La resiliencia de las redes de comunicaciones se ha colado de lleno en la agenda política, empresarial y también en las conversaciones del día a día. Apagones eléctricos, DANAs, erupciones volcánicas o pandemias han demostrado que, cuando las telecomunicaciones fallan, prácticamente todo se detiene: servicios públicos, actividad económica, emergencias y hasta la comunicación más básica entre personas.
En este contexto, el Ministerio para la Transformación Digital y de la Función Pública ha impulsado un borrador de Real Decreto sobre seguridad y resiliencia de redes y servicios de comunicaciones electrónicas, así como de determinadas infraestructuras digitales. Este texto, ahora en fase de consulta y audiencia pública, diseña un marco legal muy detallado para reforzar la seguridad, garantizar la continuidad del servicio y minimizar el impacto de los incidentes sobre los usuarios, apoyándose en obligaciones exigentes para operadores y gestores de infraestructuras.
Por qué la resiliencia de las redes se ha convertido en una prioridad
En los últimos años, una serie de episodios críticos como la pandemia de la COVID‑19, la erupción del volcán de La Palma, la DANA que afectó a la Comunidad Valenciana en 2024 o el apagón eléctrico de abril han puesto contra las cuerdas a las infraestructuras de telecomunicaciones. En todos ellos se evidenció lo mismo: sin comunicaciones fiables, como ocurre en caídas de servicios en la nube, la gestión de la emergencia se complica enormemente.
Estos sucesos han dejado claro que las redes, los servicios de comunicaciones electrónicas y las infraestructuras digitales asociadas no son un lujo, sino un activo esencial para el funcionamiento del país en situaciones de crisis. De ahí que el Gobierno haya decidido calificarlas formalmente como instalaciones y servicios de carácter esencial cuando se declara una emergencia.
Esta calificación implica que, ante un incidente grave, todas las administraciones públicas y las Fuerzas y Cuerpos de Seguridad del Estado deben colaborar en la protección, mantenimiento y rápida recuperación de estas redes. Ya no se trata solo de un asunto “privado” de las operadoras, sino de una responsabilidad compartida donde entra en juego la seguridad nacional, la protección civil y la continuidad de los servicios básicos.
El proyecto de norma también surge para cubrir un hueco regulatorio: hasta ahora existían distintas obligaciones dispersas en materia de ciberseguridad, protección de infraestructuras críticas o gestión de emergencias, pero no había un marco unificado, actualizado y específico sobre seguridad y resiliencia de las redes de comunicaciones y de ciertas infraestructuras digitales estratégicas.
Ámbito del Real Decreto y quién queda afectado
El borrador de Real Decreto se dirige a un conjunto muy concreto de actores, empezando por los operadores de comunicaciones electrónicas que prestan servicios al público en España. Aquí entran las principales telecos (Telefónica, MasOrange, Vodafone, Digi, etc.), pero también otras empresas de menor tamaño que cumplan los criterios establecidos.
Además de los operadores de red, la norma alcanza a los responsables de infraestructuras digitales consideradas clave. Entre ellas se incluyen los cables submarinos que conectan España con otros países, los sistemas satelitales, los centros de datos y los puntos de intercambio de internet (IXP) que superen ciertos umbrales de relevancia.
En concreto, estarán sometidos a estas obligaciones quienes gestionen infraestructuras con más de 500.000 usuarios o con ingresos anuales superiores a 50 millones de euros. También se incorporan los operadores designados como críticos por la normativa de infraestructuras críticas o aquellos que presten servicios de emergencia, entre otros casos particulares que cumplan determinados requisitos.
Quedan explícitamente fuera del alcance del texto las redes vinculadas a Seguridad Nacional y Defensa, que se rigen por su propia regulación específica. Esta exclusión evita solapamientos con otros marcos normativos más sensibles.
Conviene subrayar que el Real Decreto no solo se fija en las grandes redes troncales o en las infraestructuras más visibles; su objetivo es que todo eslabón relevante de la cadena de comunicaciones electrónicas adopte medidas de seguridad y planes de continuidad alineados con la criticidad de sus instalaciones.
Planes de seguridad obligatorios y clasificación de instalaciones
Uno de los pilares centrales de la nueva normativa es la obligación de que los sujetos afectados elaboren un Plan General de Seguridad y, además, diversos planes específicos adaptados a las características de cada red, servicio y tipo de incidente al que se puedan enfrentar.
