Proyecto de Ley de Protección y Resiliencia de Entidades Críticas: transposición de la Directiva (UE) 2022/2557 (CER)

Informes14 de abril de 2026
Las organizaciones afectadas deberán acreditar su resiliencia ante las autoridades y asumir un régimen sancionador severo en caso de incumplimiento.

1. Introducción

El Congreso de los Diputados ha publicado el Proyecto de Ley de Protección y Resiliencia de Entidades Críticas (en adelante, “LPREC”) para transponer la Directiva (UE) 2022/2557. Cuando entre en vigor, derogará la Ley 8/2011 y sustituirá el enfoque centrado en activos físicos por uno basado en entidades.


La ley impondrá a las entidades críticas la obligación de elaborar una evaluación de riesgos y un Plan de Resiliencia, sometiéndolos a validación por la Secretaría de Estado de Seguridad, para demostrar que disponen de capacidad suficiente para prevenir, resistir y recuperarse de cualquier incidente que perturbe significativamente la prestación de un servicio esencial, con independencia de su origen: riesgos naturales, amenazas híbridas, terrorismo u otras amenazas antagónicas.


La ciberseguridad queda fuera del ámbito formal de esta ley, reservada a la transposición de NIS2, aunque en la práctica ambos marcos deberán integrarse para evitar duplicidades y asegurar coherencia entre la resiliencia física y la seguridad digital.


2. ¿Le aplica esta norma?

La norma alcanza a entidades (públicas y privadas) que operen en alguno de los dieciséis sectores del Anexo:

  • Energía
  • Transporte
  • Banca*
  • Infraestructuras de los mercados financieros*
  • Sanidad
  • Agua
  • Infraestructura digital*
  • Administración pública
  • Espacio 
  • Producción, transformación y distribución de alimentos
  • Industria nuclear
  • Instalaciones de investigación
  • Industria química
  • Seguridad privada
  • Residuos
  • Seguros*

*Estos sectores quedan exentos de obligaciones clave como la evaluación de riesgos, el plan de resiliencia, etc. (CA 4ª).


Recomendación inmediata:

Las empresas dentro del alcance deben realizar un análisis GAP interno. La identificación formal activa un reloj que corre contra la organización: nueve meses para entregar la evaluación de riesgos y seis meses más para presentar el Plan de Resiliencia. Llegar al proceso de identificación sin ninguna preparación previa puede ser un error muy costoso.

El elemento clave no es pertenecer al sector, sino ser identificada como entidad crítica por la Comisión Nacional para la Protección y Resiliencia de Entidades Críticas, a propuesta de la Secretaría de Estado de Seguridad. La identificación se basa en los criterios horizontales de criticidad: número de personas afectadas ante un fallo, impacto económico, impacto medioambiental e impacto en la confianza institucional.


El Anteproyecto introduce también la figura de la entidad estratégica: aquella que gestiona infraestructuras que, sin ser críticas, son relevantes para servicios esenciales. Su régimen es más ligero, pero su inclusión en el Catálogo Nacional (clasificado) tiene implicaciones reputacionales y de información privilegiada que no deben ignorarse.


3. Las obligaciones que definen el cumplimiento


  • Evaluación de riesgos

9 meses desde la notificación de identificación

Documento fundacional del cumplimiento de la LPREC, debe cubrir amenazas naturales, humanas, híbridas y terroristas, incluyendo interdependencias sectoriales, y se remite a la SES para validación formal. Una evaluación deficiente debilita la posición de la entidad en cualquier actuación supervisora posterior. Cuando la entidad disponga de evaluaciones previas realizadas bajo otras obligaciones normativas pertinentes, podrá valerse de ellas si la SES las declara conformes.


  • Plan de Resiliencia

6 meses tras la evaluación

Este es un instrumento central de la ley, consiste en medidas técnicas, organizativas y de seguridad proporcionales al riesgo identificado, sujeto a actualización periódica. Hay que tener en cuenta que su ausencia o insuficiencia grave constituye infracción muy grave, con multa de hasta 10.000.000 € o el 2% del volumen de negocios mundial anual.


