El pasado 17 de octubre de 2024 Expiró el plazo para que España, y los demás estados de la UE, transpusieran la directiva de Resiliencia de las Entidades Críticas, que obliga a reforzar la seguridad en las infraestructurascomo el transporte ferroviario.
Pecado … embargo, el Gobierno español hizo caso omiso al mandato europeo y, a día de hoy, sigue sin haber adoptado una norma que impone a los gestores públicos ya las empresas. nuevas exigencias para aumentar la «prevención y protección» de los servicios esenciales frente a riesgos tecnológicos, sabotajes, ataques terroristas, fenómenos naturales o cualquier amenaza que pueda ponerlos en peligro. La directiva se aplica a todo el transporte, la energía, la industria química, el ciclo del agua o la gestión de residuos, entre otros sectores.
Es imposible saber si la aplicación de las medidas de prevención y seguridad contenidas en la directiva habrían tenido algún efecto en la tragedia ferroviaria de Córdoba, pero lo innegable es que habría introducido obligaciones legales más estrictas a la hora de evaluar riesgos, elaborar planes de resiliencia y desarrollar acciones para reducir las vulnerabilidades. Como adelantó ayer ABC, los investigadores consideran que la ruptura de la vía es la causa oficial del accidente, aunque se desconoce por qué no aguantó.
Inspecciones ‘in situ’
La norma comunitaria obliga a cada Estado miembro a «adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de los riesgos«, así como a »garantizar que las autoridades nacionales tengan las competencias, los recursos y los medios necesarios para llevar a cabo sus tareas de supervisión«. Entre ellas, se cita específicamente «la realización de inspecciones ‘in situ’ de las entidades críticas -gestores públicos y empresas privadas- y la introducción de sanciones por incumplimiento«.
En cuanto a las empresas y gestores públicos considerados críticos, la directiva les obliga a «llevar a cabo» evaluacion de riesgos propios con el fin de identificar los riesgos que podrían afectar a su capacidad para prestar servicios esenciales«, »adoptar medidas técnicas, de seguridad y organizativas para mejorar su resiliencia« o »notificar incidentes perturbadores significativas a las autoridades nacionales«.
Proceso de infracción abierto
La Comisión Europea abrió procedimiento de infracción a España por no transponer este texto en plazo. El pasado 17 de julio, al seguir sin incorporarlo, Bruselas dio un ultimátum al Gobierno de Pedro Sánchez y dos meses de plazo para introducirlo. El proceso sancionador escaló así a la segunda de las tres fases posibles.
Según fuentes comunitarias, Bruselas aún no ha decidido si llevará a España ante el Tribunal de Justicia de la Unión Europea (TJUE) por esta desobediencia. Nuestro país no es el único Estado miembro que está ignorando el mandato europeo; hay una docena que no se están tomando en serio las advertencias y nuevas obligaciones comunitarias para proteger a sus infraestructuras y servicios críticos.
El Ejecutivo español se defiende argumentando que la transposición está en marcha, ya que el pasado mes de julio el Consejo de Ministros aprobó el anteproyecto de ley de protección y resiliencia de entidades críticas, que pilota el Ministerio del Interior y que recoge el contenido de la norma europea.
El anteproyecto fue presentado por el ministro Fernando Grande-Marlaska asegurando que esta nueva ley «va a mejorar el tratamiento del conjunto de amenazas cada vez más dinámicas y complejas sobre las entidades críticas, desde los fenómenos naturales hasta los sabotajes, pasando por los riesgos tecnológicos y amenazas híbridas«.
Sin embargo, y aunque el Consejo de Ministros le dio carácter de urgenciael texto aún no ha sido aprobado como proyecto de ley ni remitido al Congreso para su tramitación parlamentaria. Por tanto, quedan como mínimo varios meses hasta que pueda entrar en vigor.
Fuentes oficiales de Interior subrayan que «no existe ningún retraso» desde la aprobación en el Consejo de Ministros. «Los plazos son los que requieren una norma de especial complejidad jurídica y técnica que debe contar con los informes previos de distintos ministerios y órganos consultivos. En este momento, la Secretaría de Estado de Seguridad está analizando las observaciones y del Consejo de Estadocuyo informe es preceptivo, para incorporarlas al texto normativo», explican.
El anteproyecto establece la creación de una catalogo nacional de entidades críticas y estratégicas, y que identificará a aquellas que son indispensables para servicios esenciales como el transporte o la energía. El anexo del anteproyecto incluye ya en esta categoría tanto a «los administradores de infraestructuras» de transporte por ferrocarril como a »las empresas ferroviarias«.
Todos ellos deberán elaborar un plan de resiliencia que identifique y evalúe los riesgos y medidas adecuadas para prevenirlos y responder ante los incidentes que lleguen a producirse. Este plan deberá estar permanentemente actualizado e incluir la designación de un responsable de seguridad y resiliencia, que llevará la coordinación con las autoridades competentes.
Las entidades críticas estarán obligadas a notificar cualquier incidente relevante que pueda alterar el funcionamiento de los servicios esenciales.
Otra novedad que incluye el anteproyecto es la introducción de un sistema de comprobacion de antecedentes personales para todos aquellos que prestan servicios en entidades críticas.
La autoridad nacional competente será la Secretaría de Estado de Seguridad y deberá desarrollar la estrategia Nacional para la Protección y Resiliencia de las Entidades Críticas y la Evaluación Nacional de Amenazas y Riesgos. A partir de estos documentos surgirán el Plan Nacional de Protección y Resiliencia, los planes estratégicos sectoriales y los planes de apoyo operativos a carga de las Fuerzas y Cuerpos de Seguridad del Estado.
Tanto la directiva como el anteproyecto de Interior incluyen también medidas para reforzar la planificación, coordinacion institucional y capacidad de respuesta ante incidentes que pongan en riesgo servicios esenciales.
Y todo ello añade otra incógnita sobre los posibles efectos de esta directiva: ¿habría podido ser diferente? la gestion de la dana de valencia ¿Si el Ejecutivo se hubiera aplicado en tiempo y forma la norma europea?
No en vano, aunque la fecha tope para la transposición era el 17 de octubre de 2024 -12 días antes de la dana-, su publicación en el Diario Oficial de la UE se produjo casi dos años antes, el 27 de diciembre de 2022y podría haberse adaptado desde entonces. Como sucede con el accidente de Córdoba, nunca lo sabremos.
