de la instalación de IC. De acuerdo con el § 1 núm. 2 BSI-KritisV, un operador es «una persona física o jurídica que, teniendo en cuenta las circunstancias jurídicas, económicas y fácticas, ejerce una influencia decisiva sobre la condición y el funcionamiento de una instalación o de partes de la misma». Si el operador subcontrata partes de la IC a terceros, la responsabilidad de implementar las obligaciones según la BSI-Gesetz sigue siendo suya. Esto se aplica, por ejemplo, cuando los sistemas de tecnología de la información se subcontratan a un proveedor de servicios, siempre que el operador no renuncie con ello a su influencia decisiva sobre la concreta instalación (Beucher et al., 2023: 517).

La parte más importante de la BSI-Gesetz es aquella que hace referencia a las obligaciones de los operadores de la instalación de una IC. Como se verá a continuación, dichas obligaciones se centran, sobre todo, en garantizar la seguridad en el ámbito de la tecnología de la información. Así, según se establece en el § 8a BSI-Gesetz, los operadores de IC deben garantizar la seguridad de sus sistemas de tecnología de la información.

Entre las obligaciones impuestas cabe destacar las siguientes: (1) Precauciones de seguridad apropiadas de acuerdo con el estado de la técnica o los estándares de seguridad específicos de cada sector y otras especificaciones del estado de la técnica. (2) Obligaciones de comprobación periódicas. De acuerdo con el § 8a, apdo. 3, BSI-Gesetz, los operadores de IC deben demostrar el cumplimiento de los requisitos establecidos en el § 8, apdo. 1, BSI-Gesetz cada dos años. La prueba de que se han llevado a cabo las pertinentes comprobaciones puede proporcionarse mediante auditorías de seguridad, inspecciones o certificaciones. El operador deberá remitir a la BSI los resultados de las comprobaciones, así como las notificaciones sobre cualquier deficiencia de seguridad detectada. (3) Obligación de designar y registrar una oficina de contacto (§ 8b, apdo. 3, BSI-Gesetz), garantizando así que se pueda contactar con ellos en cualquier momento a través de esa oficina de contacto. Las averías deben notificarse a través de la oficina de contacto de conformidad con lo establecido en el § 8b, apdo. 4, BSI-Gesetz. (4) Obligaciones de informar en caso de averías (§ 8b, apdo. 4, BSI-Gesetz). Los operadores de IC deben informar inmediatamente a la BSI sobre determinadas averías en sus sistemas de tecnología de la información. La obligación de informar no solo existe cuando se ha producido una avería; incluso la posibilidad de una caída del sistema puede dar lugar a una obligación de informar. La BSI recopila estos informes, los evalúa, analiza las posibles repercusiones de las averías en la disponibilidad de la IC y crea un informe de situación. Una avería «común» se produce, entre otras cosas, cuando «la tecnología utilizada ya no puede cumplir adecuada o completamente su función prevista […]» (§ 8b, apdo. 4, frase 1, núm. 1 BSI-Gesetz). Una avería «significativa» existe en el sentido del § 8b, apdo. 4, frase 1, núm. 2 BSI-Gesetz cuando «la funcionalidad del servicio prestado está amenazada». (5) Cooperación con la BSI en caso de averías significativas. Durante una avería significativa, la BSI, de común acuerdo con la autoridad supervisora federal pertinente, puede exigir a los operadores de IC afectados que proporcionen la información necesaria para abordar y controlar la avería, incluidos los datos personales. Sobre esta base, la BSI puede obligar a los operadores de IC a revelar las direcciones de IP necesarias para localizar la fuente de la avería, o los correos electrónicos si los mismos contienen malware y la BSI necesita analizarlos para valorar la naturaleza de la avería.

Conviene señalar que con la Ley de Seguridad Informática del año 2015 y su desarrollo posterior, a saber, la Ley de Seguridad Informática 2.0 del año 2021, existe también en Alemania un marco legal establecido para regular la ciberseguridad en el ámbito de las IC. La ciberseguridad de las IC se sincroniza también estrechamente con los requisitos legales europeos procedentes de la Directiva de seguridad de las redes y sistemas de información de la UE (Directiva NIS de la UE), así como la nueva Directiva NIS-2 de la UE (Der Beauftrage der Bundesregierung für Informationstechnik, s. f.).