El Plan General de Seguridad debe incluir, como mínimo, un análisis sistemático de riesgos que contemple amenazas naturales (fenómenos meteorológicos extremos, inundaciones, incendios, terremotos), problemas técnicos (fallos masivos, errores de configuración, degradación de equipos) y amenazas intencionadas (ciberataques, sabotajes, intrusiones en infraestructuras físicas).
A partir de ese análisis, el operador deberá definir las medidas prioritarias de prevención, protección, detección y respuesta. Esto abarca desde el diseño de arquitecturas redundantes y la diversificación de rutas de transmisión, hasta protocolos de actuación en caso de apagones, planes de comunicación interna y externa, y procedimientos de coordinación con autoridades públicas.
Además del plan general, se exigen planes específicos por tipo de red y servicio (por ejemplo, redes móviles, redes fijas, servicios mayoristas, tramos internacionales, etc.), y también por tipo de incidente (apagón eléctrico, fallo masivo de software, desastre natural localizado, ciberataque generalizado, etc.). Estos documentos deben bajarse al terreno y detallar responsabilidades, tiempos de reacción, recursos de respaldo disponibles y estrategias de priorización de tráfico.
Un elemento clave del esquema es la clasificación de todas las instalaciones de los operadores en diferentes niveles, en función de su criticidad y del impacto que tendría su caída prolongada. Aquel equipamiento cuya indisponibilidad pueda afectar gravemente a la prestación de servicios esenciales se situará en el nivel más alto, mientras que otras ubicaciones de menor impacto quedarán en niveles intermedios o básicos.
Exigencias de autonomía eléctrica y continuidad del servicio
La parte más exigente -y también la más polémica- del borrador de Real Decreto es la que establece la autonomía eléctrica mínima que deben garantizar las instalaciones en caso de corte prolongado del suministro. Aquí el texto es muy claro y marca tres escalones según el nivel de criticidad asignado.
Por un lado, las infraestructuras clasificadas como de primer nivel deben estar capacitadas para seguir funcionando, como mínimo, durante 24 horas sin alimentación de la red eléctrica convencional. Esto afecta a nodos centrales, elementos troncales y ubicaciones donde la desconexión tendría un impacto masivo en la conectividad.
En un segundo escalón se sitúan las instalaciones de nivel intermedio, que deberán garantizar la operatividad durante al menos 12 horas. Se trata de emplazamientos relevantes, pero cuyo impacto es más acotado geográficamente o en términos de servicios afectados.
Finalmente, el resto de instalaciones -las de nivel básico- tendrán que disponer de recursos para mantener el servicio un mínimo de cuatro horas de autonomía eléctrica. Aunque el umbral es menor, sigue siendo un salto importante respecto a la situación actual en muchos emplazamientos, especialmente en entornos urbanos densos.
En el ámbito específico de las redes móviles, el decreto introduce una obligación muy concreta: esa autonomía de cuatro horas debe ser suficiente para mantener la cobertura de comunicaciones para al menos el 85% de la población. Esto no significa que cada antena individual tenga que llegar a ese umbral por sí sola, sino que el conjunto de la red debe estar dimensionado para que, durante ese periodo, la inmensa mayoría de la ciudadanía siga teniendo acceso al servicio, incluyendo las llamadas al número de emergencias 112.
Para alcanzar este objetivo, cada operador tendrá margen para diseñar su propia estrategia de priorización tecnológica. Podrá, por ejemplo, reforzar la autonomía de emplazamientos clave, dar prioridad a la voz frente a los datos, concentrar recursos en zonas densamente pobladas o en infraestructuras especialmente sensibles (hospitales, centros de coordinación de emergencias, instalaciones críticas, etc.). Lo importante es que el resultado global cumpla con el requisito de cobertura y continuidad.
Costes estimados, debate con el sector y retos de despliegue
La memoria que acompaña al borrador del Real Decreto estima que el coste total de implantar las medidas de resiliencia y seguridad -fundamentalmente las relativas a refuerzos de autonomía eléctrica- se situará entre 51 y 73 millones de euros para el conjunto de las redes de comunicaciones móviles.
Según los cálculos oficiales, alrededor de un 30% de los aproximadamente 10.400 emplazamientos de red necesarios para garantizar la cobertura al 85% de la población ya disponen de baterías o grupos electrógenos capaces de sostener el servicio durante cuatro horas. Esto dejaría en unos 7.280 los emplazamientos que habría que reforzar con nuevas soluciones de respaldo.
