Política de resiliencia operativa

Iberdrola garantiza una respuesta consistente, planificada y coordinada ante circunstancias disruptivas o de crisis que pueden afectar al negocio del Grupo

Política de resiliencia operativa
Política de resiliencia operativa

Política de resiliencia operativa

  

16 de junio de 2026

El Consejo de Administración de IBERDROLA, S.A. (la “Sociedad”) tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad de la Sociedad y, específicamente, de aprobar y actualizar las políticas, las cuales contienen las pautas que rigen la actuación de la Sociedad y, además, en lo que sea de aplicación, informan las políticas que, en ejercicio de su autonomía de la voluntad, decidan aprobar las sociedades integradas en el grupo cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”).

En el ejercicio de estas competencias y en el marco de la normativa legal, de los Estatutos Sociales y del Propósito y Valores del Grupo Iberdrola, el Consejo de Administración aprueba esta Política de resiliencia operativa (la “Política”) que respeta, desarrolla y adapta, en relación con la Sociedad, los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola.

A través de esta Política, la Sociedad constata, como proveedor de servicios esenciales y como titular de infraestructuras críticas, su firme vinculación con la excelencia en materia de continuidad del negocio y de la actividad.

1. Ámbito de aplicación

Esta Política es de aplicación a la Sociedad. Sin perjuicio de lo cual, incluye principios básicos que complementan, en materia de la cadena de valor sostenible y, en particular, de resiliencia operativa, los contenidos en los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola y, en esta medida, deben informar la actuación y los desarrollos normativos que, en el ejercicio de sus competencias y al amparo de su autonomía de la voluntad, lleven a cabo las demás sociedades del Grupo en esta materia.

En la medida en que formen parte del Grupo sociedades subholding cotizadas, ellas y sus filiales, al amparo de su propio marco especial de autonomía reforzada, podrán establecer principios y normas que deberán tener un contenido conforme a los principios de esta Política.

Estos principios deberán informar también, en lo que proceda, la actuación de las entidades de naturaleza fundacional vinculadas al Grupo.

La Sociedad promoverá, igualmente, en aquellas otras compañías en las que participe y que no formen parte del Grupo, así como en las joint ventures, uniones temporales de empresas y otras entidades en las que asuma la gestión, el alineamiento de su normativa con los principios básicos en materia de la cadena de valor sostenible y, en particular, de resiliencia operativa contenidos en esta Política.

2. Finalidad

La finalidad de esta Política es establecer los principios de actuación en materia de resiliencia operativa para disponer de las capacidades adecuadas para afrontar de un modo robusto, consistente, planificado y coordinado las situaciones imprevistas de naturaleza adversa, internas o externas, que puedan suponer una perturbación o alteración significativa en la operativa normal de la Sociedad y, en la medida que resulte de aplicación, en las demás compañías del Grupo. La citada respuesta tendrá por objeto minimizar el impacto o efecto negativo de tales eventos en la medida de lo posible, manteniendo las operaciones y los procesos prioritarios en unos niveles previamente definidos, recuperando una situación de estabilidad en el plazo más breve posible y extrayendo conclusiones que permitan reforzar la capacidad de adaptación y mejora frente a eventos futuros.

Además, la Política recoge los principios que debe seguir el modelo de resiliencia operativa de la Sociedad y de las demás compañías del Grupo (el “Modelo de resiliencia operativa”).

La Sociedad, como proveedor de servicios esenciales y, en su caso, titular de infraestructuras críticas, desarrollará sus actuaciones en materia de resiliencia operativa de conformidad con la normativa aplicable, con el Sistema de gobernanza y sostenibilidad y con las Directrices y límites de riesgos que resulten aplicables.

3. Principios básicos de actuación

La Sociedad asume y promueve los siguientes principios básicos de actuación que deben presidir sus actividades en materia de resiliencia operativa:

  1. Evaluar e identificar periódicamente los procesos de negocio prioritarios para todas las organizaciones, junto con sus recursos asociados y sus requisitos de resiliencia operativa, con base en criterios homogéneos, con objeto de preservarlos frente a las situaciones adversas que puedan afectarles.
  2. Disponer de las capacidades adecuadas de respuesta y de gestión de crisis para afrontar de un modo robusto las situaciones adversas y de crisis que puedan afectar a las operaciones prioritarias de la Sociedad, así como para gestionar adecuadamente los riesgos de resiliencia, de conformidad con la Política de seguridad, con las Bases generales de control y gestión de riesgos del Grupo Iberdrola y con las Directrices y límites de riesgos de seguridad y resiliencia.
  3. Revisar, actualizar y probar periódicamente los planes de respuesta y de gestión de crisis con la finalidad de verificar su eficacia y su vigencia, así como identificar deficiencias y oportunidades de mejora y extraer lecciones aprendidas.
  4. Definir e implementar, a través del Modelo de resiliencia operativa, una práctica formal, recurrente y medible que establezca, para cada nivel de la organización, las capacidades adecuadas de resiliencia operativa, así como los roles, las responsabilidades y los recursos para implementar dichas capacidades, de acuerdo con estándares de mercado y las mejores prácticas de reconocimiento general en la materia.
  5. Evaluar y supervisar de forma periódica el nivel de implantación y efectividad del Modelo de resiliencia operativa, identificando sus deficiencias y oportunidades, y promover su mejora continua.
  6. Promover un nivel adecuado de formación, capacitación y concienciación en todos los niveles de la organización en el ámbito de la resiliencia operativa.
  7. Mantener una adecuada coordinación entre las direcciones de las sociedades del Grupo que tengan atribuidas competencias en materia de resiliencia operativa, riesgos y aseguramiento interno.
  8. Vigilar periódicamente el contexto interno y externo, incluyendo la evolución de amenazas, vulnerabilidades, dependencias críticas, capacidades internas y cambios tecnológicos y regulatorios, sociales, económicos o competitivos que puedan afectar a la resiliencia operativa.
  9. Documentar los incidentes relevantes, pruebas y ejercicios de simulación, evaluar las causas e impactos de los incidentes, extraer lecciones aprendidas y definir acciones correctoras para todo ello.
  10. Identificar las partes interesadas relevantes en materia de resiliencia operativa y considerar sus necesidades, expectativas y requisitos, de conformidad con lo establecido en la Política de relaciones con los Grupos de interés y en el Modelo de resiliencia operativa.
  11. Asignar recursos adecuados para ejercer las funciones y las responsabilidades establecidas en el Modelo de resiliencia operativa y en los planes de resiliencia operativa.
  12. Promover la integración de la resiliencia operativa en las iniciativas de la Sociedad desde sus fases iniciales y de diseño y por defecto, de forma coordinada con la gestión de riesgos, la seguridad, la ciberseguridad y las tecnologías digitales.