Pues bien, desde la entrada en vigor de la IT-SiG 2.0, además de las IC y los servicios digitales, las llamadas «empresas de especial interés público» (Unternehmen im besonderen öffentlichen Interesse) también están sujetas a obligaciones especiales de seguridad informática y de comunicación según la BSI-Gesetz, las cuales resultan comparables a las de los operadores de IC, pero que sin embargo no alcanzan su intensidad. El § 2, apdo. 14, BSI-Gesetz define el término «empresas de especial interés público» dividiéndolas en tres categorías: (1) las empresas con actividad en la industria armamentística y los fabricantes de productos informáticos para procesar información clasificada estatal; (2) las empresas de particular importancia económica; (3) los operadores de un área operativa de nivel superior en el sentido del Reglamento sobre Accidentes Graves (Störfall-Verordnung).

En el concreto caso de España, el pasado 14 de enero de 2025, el Consejo de Ministros aprobó el Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad. El objetivo último de esta norma es reforzar la protección de las redes y sistemas de información que son ya cruciales para el desarrollo de la inmensa mayoría de las actividades sociales y económicas actuales, y que están sometidas a graves ciberamenazas, nuevos desafíos y riesgos que requieren respuestas adaptadas, coordinadas e innovadoras. Cuando sea aprobada de manera definitiva, la futura ley incorporará al ordenamiento jurídico español la Directiva 2022/2555, de 14 de diciembre de 2022, conocida como NIS-2. El Ministerio del Interior comunicó de inmediato la aprobación de este anteproyecto a la Comisión Europea, dado que el plazo para la transposición de la Directiva NIS-2 al derecho interno español había vencido el 17 de octubre de 2024 (Ministerio del Interior, 2025).

El objetivo principal de la ley es establecer medidas para alcanzar un elevado nivel común de ciberseguridad en España y contribuir con ello a la ciberseguridad de la UE (art. 1). A tal fin, se establecen una serie de obligaciones que requieren, entre otras cosas, la adopción de una Estrategia Nacional de Ciberseguridad y la designación o establecimiento de autoridades competentes para la gestión de crisis de ciberseguridad, así como equipos de respuesta a incidentes de seguridad informática. El anteproyecto también regula medidas para la gestión de riesgos de ciberseguridad y obligaciones de notificación para las entidades reguladas en la ley, así como normas y obligaciones relativas al intercambio de información sobre ciberseguridad.

El anteproyecto de enero de 2025 consta de cincuenta artículos, estructurados en siete capítulos, así como de ocho disposiciones adicionales, tres disposiciones transitorias, una disposición derogatoria y cinco disposiciones finales.

En cuanto al ámbito de aplicación y los sectores considerados como críticos, la propia Directiva (UE) 2022/2555 establece —como se señaló anteriormente— un criterio uniforme para determinar qué entidades están incluidas en su ámbito de aplicación y, por lo tanto, deben cumplir las medidas contempladas para la gestión de riesgos de ciberseguridad. A tal fin, las entidades se clasifican en dos categorías: entidades esenciales y entidades importantes, en función del grado de criticidad de sus sectores o del tipo de servicio que prestan, así como de su tamaño. En el concreto caso del anteproyecto español del año 2025, el art. 3, apdo. 1, señala que la ley resulta de aplicación a las entidades públicas y privadas que tengan su residencia fiscal en España y que se encuentren dentro de los sectores de alta criticidad y otros sectores críticos recogidos en los anexos I y II, cuando tengan la consideración de medianas o grandes empresas porque cuentan con cincuenta o más trabajadores, y tengan un volumen de negocios anual o un balance general anual que supera los diez millones de euros.