Tomando como referencia una inversión media de 7.000 euros por emplazamiento -incluyendo un descuento por volumen cercano al 30%-, el Gobierno concluye que el coste agregado se movería en esa horquilla de 50,96 a 72,8 millones de euros. Desde la administración se insiste en que se trata de una cifra proporcional y razonable, sobre todo si se compara con el impacto social y económico que tiene una caída generalizada de las comunicaciones.
Sin embargo, fuentes del propio sector de las telecomunicaciones sostienen que la factura real podría ser muy superior, situándose fácilmente en varios cientos de millones de euros. Las empresas argumentan que la estimación oficial infravalora la complejidad técnica y urbanística de muchos despliegues, especialmente en grandes ciudades donde la mayoría de antenas se instalan en azoteas de edificios.
En estos contextos urbanos, la instalación de baterías de gran capacidad o grupos electrógenos plantea problemas de espacio, sobrepeso estructural y trámites con comunidades de propietarios. Muchas cubiertas no están preparadas para soportar el incremento de carga que suponen estos equipos, lo que obliga a acometer obras de refuerzo o a buscar soluciones alternativas igual o más caras.
A ello se suma que las empresas propietarias de torres (Cellnex, Vantage Towers, Totem, American Tower, entre otras) no asumirán por sí solas la inversión si los contratos con los operadores no garantizan una rentabilidad que compense el gasto. Al final, buena parte de ese esfuerzo económico acabará repercutiendo en los balances de las telecos, ya de por sí tensionados por la fuerte competencia, la presión sobre los precios y la necesidad de seguir invirtiendo en capacidad, 5G y nuevas funcionalidades.
Desde la perspectiva del Estado, el Gobierno subraya que el impacto presupuestario directo será prácticamente nulo, ya que las tareas de supervisión, coordinación y respuesta se apoyarán en estructuras y organismos ya existentes. Se admite, eso sí, la posibilidad de costes marginales ligados a herramientas de gestión de incidentes, elaboración de guías técnicas o campañas de auditoría, pero sin comprometer nuevos gastos significativos salvo que, en el futuro, pudiera habilitarse algún programa de cofinanciación o ayudas específicas.
Centros 112, sistemas de alerta pública y servicios de emergencia
Más allá de la conectividad general, el texto dedica un apartado especial a las comunicaciones vinculadas a los servicios de emergencia, con especial énfasis en los centros que gestionan el número 112 y en los sistemas de alertas públicas a la población.
Estos centros de coordinación de emergencias, así como los operadores que les proporcionan conectividad, estarán obligados a elaborar sus propios Planes de Seguridad, alineados con el Plan General de Seguridad del operador pero con un enfoque muy específico en la continuidad de las comunicaciones en situaciones límite.
El objetivo es que, incluso en escenarios extremos como grandes apagones, catástrofes naturales o incidentes simultáneos en distintos puntos del país, el número 112 y los sistemas de aviso masivo a la ciudadanía sigan operativos. La experiencia reciente ha mostrado que, sin estas comunicaciones, la capacidad de los servicios de protección civil, policía, bomberos o emergencias sanitarias se ve seriamente comprometida.
La norma persigue que tanto los centros 112 como las redes que los soportan cuenten con redundancias, rutas alternativas y autonomía energética suficiente, evitando puntos únicos de fallo y reduciendo al mínimo el tiempo de inactividad. También se pretende reforzar los mecanismos de coordinación entre estos centros, los operadores y las autoridades nacionales y autonómicas con competencias en emergencia.
En paralelo, se incluyen disposiciones orientadas a garantizar que los sistemas de alertas públicas -por ejemplo, los mensajes masivos a móviles en caso de catástrofe inminente- mantengan su operatividad en las mismas condiciones exigentes que se piden para el resto de servicios críticos.
Régimen de notificación de incidentes y clasificación de su gravedad
Otro bloque importante del Real Decreto es el relativo al procedimiento de notificación de incidentes de seguridad y continuidad. La idea es que las autoridades dispongan de información fiable y actualizada en el menor tiempo posible para poder coordinar respuestas eficaces.
En primer lugar, se exige a los operadores la emisión de una notificación inicial en un plazo máximo de una hora desde el momento en que se produce un incidente relevante. Esta comunicación temprana no tiene por qué contener todos los detalles técnicos, pero sí debe aportar información suficiente sobre el alcance preliminar, servicios afectados y posibles causas.
A partir de ahí, deberán remitirse notificaciones intermedias periódicas que vayan actualizando el estado de la incidencia, los avances en las labores de recuperación y cualquier cambio significativo en el impacto sobre los usuarios. El ritmo de estas comunicaciones se adaptará a la magnitud y evolución del suceso.
