Projecte de llei sobre la protecció i la resiliència de les infraestructures crítiques: transposició de la Directiva (UE) 2022/2557 (CER)

1. Introducció

El Congrés dels Diputats ha publicat el Projecte de Llei de Protecció i Resiliència de les Entitats Crítiques (en endavant, "LPREC") per trasposar la Directiva (UE) 2022/2557. Quan entri en vigor, derogarà la Llei 8/2011 i substituirà l'enfocament centrat en els actius físics per un altre basat en les entitats.

La llei imposarà a les entitats crítiques l'obligació d'elaborar una avaluació de riscos i un Pla de Resiliència, sotmetent-los a la validació del secretari d'Estat de Seguretat, per demostrar que tenen la capacitat suficient per prevenir, resistir i recuperar-se de qualsevol incident que interrompi significativament la prestació d'un servei essencial, independentment del seu origen: riscos naturals, amenaces híbrides, terrorisme o altres amenaces adverses.

La ciberseguretat queda fora de l'abast formal d'aquesta llei, que està reservada per a la transposició de la NIS2; no obstant això, en la pràctica, ambdós marcs s'han d'integrar per evitar duplicacions i garantir la coherència entre la resiliència física i la seguretat digital.

2. Aquesta regulació s'aplica a vostè?

La regulació s'aplica a les entitats (públiques i privades) que operen en qualsevol dels setze sectors que figuren a l'Annex:

• Energia
• Transport
• Bancari*
• Infraestructures de mercat financer*
• Sanitat
• Aigua
• Infraestructura digital*
• Administració pública
• Espai
• Producció, processament i distribució d'aliments
• Indústria nuclear
• Instal·lacions de recerca
• Indústria química
• Seguretat privada
• Residus
• Assegurances*

*Aquests sectors estan exempts d'obligacions clau com ara l'avaluació de riscos, el pla de resiliència, etc. (CA 4).

El factor clau no és pertànyer al sector, sinó ser identificat com a entitat crítica per la Comissió Nacional per a la Protecció i la Resiliència de les Entitats Crítiques, a proposta del secretari d'Estat de Seguretat. La identificació es basa en criteris horitzontals de criticitat: nombre de persones afectades per una fallada, impacte econòmic, impacte ambiental i impacte en la confiança institucional.

El projecte de llei també introdueix el concepte d'entitat estratègica: aquella que gestiona infraestructures que, tot i no ser crítiques, són rellevants per a serveis essencials. El seu règim regulador és menys onerós, però la seva inclusió al Catàleg Nacional (classificat) té implicacions en matèria de reputació i d'informació privilegiada que no s'haurien de passar per alt.

3. Les obligacions que defineixen el compliment

• Avaluació de riscos

9 mesos des de la notificació de la identificació

Com a document fonamental per al compliment del LPREC, ha de cobrir amenaces naturals, humanes, híbrides i terroristes, incloent-hi les interdependències sectorials, i es presenta al SES per a la seva validació formal. Una avaluació deficient debilita la posició de l'entitat en qualsevol acció de supervisió posterior. Quan l'entitat tingui avaluacions anteriors realitzades en virtut d'altres obligacions reguladores pertinents, podrà basar-s'hi si el SES les declara conformes.

• Pla de resiliència

6 mesos després de l'avaluació

Aquest és un instrument central de la llei, que consisteix en mesures tècniques, organitzatives i de seguretat proporcionals al risc identificat, subjecte a actualitzacions periòdiques. Cal tenir en compte que la seva absència o la seva greu inadequació constitueix una infracció molt greu, sancionable amb una multa de fins a 10.000.000 € o el 2 % de la facturació global anual.

• Responsable de Seguretat i Resiliència amb acreditació de Director de Seguretat

El responsable de seguretat ha de tenir l'acreditació del Ministeri de l'Interior com a director de seguretat. L'obtenció d'aquesta acreditació pot trigar diversos mesos, la qual cosa converteix aquest requisit en el coll d'ampolla operatiu més previsible pel que fa al compliment normatiu.

• Notificació d'incidents

24 hores per a la notificació inicial + 1 mes per a un informe detallat

Requereix procediments operatius interns des del primer dia. Les organitzacions subjectes a la NIS2 també han de notificar a dues autoritats diferents (CNPREC i l'autoritat competent en NIS2) amb terminis i requisits de contingut diferents, la qual cosa fa que sigui essencial dissenyar un procediment unificat de gestió d'incidents que compleixi ambdós marcs.

4. L'Esquema Nacional de Certificació

L'article 11 preveu la creació d'un Esquema Nacional de Certificació pel que fa a la resiliència de les entitats crítiques, però ajorna el seu disseny específic al desenvolupament reglamentari posterior, sense detallar-ne l'estructura ni la possible coordinació amb altres esquemes existents, com ara l'Esquema Nacional de Seguretat, la qual cosa introdueix un cert grau d'incertesa.

Paral·lelament, els articles 6.3 i 8.2 permeten a les entitats reutilitzar avaluacions de riscos i plans o documents existents redactats d'acord amb altres normatives, sempre que el secretari d'Estat de Seguretat els declari totalment o parcialment conformes amb les obligacions relatives a l'avaluació de riscos i al pla de resiliència. En la pràctica, això estableix un mecanisme de reconeixement funcional de les eines de gestió ja existents, que podria servir per minimitzar la duplicació quan una certificació o un sistema de gestió previ cobreixi substancialment els requisits que s'estableixen aquí.

5. Activació de la biometria

La protecció de les dades personals assumeix un paper central en el nou règim de resiliència, especialment en aquelles mesures que impliquen un augment de la identificació i el control de l'accés a les instal·lacions i els sistemes. En aquest context, el tractament basat en tecnologies biomètriques és especialment rellevant, ja que combina un impacte significatiu en la seguretat amb un alt risc per als drets de les persones interessades.

• S'estableix l'autorització legal perquè les entitats crítiques utilitzin sistemes d'autenticació i reconeixement biomètric com a mesura de seguretat, sense imposar-ne l'ús generalitzat
• El tractament de dades personals que es duu a terme en aquest context es basa expressament en l'article 6, paràgraf 1, lletra c), del RGPD i, en el cas de les dades biomètriques, en aquesta disposició en conjunció amb els articles 9, paràgraf 2, lletres b) i g) del RGPD.
• En tots els casos, es requereix una avaluació d'impacte en la protecció de dades (AIPD) prèvia i específica per a aquests sistemes, que n'ha de justificar la necessitat i la proporcionalitat i definir mesures d'atenuació adequades.

6. Passos següents recomanats

Per a les organitzacions dels sectors que figuren a l'annex:

• Anàlisi de la bretxa intersectorial: determinar simultàniament l'exposició a NIS2, DORA, la Llei d'IA i la CRA.
• Revisió de l'estructura de governança de seguretat: Verificar si el càrrec de Responsable de Seguretat i Resiliència pot ser exercit pel CISO/CSO existent, o si cal el nomenament d'un Director de Seguretat del Ministeri.
• Auditoria dels contractes amb proveïdors crítics: Incorporar clàusules sobre el compliment de la CRA, els SLA per a la notificació de vulnerabilitats i la continuïtat del suport.
• PIA biomètrica prèvia: Si l'organització decideix instal·lar sistemes de reconeixement biomètric, dur a terme l'avaluació d'impacte en la protecció de dades (PIA).
• Procediment dual de gestió d'incidents: Dissenyar un protocol únic de gestió d'incidents que compleixi simultàniament els terminis del CER i de la NIS2.

Nota informativa del Departament de Protecció de Dades i Ciberseguretat d'ECIJA Madrid.