Dentro del marco estratégico e institucional (arts. 5 a 13 del anteproyecto), resulta de capital importancia hacer referencia a la Estrategia Nacional de Ciberseguridad (ENC). Tal y como se establece en el art. 5, la ENC tiene como objetivo prioritario establecer los objetivos estratégicos, los recursos necesarios y las medidas políticas y normativas adecuadas para alcanzar y mantener un elevado nivel de ciberseguridad. Para ello, el propio art. 5 hace referencia, entre otras, a las siguientes cuestiones objeto de abordaje por la ENC: (1) las medidas estratégicas necesarias para garantizar la preparación, la capacidad de respuesta y la recuperación frente a incidentes; (2) el marco de actuación para la coordinación con las autoridades competentes designadas conforme a la ley encargada de transponer al ordenamiento jurídico español la Directiva (UE) 2022/2557, a efectos del intercambio de información sobre los riesgos, las ciberamenazas e incidentes, así como sobre riesgos, amenazas e incidentes no relacionados con la ciberseguridad y el ejercicio de las funciones de supervisión; (3) un plan de medidas para mejorar la concienciación de los ciudadanos en materia de ciberseguridad.

Sobre la base de la citada ENC, en el mismo capítulo tercero se regulan las concretas medidas para la gestión de riesgos de ciberseguridad y las obligaciones de notificación (arts. 14 a 25). Así, en esta parte del anteproyecto se contempla, entre otras cosas, la realización de una evaluación individualizada del riesgo por parte de las distintas entidades, detallándose las actuaciones a llevar a cabo por estas para garantizar y elevar sus niveles de seguridad de las redes y sistemas de información y prevenir el riesgo de incidentes, así como la obligación de notificar a la correspondiente autoridad de control los incidentes significativos que se produzcan en su operativa o en la prestación de sus servicios. Tal y como se establece en el art. 18, apdo. 2, las notificaciones que realicen las entidades esenciales o importantes se referirán a los incidentes que afecten a las redes y sistemas de información empleados en su operativa o en la prestación de sus servicios, tanto si son redes y servicios propios, como si pertenecen a proveedores externos. Para dar cumplimiento a las obligaciones de notificación se pondrá a disposición de todos los actores involucrados la Plataforma Nacional de Notificación y Seguimiento de Ciberincidentes (art. 19), que permitirá el intercambio de información técnica y el seguimiento de incidentes.

En virtud de lo establecido en el art. 16 del anteproyecto, las entidades esenciales e importantes designarán a una persona, unidad u órgano colegiado como responsable de la seguridad de la información, el cual ejercerá las funciones de punto de contacto y coordinación técnica con las autoridades de control y con los equipos de respuesta a incidentes de ciberseguridad nacionales de referencia, los cuales serán analizados infra. El responsable de la seguridad de la información tiene, entre otras, las siguientes funciones: (1) supervisar y desarrollar la aplicación de las políticas de seguridad, y procedimientos derivados de la organización, su efectividad y llevar a cabo controles periódicos de seguridad; (2) supervisar el cumplimiento de la normativa aplicable en materia de seguridad de las redes y sistemas de información; (3) remitir a las autoridades de control, sin dilación indebida, las notificaciones de incidentes que tengan efectos perturbadores en la prestación de los servicios y de las vulnerabilidades detectadas.

Por lo que hace referencia al marco institucional y de gobernanza, el anteproyecto prevé en su art. 6 la creación del Centro Nacional de Ciberseguridad (CNC). El mismo está concebido como la autoridad nacional competente única en materia de gobernanza de la ciberseguridad, encargándose de la dirección, impulso y la coordinación, en el ámbito de la ley, de todas las actividades necesarias para garantizar un elevado nivel de ciberseguridad en España y contribuir con ello a la ciberseguridad de la UE. El CNC ejerce como autoridad nacional de gestión de crisis y «punto de contacto único», asumiendo la superior dirección y coordinación de las autoridades de control y puntos de contacto sectoriales en el desarrollo de sus funciones de ejecución y supervisión, así como de los denominados CSIRT (computer security incident response team o equipos de respuesta a incidentes de seguridad informática) nacionales de referencia. Básicamente, como autoridad nacional de gestión de crisis de ciberseguridad, el CNC será responsable de la coordinación para la gestión de incidentes y crisis de ciberseguridad a gran escala.

Según se establece en el art. 7 del anteproyecto, son autoridades de control, encargadas de las funciones de supervisión y ejecución a que se refiere el capítulo VI de la ley, las siguientes: (1) el Ministerio de Defensa, a través del Centro Criptológico Nacional para una serie de entidades esenciales e importantes; (2) el Ministerio para la Transformación Digital y de la Función Pública, a través de la Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales y de la Secretaría de Estado de Digitalización e Inteligencia Artificial, para otro conjunto de entidades esenciales e importantes; (3) el Ministerio del Interior, a través de la Oficina de Coordinación de Ciberseguridad de la Secretaría de Estado de Seguridad, para otro conjunto concreto de entidades.