  • Responsable de Seguridad y Resiliencia con habilitación de Director de Seguridad

El Responsable de Seguridad debe ostentar la habilitación del Ministerio del Interior como Director de Seguridad. Su obtención puede extenderse varios meses, lo que convierte este requisito en el cuello de botella operativo más predecible del cumplimiento.


  • Notificación de incidentes

24 horas para notificación inicial + 1 mes para informe detallado

Exige procedimientos internos operativos desde el primer día de vigencia. Las entidades también sujetas a NIS2 deberán notificar ante dos autoridades distintas (CNPREC y autoridad NIS2 competente) con plazos y contenidos diferenciados, lo que hace imprescindible diseñar un procedimiento unificado de gestión de incidentes que satisfaga ambos marcos.


4. El Esquema Nacional de Certificación

El art. 11 prevé la creación de un Esquema Nacional de Certificación en materia de resiliencia de entidades críticas, pero remite su diseño concreto a un desarrollo reglamentario posterior, sin detallar su articulación ni su eventual coordinación con otros esquemas existentes como el Esquema Nacional de Seguridad, lo que introduce un cierto grado de incertidumbre.


En paralelo, los arts. 6.3 y 8.2 permiten que las entidades reutilicen evaluaciones de riesgos y planes o documentos ya existentes elaborados en cumplimiento de otras normas, previendo que la Secretaría de Estado de Seguridad pueda declararlos conformes total o parcialmente con las obligaciones de evaluación de riesgos y de plan de resiliencia. En la práctica, esto configura un mecanismo de reconocimiento funcional de instrumentos de gestión ya implantados, que podría servir para minimizar duplicidades cuando exista una certificación o sistema de gestión previo que cubra de forma sustancial los requisitos exigidos aquí.


5. Habilitación de la biometría

La protección de datos personales adquiere un papel central en el nuevo régimen de resiliencia, especialmente en aquellas medidas que implican una intensificación de la identificación y el control de accesos a instalaciones y sistemas. Dentro de este contexto, resultan particularmente relevantes los tratamientos basados en tecnologías biométricas, que combinan un alto impacto en la seguridad con un elevado riesgo para los derechos de las personas afectadas.

  • Se establece una habilitación legal para que las entidades críticas utilicen sistemas de autenticación y reconocimiento biométrico como medida de seguridad, sin imponer su uso de forma generalizada
  • Los tratamientos de datos personales realizados en este contexto se fundamentan expresamente en el art. 6.1.c RGPD y, en el caso de datos biométricos, en dicho precepto en correspondencia con los arts. 9.2.b y 9.2.g RGPD.
  • Se exige en todo caso una evaluación de impacto en protección de datos (EIPD) previa y específica para estos sistemas, que deberá justificar su necesidad y proporcionalidad y definir medidas de mitigación adecuadas.

6. Próximos pasos recomendados

Para las organizaciones en sectores del Anexo:                

  • GAP analysis regulatorio cruzado: Determinar simultáneamente la exposición bajo NIS2, DORA, AI Act y CRA.
  • Revisión de la estructura de gobierno de seguridad: Verificar si la figura del Responsable de Seguridad y Resiliencia puede cubrirse con el CISO/CSO existente, o si es necesaria la habilitación como Director de Seguridad del MIN.
  • Auditoría de contratos con proveedores críticos: Incorporar cláusulas de cumplimiento CRA, SLA de notificación de vulnerabilidades y continuidad de soporte.
  • EIPD biométrica anticipada: Si la organización opta por instalar sistemas de reconocimiento biométrico, realizar la evaluación de impacto (EIPD).
  • Procedimiento de gestión de incidentes dual: Diseñar un único protocolo de gestión de incidentes que satisfaga simultáneamente los plazos CER y NIS2.


Nota informativa del área de Protección de Datos y Ciberseguridad de ECIJA Madrid.

Socios relacionados

ACTUALIDAD #ECIJA