Una vez resuelto el incidente, se enviará una notificación final que cierre formalmente el ciclo informativo, y en un plazo posterior se tendrá que elaborar un informe detallado que analice en profundidad las causas raíz, los fallos de diseño o de operación que hayan podido contribuir, el impacto real en términos de usuarios y servicios, y las medidas correctoras que se van a introducir para evitar una repetición.
El decreto introduce, además, un sistema de clasificación de incidentes en “significativos” o “menores” en función de criterios objetivos: número de usuarios afectados, duración de la interrupción, ámbito geográfico impactado y tipo de servicio comprometido. Esta clasificación ayudará a priorizar recursos, a activar protocolos específicos y a facilitar la coordinación con otros organismos nacionales y europeos.
Supervisión, coordinación institucional y nueva Mesa de seguridad
La Secretaría de Estado de Telecomunicaciones e Infraestructuras Digitales se erige en la autoridad responsable de supervisar el cumplimiento de todas las obligaciones contempladas en el Real Decreto. Entre sus funciones se incluyen la recepción y análisis de las notificaciones de incidentes, la revisión de los planes de seguridad y la realización de controles o auditorías.
Este organismo será también el encargado de coordinar las actuaciones con otras administraciones, tanto a nivel estatal como autonómico, y de articular la colaboración con entidades europeas e internacionales que trabajen en materia de seguridad de redes, ciberresiliencia o protección de infraestructuras críticas.
El texto prevé la creación de una Mesa de coordinación de seguridad y resiliencia de redes y servicios de comunicaciones electrónicas. Este foro pretende funcionar como espacio permanente de intercambio de información, debate técnico y seguimiento de la implementación de las medidas previstas.
En esta Mesa podrán participar representantes de operadores, responsables de infraestructuras, autoridades reguladoras, cuerpos de seguridad y otros actores clave, con la idea de promover ejercicios de simulación, compartir buenas prácticas y analizar incidentes relevantes que permitan extraer lecciones de cara al futuro.
La existencia de este órgano colegiado ha sido, además, una reivindicación recurrente del propio sector de las telecomunicaciones, que reclamaba un canal estable y estructurado de interlocución con la administración para tratar todo lo relacionado con la seguridad y la continuidad del servicio.
Proceso de consulta y audiencia pública del proyecto normativo
Antes de llegar a su aprobación definitiva, el proyecto de Real Decreto se somete a un doble proceso de participación pública, conforme a lo previsto en la legislación general sobre procedimiento administrativo y elaboración de normas.
En primer lugar, se abrió una consulta pública previa, cuyo objetivo era recabar opiniones iniciales de operadores, ciudadanos y cualquier parte interesada sobre la necesidad y oportunidad de desarrollar una regulación específica en materia de seguridad y resiliencia de las redes de comunicaciones electrónicas y ciertas infraestructuras digitales.
En esta consulta, las personas y entidades podían remitir sus aportaciones a la dirección de correo consultapublica.normasteleco@digital.gob.es, siempre que se identificasen adecuadamente y centrasen sus comentarios en la justificación, alcance y contenido general de la futura norma. Se advertía, además, de que las contribuciones serían susceptibles de publicación, salvo aquellas partes marcadas expresamente como confidenciales.
Superada esa fase inicial, el texto del borrador se ha publicado para audiencia pública durante un periodo que se extiende hasta el 8 de enero de 2026. En este tramo, se invita de nuevo a operadores, asociaciones, empresas y ciudadanos a formular observaciones más concretas sobre los artículos propuestos, sus obligaciones específicas y su viabilidad práctica.
Las alegaciones en esta fase deben enviarse a la dirección electrónica audiencia.normasteleco@digital.gob.es, indicándose de forma clara la identidad del remitente y limitándose a valorar la necesidad, la pertinencia o el contenido del texto sometido a consulta. Con ello se persigue que el resultado final sea una norma técnicamente sólida, ajustada a la realidad del sector y alineada con los estándares europeos en materia de ciberseguridad y resiliencia de infraestructuras críticas.
Todo este entramado normativo y procedimental persigue que, ante futuras crisis -ya vengan de la mano de apagones eléctricos, fenómenos meteorológicos extremos, fallos técnicos o ciberataques de gran escala-, el país cuente con redes y servicios de comunicaciones mucho más robustos, con operadores obligados a planificar y a invertir en resiliencia, y con unas administraciones mejor conectadas, coordinadas y preparadas para proteger unas infraestructuras que se han convertido, sin exagerar, en el sistema nervioso de la sociedad digital.