Por su parte, el apdo. 3 del art. 7 del anteproyecto establece que, por cada uno de los sectores relacionados en los anexos I y II, se designará, al menos, un órgano ministerial u organismo o entidad de derecho público vinculado o dependiente de la Administración General del Estado que será, en el marco de sus competencias, el punto de contacto sectorial especializado con el CNC y las autoridades de control.

Finalmente, y a partir de lo establecido en el art. 9 del anteproyecto, son equipos de respuesta a incidentes de ciberseguridad (CSIRT) nacionales de referencia, en materia de seguridad de las redes y sistemas de información, los siguientes: (1) el CCN-CERT, del Centro Criptológico Nacional; (2) el INCIBE-CERT, del Instituto Nacional de Ciberseguridad de España; (3) el ESPDEF-CERT, del Mando Conjunto del Ciberespacio, que cooperará con el CCN-CERT y el INCIBE-CERT en aquellas situaciones que estos requieran y, necesariamente, en las relativas a incidentes de entidades con incidencia en la defensa nacional.

Finalmente, los capítulos VI y VII se dedican, respectivamente, a la regulación de las funciones de supervisión y ejecución sobre las entidades esenciales e importantes y a la cooperación transfronteriza, así como al desarrollo de las potestades disciplinarias.

A destacar sobre todo es el art. 30 del anteproyecto, donde se señala que las autoridades de control, bajo la superior dirección del CNC, supervisarán y adoptarán las medidas necesarias para garantizar el cumplimiento de lo establecido en la ley. Para ello, se podrán establecer metodologías de supervisión que permitan priorizar dichas funciones aplicando un enfoque basado en el riesgo. En el ejercicio de las funciones de supervisión se podrá requerir a las entidades esenciales e importantes que proporcionen toda la información necesaria para evaluar la seguridad de las redes y sistemas de información, incluida la documentación sobre políticas de seguridad. Además, se podrá solicitar información sobre la aplicación efectiva de su política de seguridad, así como auditar o exigir a la entidad que someta la seguridad de sus redes y sistemas de información a una auditoría por una entidad de certificación del marco de cumplimiento de seguridad.

En cuanto al régimen sancionador (arts. 35 a 50), el art. 35 establece que la responsabilidad por las infracciones previstas en la ley recaerá en las entidades esenciales e importantes autoras del hecho en que consista la infracción. Por su parte, el art. 39 del anteproyecto enumera lo que se considera como infracciones muy graves. Entre las mismas cabe destacar las siguientes: (1) la falta de implantación, sin demora indebida, de las medidas técnicas, operativas y de organización determinadas por el CNC para la gestión de riesgos en la seguridad de las redes y sistemas de información, conforme lo indicado en el art. 15, cuando dicha omisión haya motivado un incidente significativo; (2) el incumplimiento reiterado de la obligación de notificar incidentes significativos según se contempla en el art. 18, considerándose que es reiterado a partir del segundo incumplimiento.

Teniendo en cuenta lo ambicioso del citado anteproyecto, el cual contiene medidas dignas de mención como la ENC y la creación de un organismo específico (el CNC), concebido como la autoridad nacional competente única en materia de gobernanza de la ciberseguridad, es de lamentar que, entrados ya en el presente año 2026, dicho anteproyecto no haya todavía avanzado en la senda legislativa —como así ha ocurrido en el caso de Alemania—, lo que conduce a que, a día de hoy, siga sin ser transpuesta al ordenamiento jurídico español la Directiva 2022/2555, con todo lo que ello implica si se tiene en cuenta la coyuntura geopolítica actual y las amenazas cibernéticas que se ciernen sobre los países miembros de la UE, incluida España.

