La Comisión Nacional de los Mercados y la Competencia (CNMC) aprobó el pasado 15 de marzo el listado provisional de entidades consideradas de impacto alto (1.000 MW) o impacto crítico (3.000 MW) en materia de ciberseguridad para los flujos transfronterizos de electricidad.
Estas instalaciones ganan ahora especial importancia dentro de la investigación que mantiene abierta el Gobierno. Según ha podido saber este diario, el grupo de trabajo que se ha constituido para llevar a cabo el análisis cuenta con representantes del Centro Nacional de Inteligencia (CNI), del Instituto Nacional de Ciberseguridad (INCIBE) y del Centro Criptológico Nacional. Todos ellos están llevando a cabo inspecciones presenciales en instalaciones de Red Eléctrica, Endesa, Iberdrola y centros de control como el de Ignis y otros para verificar si se detectaron indicios de amenazas o vulneraciones de seguridad.
El listado, adoptado por la Sala de Supervisión Regulatoria, se basa en el Reglamento Delegado (UE) 2024/1366, que desarrolla el marco común europeo para la ciberseguridad del sistema eléctrico, especialmente en su dimensión transnacional. No obstante, apenas unas semanas después, el pasado 30 de abril, justo después del apagón, la Sala de Supervisión regulatoria volvió al asunto y aprobó un acuerdo adicional relativo a esta norma.
La medida forma parte del esfuerzo de la Unión Europea por blindar las infraestructuras críticas del sistema energético frente a amenazas cibernéticas en un contexto de creciente digitalización, electrificación y riesgos geopolíticos.
El Reglamento Delegado (UE) 2024/1366, aprobado por la Comisión Europea el 11 de marzo de 2024, completa el Reglamento (UE) 2019/943 sobre el mercado interior de la electricidad y establece un código de red sectorial específico sobre ciberseguridad. Su artículo 48 obligaba a los Estados miembros a identificar provisionalmente a las entidades cuya operación pudiera tener un efecto significativo en la seguridad del sistema eléctrico europeo.
En el caso de España, la CNMC, como autoridad reguladora designada conforme a la Directiva (UE) 2019/944, ha asumido estas funciones de forma transitoria, hasta que se establezca una autoridad competente permanente para esta materia.
Con base en la metodología europea definida por ENTSO-E y EUDSO-Entity —organismos que agrupan a los gestores de redes de transporte y distribución eléctricos de Europa—, la CNMC ha aplicado en España los umbrales de potencia de 1.000 y 3.000 MW.
Además, se han incluido por su papel sistémico al gestor de la red de transporte (REE), al operador del mercado eléctrico (OMIE, como NEMO designado) y a los 36 centros de control de generación, que pueden ser vulnerables a ciberataques con consecuencias críticas.
El proceso arrancó el pasado septiembre con el envío por parte de la CNMC de la normativa nacional pertinente a las entidades europeas. En febrero de este año, Red Eléctrica (REE), como operador del sistema, remitió los datos técnicos sobre capacidad y consumo de los distintos agentes.
El 13 de febrero se notificó a las entidades afectadas su inclusión provisional en el listado, abriéndose un trámite de audiencia de diez días. Durante ese periodo, siete entidades presentaron alegaciones, algunas de las cuales conllevaron actualizaciones o correcciones de datos que han sido incorporadas a la versión final del listado provisional.
El listado aprobado —cuyo contenido es confidencial por razones de seguridad nacional y protección de infraestructuras críticas— podrá ser revisado en el futuro conforme se actualicen los datos de potencia o se desarrollen las metodologías definitivas a escala comunitaria, previstas también en el reglamento europeo.
Este acuerdo de la CNMC agota la vía administrativa, pero puede ser recurrido ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional en el plazo de dos meses.
El Ejecutivo insiste en mantener las dos vías abiertas por las advertencias recibidas a lo largo de los últimos meses de los diversos servicios de seguridad europeos, aunque los responsables de Red Eléctrica descartaron esta posibilidad desde las primeras horas.
