El Congreso tramita el Proyecto de Ley de protección y resiliencia de las entidades críticas (121/000088), que transpone en España la Directiva CER (UE) 2022/2557 y sustituye el enfoque tradicional de protección de infraestructuras críticas por un marco más amplio de resiliencia de entidades críticas. El proyecto fue presentado el 18 de marzo de 2026, calificado el 24 de marzo de 2026, y se encuentra en fase de enmiendas en la Comisión de Interior.

Qué ha cambiado

• El foco deja de estar solo en la infraestructura física y pasa a la entidad crítica en su conjunto, con obligaciones ligadas a prevención, protección, respuesta, resistencia, mitigación, adaptación y recuperación ante incidentes.  

• Las entidades críticas deberán contar con una evaluación de riesgos y un Plan de Resiliencia con medidas técnicas, organizativas, procedimentales y operativas, incluyendo expresamente reducción del riesgo de catástrofes, adaptación al cambio climático, protección física, protocolos de crisis, continuidad de negocio y cadenas de suministro alternativas.

Cuándo entra en vigor

El proyecto sigue en tramitación parlamentaria y, según su disposición final séptima, la ley entrará en vigor a los 20 días de su publicación en el BOE.  La norma requerirá desarrollo reglamentario posterior, que concretará el alcance operativo de algunas obligaciones (criterios de designación, contenidos de los planes y procedimientos de supervisión).

A qué clientes de banca puede afectar

Entre otros, a clientes de los sectores de energía —electricidad, sistemas urbanos de calefacción y refrigeración, petróleo y combustibles líquidos, gas natural y biometano, e hidrógeno—; transporte; sanidad; agua potable y aguas residuales; producción, transformación y distribución de alimentos; industria nuclear; instalaciones de investigación; industria química; y seguridad privada vinculada a servicios esenciales.

Qué implica para los bancos

• Para banca empresarial, esta norma crea una nueva conversación comercial y de riesgo con clientes de sectores estratégicos: ayudar a clientes a entender si pueden ser designados como entidad crítica, qué brechas tienen frente a la futura norma y qué inversiones deberían priorizar para llegar preparados.

• El proyecto convierte la resiliencia en una necesidad de CAPEX y OPEX regulatorio para múltiples clientes corporativos. Eso abre espacio para financiación ligada a upgrades de seguridad física, redundancias operativas, refuerzo de instalaciones, digitalización de procesos críticos, planes de continuidad, backup logístico y adaptación frente a riesgos climáticos o híbridos. Esta última frase es una inferencia de negocio apoyada en las obligaciones explícitas de evaluación de riesgos, resiliencia, continuidad y adaptación climática del proyecto.  

Qué recomendamos hacer en 2026

• Identificar carteras y clientes con mayor probabilidad de entrar en el perímetro: utilities, agua, residuos, transporte, salud, alimentación, química, hidrógeno, data centers e industria crítica.

• Diseñar una propuesta comercial de “resilience advisory + financing” para clientes afectados, combinando diagnóstico regulatorio, evaluación preliminar de brechas y financiación de inversiones prioritarias.

• Incorporar esta norma al diálogo sectorial con clientes junto con continuidad de negocio, riesgo físico climático, dependencia de proveedores críticos y seguridad de instalaciones. El propio proyecto exige que la evaluación de riesgos tenga en cuenta catástrofes naturales, amenazas híbridas, terrorismo, crimen organizado e interdependencias sectoriales y transfronterizas.

• Preparar materiales internos para red comercial y equipos de empresa

Cómo podemos ayudar desde Valora

• Mapeo de sectores y clientes potencialmente afectados dentro de la cartera del banco dentro del nuevo perímetro CER/PIC.
• Diseño de una oferta comercial para banca empresarial centrada en resiliencia regulatoria, continuidad de negocio y adaptación operativa.
• Estructuración de propuestas de financiación ligadas a inversiones en resiliencia y seguridad operativa.

• Apoyo en el asesoramiento no financiero a clientes: identificación como entidad crítica, elaboración de evaluaciones de riesgo, planes de resiliencia y acompañamiento en los procesos y requerimientos regulatorios asociados.

Abril 2026