El 27 de mayo de 2025, el Consejo de Ministros, a propuesta del Ministerio del Interior, aprobó el Anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas. Esta iniciativa legislativa surge como respuesta a la necesidad de incorporar al ordenamiento jurídico español la Directiva (UE) 2022/2557, de 14 de diciembre, relativa a la resiliencia de las entidades críticas (Directiva CER), cuya fecha límite de transposición se cumplió el pasado 17 de octubre de 2024. Como a nadie escapa, la aprobación de este anteproyecto se produjo en un contexto de creciente preocupación por la vulnerabilidad de infraestructuras y entidades críticas frente a amenazas de diversa índole, desde fenómenos naturales hasta sabotajes y riesgos tecnológicos. Cabe recordar que, apenas un mes antes de la aprobación del mencionado anteproyecto, España sufrió un apagón masivo de la red eléctrica que afectó durante más de doce horas a toda la península ibérica.

Siguiendo con las premisas contempladas en la Directiva 2022/2557, el anteproyecto del mayo de 2025 tiene por objeto la protección física de las entidades críticas, mientras que el anteproyecto de enero de 2025 —dirigido, como se sabe, a transponer la Directiva 2022/2555— establece medidas de protección a nivel de ciberseguridad. Tal y como señala el anteproyecto, las entidades críticas son aquellas entidades y organismos, públicos o privados, proveedores de servicios esenciales. Por su condición, las entidades críticas resultan indispensables para mantener las funciones sociales o las actividades económicas vitales, no solo en el ámbito nacional, sino también en el contexto de la Unión Europea (Ministerio del Interior, 2025a: 1).

El anteproyecto de mayo de 2025 consta de cuarenta y un artículos, estructurados en cinco capítulos, así como de ocho disposiciones adicionales, una transitoria, una derogatoria y siete finales.

El ámbito de aplicación del anteproyecto se circunscribe a las entidades críticas ubicadas en territorio nacional, vinculadas a los sectores y subsectores estratégicos enumerados en el anexo (art. 3), con exclusión de aquellas que ya se encuentran reguladas por normativa sectorial específica, como las entidades del sector bancario, los mercados financieros y las infraestructuras digitales. También quedan excluidas entidades estatales en el ámbito de la defensa y seguridad, como así establece el art. 3 del anteproyecto en los siguientes términos: «Tampoco se aplicará a las entidades dependientes del Ministerio de Defensa, a las Fuerzas y Cuerpos de Seguridad del Estado ni a los cuerpos de policía de las comunidades autónomas con competencias estatutarias reconocidas y asumidas para la protección de personas y bienes y para el mantenimiento del orden público, que se regirán por su propia normativa».

El propio art. 2 del anteproyecto establece una definición de «entidades críticas» en los siguientes términos: «Entidad u organismo, público o privado, identificada conforme a lo previsto en el artículo 12 como perteneciente a una de las categorías de entidades recogidas en el anexo». También define lo que debe conocerse como «entidades críticas de especial importancia europea», de la manera siguiente: «Entidad crítica identificada que presta los mismos o similares servicios esenciales a o en seis o más Estados Miembros de la Unión Europea y haya sido notificada conforme a lo previsto en el artículo 24». Dicho precepto define también el concepto de «infraestructura crítica» de la siguiente manera: «Un elemento, instalación, equipo, red o sistema, o parte de un elemento, instalación, equipo, red o sistema, que es necesario para la prestación de un servicio esencial».

En cuanto a los sectores considerados estratégicos, el anteproyecto sigue en el anexo al mismo el listado establecido por la Directiva 2022/2557. La identificación de entidades críticas dentro de estos sectores se realizará en función de criterios como el número de usuarios afectados, la interdependencia con otros sectores, la cuota de mercado, la zona geográfica de influencia y la importancia para el mantenimiento de los servicios esenciales.

El anteproyecto introduce un conjunto de medidas y obligaciones dirigidas a fortalecer la protección y resiliencia de las entidades críticas frente a amenazas físicas, naturales y de origen humano. El marco de planificación e implementación de dichas medidas y obligaciones se articula en torno a la Estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas, así como la Evaluación Nacional de Amenazas y Riesgos, ambos documentos elaborados y aprobados por la Secretaría de Estado de Seguridad. Sobre esta base, se desarrollan el Plan Nacional de Protección y Resiliencia de Entidades Críticas, los planes estratégicos sectoriales y los planes de apoyo operativos, estos últimos elaborados por las fuerzas y cuerpos de seguridad en relación con cada infraestructura crítica en su demarcación territorial.

