Nueva ley de resiliencia de entidades críticas: ¿puede afectar a tu empresa del sector aeroespacial?

En el siguiente artículo se analiza por qué esta norma es relevante para las empresas de defensa y espacio. Nuestro socio Andersen nos facilita dicha información y queda a disposición de los socios que deseen más información: secretaria@aeros-ecosystem.com

I. De proteger infraestructuras a proteger empresas
 
España está ultimando la aprobación de una nueva ley que incorpora al ordenamiento español la Directiva europea sobre resiliencia de entidades críticas, y que derogará íntegramente la normativa vigente en materia de protección de infraestructuras críticas.
 
El cambio de fondo es importante: la legislación anterior se centraba exclusivamente en la protección de las infraestructuras críticas, desvinculada de la actividad de la entidad de la que formaban parte. La nueva norma reorienta el enfoque hacia la resiliencia de las entidades en su conjunto, entendida como la capacidad para la prevención, la protección, la respuesta, la resistencia, la mitigación, la absorción, la adaptación y la recuperación en caso de incidente: no basta con proteger la infraestructura; es necesario garantizar que la organización que la opera esté en condiciones de resistir, absorber y recuperarse ante cualquier amenaza, sea cual sea su naturaleza u origen.
 
En términos sencillos: hasta ahora la regulación vigilaba los activos físicos (instalaciones, redes, equipos). La nueva ley exige que las propias empresas —en su conjunto— demuestren que son capaces de seguir funcionando aunque algo falle.
 
II. ¿A qué empresas puede afectar?
 
La ley será aplicable a las entidades críticas que operen en el territorio nacional, vinculadas a quince sectores estratégicos, entre los que se incluyen expresamente el espacio, la energía, el transporte, la sanidad, la infraestructura digital y la administración pública, entre otros.
 
Aquí es donde el sector aeroespacial debe prestar atención:
 

• Quedan expresamente excluidas del ámbito de aplicación las entidades directamente dependientes del Ministerio de Defensa, pero esta exclusión ha de interpretarse en sentido estricto: ampara únicamente a aquellas entidades que forman parte de la estructura orgánica y administrativa de dicho Ministerio, pero no alcanza a las empresas privadas que actúan como contratistas o suministradoras del sector público de defensa.

 

• Las empresas que fabrican o integran sistemas, prestan servicios de mantenimiento de infraestructuras o participan en cadenas de suministro crítico para la Defensa —así como sus propios proveedores— podrán ser identificadas como entidades críticas si concurren tres criterios: (a) que la entidad preste uno o más servicios esenciales; (b) que opere en el territorio nacional y sus infraestructuras críticas estén situadas en él; y (c) que un incidente tuviera efectos perturbadores significativos en la prestación de uno o más servicios esenciales.

 
Dicho de otro modo: una empresa privada que fabrica componentes para satélites, integra sistemas de defensa o presta servicios de mantenimiento de infraestructuras espaciales puede perfectamente quedar sujeta a esta ley, aunque no pertenezca al Ministerio de Defensa.
 
En el sector espacio, la ley identifica expresamente como posibles entidades críticas a los operadores de infraestructuras terrestres que apoyan la prestación de servicios espaciales, así como a los centros gestores de información geoespacial e infraestructuras para el geoposicionamiento y la navegación.
 
III. ¿Qué obligaciones conlleva ser designada entidad crítica?
 
La identificación como entidad crítica no es un reconocimiento neutro: activa un conjunto de obligaciones con plazos estrictos y consecuencias severas en caso de incumplimiento. Las principales son:
 

• Evaluación de riesgos. Las entidades críticas deberán realizar una evaluación de riesgos y, en el plazo máximo de nueve meses desde que se les notifique su designación, elevarla a la Secretaría de Estado de Seguridad para su validación. Deberá renovarse, al menos, cada cuatro años.

 

• Plan de Resiliencia. En el plazo máximo de seis meses posteriores a la evaluación de riesgos, la entidad deberá elaborar su Plan de Resiliencia y remitirlo para su validación a la Secretaría de Estado de Seguridad. Dicho plan contendrá las medidas técnicas, organizativas, procedimentales y operativas de seguridad adecuadas y proporcionadas para garantizar su resiliencia.

 

• Responsable de Seguridad y Resiliencia. En el plazo de los tres meses posteriores a su designación, deberá nombrarse y comunicarse a la Secretaría de Estado de Seguridad una persona u órgano como responsable de seguridad y resiliencia. Esta persona deberá contar con la habilitación de Director de Seguridad expedida por el Ministerio del Interior.

 

• Notificación de incidentes. Las entidades críticas notificarán a la Secretaría de Estado de Seguridad los incidentes que perturben o puedan perturbar significativamente la prestación de servicios esenciales en el plazo máximo de 24 horas desde que tengan conocimiento de ellos, con un informe detallado posterior en el plazo no superior a un mes.

 

• Verificación del personal. Las entidades críticas podrán solicitar, de forma motivada, comprobaciones de idoneidad respecto del personal que desempeñe tareas sensibles o funciones directamente vinculadas a sus infraestructuras y activos críticos. Las solicitudes serán evaluadas por el Ministerio del Interior en un plazo máximo de diez días.

 

• Habilitaciones tecnológicas. Las entidades críticas quedarán habilitadas para instalar sistemas de reconocimiento biométrico en sus instalaciones, así como sistemas antidrones de detección para reforzar su protección perimetral.

 
IV. ¿Qué pasará si no se cumplen estas obligaciones?
 
El régimen sancionador es especialmente exigente:
 

• Las infracciones muy graves —entre las que se incluyen el incumplimiento de la obligación de notificación de incidentes en plazo, la ausencia o falta de implantación efectiva de medidas de resiliencia, la obstrucción a las funciones de supervisión o la aportación de datos falsos a las entidades de certificación— se sancionarán con multa de entre 1.000.001 y 10.000.000 de euros, o hasta el 2 por ciento del volumen de negocios anual total a nivel mundial, aplicándose la cuantía mayor de ambas.

 

• Las infracciones graves se sancionarán con multa de entre 100.001 y 1.000.000 de euros, y las leves, con multa de entre 10.000 y 100.000 euros.

 

• La norma prevé además sanciones accesorias como la suspensión temporal de licencias, autorizaciones o permisos —de entre seis meses y dos años para las muy graves, y hasta seis meses para las graves—, y la clausura de fábricas, locales o establecimientos en idénticos plazos.

 

• Las sanciones firmes en vía administrativa por infracciones muy graves y graves podrán publicarse en el Boletín Oficial del Estado, lo que añade un componente reputacional de considerable relevancia práctica.

 
V. Empresas con actividad en varios países de la UE: atención especial
 
La norma incorpora además la figura de las entidades críticas de especial importancia europea: aquellas identificadas como críticas que, además, prestan los mismos o similares servicios esenciales en seis o más Estados miembros de la Unión Europea.
 
Para estas entidades, la Comisión Europea podrá organizar misiones de asesoramiento para evaluar las medidas adoptadas. Esto es especialmente relevante para grupos o empresas del sector con presencia multinacional en Europa.
 
VI. Conclusión
 
La nueva ley supone un salto cualitativo en las exigencias de seguridad para las empresas del sector. No se trata solo de proteger instalaciones físicas, sino de demostrar que toda la organización está preparada para afrontar y superar cualquier tipo de perturbación.
 
Para muchas empresas del sector aeroespacial y de defensa —especialmente aquellas que forman parte de la cadena de suministro de servicios esenciales—, esto puede traducirse en obligaciones concretas, plazos exigentes y sanciones relevantes si no adoptan las medidas adecuadas.