4. Coordinación a nivel de Grupo: el Modelo de resiliencia operativa

La Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), revisará con carácter periódico el Modelo de resiliencia operativa, que ha sido elaborado conforme a los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola y a lo previsto en esta Política.

El Modelo de resiliencia operativa establecerá criterios y prácticas comunes de actuación, coordinación, seguimiento y supervisión, respetando en todo caso la autonomía societaria de las compañías del Grupo, que permitan dar respuesta a los principios de actuación incluidos en esta Política, definiendo los roles y las responsabilidades, así como las normas, los programas, las guías y los procedimientos necesarios para que las sociedades del Grupo dispongan de las aptitudes adecuadas para desarrollar la capacidad de resiliencia operativa de forma continuada, formal, homogénea, sistemática y medible, alineada con los estándares y las mejores prácticas de reconocimiento general en la materia.

El Modelo de resiliencia operativa permite a la Sociedad y a las demás compañías del Grupo, apoyar los objetivos estratégicos del Grupo y la imagen de marca, proteger su reputación y credibilidad, reducir los impactos de los eventos disruptivos, proteger la vida, la propiedad y el capital natural, así como mantener un control de los riesgos proactivo y eficiente y, a su vez, asegurar el cumplimiento, entre otros aspectos, de sus responsabilidades como proveedores de un servicio esencial como es el suministro eléctrico y, en su caso, en su condición de titulares de infraestructuras críticas.

Para ello, el Modelo de resiliencia operativa debe establecer, al menos, las siguientes actuaciones:

  1. Analizar de forma periódica las actividades y los procesos de las distintas áreas corporativas y de negocio y establecer su nivel de prioridad desde la perspectiva de la resiliencia operativa.
  2. Definir planes de respuesta ante situaciones adversas, que sean adecuados en función de su naturaleza y gravedad, incluyendo procedimientos generales de respuesta a incidentes, así como planes específicos de continuidad de negocio y de gestión de crisis, que establezcan las estructuras organizativas necesarias, los criterios y procedimientos a seguir, así como los recursos para ejecutarlos.
  3. Definir y ejecutar pruebas y ejercicios de simulación de los planes de respuesta, identificando deficiencias y oportunidades y elaborar conclusiones.
  4. Evaluar y supervisar de forma periódica el nivel de implantación y eficacia del Modelo de resiliencia operativa.
  5. Identificar los requisitos legales o regulatorios en el ámbito de la resiliencia operativa y validar su cobertura y cumplimiento.
  6. Establecer los mecanismos para la coordinación, seguimiento y supervisión de la implantación del Modelo de resiliencia operativa en las sociedades subholding, pudiendo constituir oficinas de resiliencia a esos niveles.

El Modelo de resiliencia operativa incorporará métricas e indicadores de seguimiento alineados con las Directrices y límites de riesgos de seguridad y resiliencia, incluyendo, cuando proceda, indicadores sobre evaluación de procesos, definición y prueba de planes, ejercicios de crisis, riesgos relevantes pendientes de mitigación e incidentes relevantes.

Sobre la base de lo establecido en el Modelo de resiliencia operativa, cada sociedad del Grupo elaborará sus respectivos planes de resiliencia operativa, que recogerán el detalle de las tareas a realizar en cada ejercicio, con objeto de desplegar, poner en práctica y ejecutar de manera efectiva el Modelo de resiliencia operativa, aplicándolo en cada uno de sus ámbitos para el alcance definido en cada caso.

Asimismo, el Comité de Seguridad, Resiliencia y Tecnologías Digitales (o el comité que, en cada momento, asuma sus facultades), se coordinará con los correspondientes comités de las sociedades subholding, o, en su defecto, con la Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades), para velar por la elaboración en cada sociedad del Grupo de sus respectivos planes de resiliencia operativa, así como por el seguimiento de la ejecución de dichos planes y de las prácticas y la gestión de los riesgos en materia de resiliencia operativa en sus respectivos ámbitos de competencia.

El Comité de Seguridad, Resiliencia y Tecnologías Digitales (o el comité que, en cada momento, asuma sus facultades), hará un seguimiento del estado del Modelo de resiliencia operativa y su grado de implementación a nivel de Grupo.

5. Implementación y seguimiento

Para la implementación y seguimiento de lo previsto en esta Política, así como para la elaboración, actualización y seguimiento del Modelo de resiliencia operativa, el Consejo de Administración cuenta con la Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), que establecerá un procedimiento de monitorización periódico y de reporte a los órganos de gobierno.

* * *

Esta Política fue aprobada inicialmente por el Consejo de Administración el 20 de febrero de 2024 y modificada por última vez el 16 de junio de 2026.

Descargar pdf
Descarga la Política de resiliencia operativa