La mencionada estrategia establecerá objetivos estratégicos y medidas de actuación, basándose en estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia, con la finalidad de alcanzar y mantener un alto nivel de resiliencia por parte de las entidades críticas. Los elementos que deberá contemplar dicha estrategia vienen enumerados en el propio art. 4 del anteproyecto. Dicha estrategia se actualizará, como mínimo, cada cuatro años.

Según señala el citado art. 4 del anteproyecto, la Secretaría de Estado de Seguridad utilizará la Evaluación Nacional de Amenazas y Riesgos como instrumento para identificar las entidades críticas y ayudarlas a adoptar medidas adecuadas y proporcionadas para garantizar su resiliencia. Será objeto de actualización y modificación siempre que sea necesario y, como mínimo, cada cuatro años.

El anteproyecto prevé también la creación de un catálogo nacional de entidades críticas y estratégicas, el cual será revisado también, al menos, cada cuatro años. Este catálogo identificará a las organizaciones cuya actividad resulta indispensable para el mantenimiento de servicios esenciales en sectores como la energía, el transporte o la sanidad. Para la identificación de las entidades críticas se tendrán en cuenta una serie de criterios que vienen establecidos en el art. 12 del anteproyecto. La Secretaría de Estado de Seguridad pondrá los elementos necesarios y pertinentes de la Evaluación Nacional de Amenazas y Riesgos a disposición de las entidades críticas que hayan sido identificadas, con el fin de garantizar que la información facilitada les ayude en la realización de sus evaluaciones de riesgos y en la adopción de medidas para garantizar su resiliencia. Por su parte, el art. 7 del anteproyecto establece que, sobre la base de la Estrategia y de los resultados de la Evaluación Nacional de Amenazas y Riesgos, la Secretaría de Estado de Seguridad elaborará, a través del Centro Nacional de Protección y Resiliencia de las Entidades Criticas (CNPREC, al cual se hará mención explícita infra), el Plan Nacional de Protección y Resiliencia de Entidades Críticas, que será el documento estructural que permitirá dirigir y coordinar las actuaciones precisas para fortalecer la seguridad de las entidades críticas y de sus infraestructuras, con el objetivo de garantizar la prestación de los servicios esenciales. Al mismo tiempo, el apdo. 2 de la mencionada disposición señala que la Secretaría de Estado de Seguridad elaborará un plan estratégico sectorial por cada uno de los sectores o subsectores de actividad recogidos en el anexo, adecuando al ámbito específico de cada sector los objetivos estratégicos y medidas de actuación previstos en la Estrategia, y teniendo en cuenta para ello los riesgos y amenazas de origen natural o humano que puedan dar lugar a un incidente, contenidos en la Evaluación Nacional de Amenazas y Riesgos e identificados específicamente para cada sector.

A partir de aquí, aquellas entidades incluidas en ese catálogo están obligadas no solo a llevar a cabo una evaluación de riesgos, sino también a elaborar y mantener actualizado un plan de resiliencia, el cual debe adecuarse a lo establecido en el art. 8. Dicho plan debe contemplar la identificación y evaluación de riesgos, así como la adopción de medidas técnicas, organizativas y de seguridad adecuadas para prevenir, proteger, responder y recuperarse ante incidentes que puedan afectar a la prestación de servicios esenciales. Según se establece en el art. 6, apdo. 2, del anteproyecto, la evaluación de riesgos tendrá en cuenta las amenazas derivadas de riesgos naturales y aquellas de origen humano que puedan dar lugar a un incidente. Entre las medidas concretas se incluyen la protección física de instalaciones, la gestión de la continuidad de las actividades, la formación y concienciación del personal, y la designación de un responsable de seguridad y resiliencia que actuará como punto de contacto con las autoridades competentes y como órgano responsable de seguridad y resiliencia de la entidad crítica a efectos del cumplimiento de las obligaciones previstas en el art. 8 del anteproyecto. Al mismo tiempo, el anteproyecto también prevé en su art. 9 la implantación de un sistema de comprobación de antecedentes personales para garantizar la idoneidad de quienes prestan servicios en entidades críticas, así como la obligación de notificar cualquier incidente relevante que pueda alterar el funcionamiento de los servicios esenciales. No cabe duda de que ese sistema de comprobación de antecedentes personales supone tensionar en este contexto la seguridad de aquellas entidades que prestan servicios esenciales y un derecho fundamental como es la privacidad e intimidad de las personas que desarrollan distintas tareas en las mismas.

El art. 10 del anteproyecto se ocupa de la notificación de incidentes por parte de las entidades críticas, estableciéndose que estas deberán notificar a la Secretaría de Estado de Seguridad, a través del CNPREC, los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales en el plazo máximo de veinticuatro horas desde que tengan conocimiento de aquellos, salvo acreditada incapacidad, desde el punto de vista operativo, para hacerlo dentro de dicho plazo. Posteriormente, en un plazo no superior a un mes, presentarán un informe detallado del incidente. El propio precepto prevé que, cuando se considere que sea de interés general hacerlo, la Secretaría de Estado de Seguridad informará al público del incidente.

En cuanto al marco institucional y de gobernanza, el anteproyecto de mayo de 2025 establece que la Secretaría de Estado de Seguridad se configura como la autoridad nacional competente para la supervisión y cumplimiento de las disposiciones establecidas en la ley (art. 15). La misma actúa a través del Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), organismo que sustituye al anterior Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). Este centro será también el punto de contacto único para la cooperación transfronteriza con otros Estados miembros de la UE (art. 15, apdo. 2). Además, se crea la Comisión Nacional para la Protección y Resiliencia de las Entidades Críticas, órgano colegiado encargado de aprobar los planes estratégicos sectoriales y colaborar en la identificación de entidades críticas, así como un Grupo de Trabajo Interdepartamental para la coordinación de políticas en la materia. Tal y como señala el art. 19 del anteproyecto, dicho grupo de trabajo asistirá a la Secretaría de Estado de Seguridad en la elaboración de la Evaluación Nacional de Amenazas y Riesgos y de los planes estratégicos sectoriales.

Por último, el capítulo V (arts. 26-41) se ocupa de las tareas de supervisión de las entidades críticas, así como del régimen sancionador. Así, el art. 26 señala que las actividades de supervisión de las entidades críticas, dirigidas a evaluar el cumplimiento de las obligaciones establecidas en la ley, serán llevadas a cabo por la Secretaría de Estado de Seguridad. Para el desarrollo de estas actividades, la Secretaría de Estado de Seguridad tendrá, entre otras, las siguientes facultades (art. 26, apdo. 2): a) realizar inspecciones in situ de las infraestructuras críticas y de las instalaciones que utilice la entidad crítica para prestar sus servicios esenciales; b) efectuar actividades de supervisión externa de las medidas adoptadas por las entidades críticas; c) realizar u ordenar auditorías.

Conviene señalar que, en relación con las entidades esenciales e importantes conforme a la ley por la que se transpone la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, que también hayan sido identificadas como críticas, la Secretaría de Estado de Seguridad estará facultada para requerir de la autoridad nacional designada conforme a la citada ley que, en el plazo que esta disponga, exija de aquellas que faciliten una serie de datos e informaciones que vienen especificados en el propio art. 26 del anteproyecto.

En lo que hace referencia al régimen sancionador, el art. 27 del anteproyecto establece que la responsabilidad por las infracciones previstas en la ley recaerá en las entidades críticas autoras del hecho en que consista la infracción. Ahora bien, sin perjuicio de esa responsabilidad corporativa, quienes ejerzan en la misma cargos de administración o dirección, sean unipersonales o colegiados, serán responsables de las infracciones cuando estas sean imputables a su conducta dolosa o negligente.

Al igual que se señaló al final del epígrafe anterior con respecto al anteproyecto de enero del año 2025, el aquí analizado anteproyecto dirigido a transponer la Directiva 2022/2557 contiene decisiones de interés, como la creación de una Estrategia Nacional para la Protección y Resiliencia de Entidades Críticas, así como la implantación del CNPREC. Es por ello por lo que sorprende que el actual Ejecutivo español no haya todavía avanzado en la gestación de un proyecto de ley que desemboque en la ley de transposición de la mencionada directiva. Y ello teniendo en cuenta las amenazas físicas a las que se encuentran actualmente expuestas entidades críticas ubicadas en el territorio de la UE. Para ello puede servir de ejemplo lo acontecido el pasado mes de enero en la red eléctrica de la capital alemana.