Política de resiliencia operativa

Política de resiliencia operativa

25 de marzo de 2025

El Consejo de Administración de IBERDROLA, S.A. (la “Sociedad”) tiene atribuida la competencia de diseñar, evaluar y revisar con carácter permanente el Sistema de gobernanza y sostenibilidad de la Sociedad y, específicamente, de aprobar y actualizar las políticas, las cuales contienen las pautas que rigen la actuación de la Sociedad y, además, en lo que sea de aplicación, informan las políticas que, en ejercicio de su autonomía de la voluntad, decidan aprobar las sociedades integradas en el grupo cuya entidad dominante es, en el sentido establecido por la ley, la Sociedad (el “Grupo”).

En el ejercicio de estas competencias y en el marco de la normativa legal, de los Estatutos Sociales y del Propósito y Valores del Grupo Iberdrola, el Consejo de Administración aprueba esta Política de resiliencia operativa (la “Política”) que respeta, desarrolla y adapta, en relación con la Sociedad, los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola.

1. Ámbito de aplicación

Esta Política es de aplicación a la Sociedad. Sin perjuicio de lo cual, incluye principios básicos que complementan, en materia de la cadena de valor sostenible y, en particular, de resiliencia operativa, los contenidos en los Principios éticos y básicos de gobernanza y de sostenibilidad del Grupo Iberdrola y, en esta medida, deben informar la actuación y los desarrollos normativos que, en el ejercicio de sus competencias y al amparo de su autonomía de la voluntad, lleven a cabo las demás sociedades del Grupo en esta materia.

En la medida en que formen parte del Grupo sociedades subholding cotizadas, ellas y sus filiales, al amparo de su propio marco especial de autonomía reforzada, podrán establecer principios y normas que deberán tener un contenido conforme a los principios de esta Política.

Estos principios deberán informar también, en lo que proceda, la actuación de las entidades de naturaleza fundacional vinculadas al Grupo.

La Sociedad promoverá, igualmente, en aquellas otras compañías en las que participe y que no formen parte del Grupo, así como en las joint ventures, uniones temporales de empresas y otras entidades en las que asuma la gestión, el alineamiento de su normativa con los principios básicos en materia de la cadena de valor sostenible y, en particular, de resiliencia operativa contenidos en esta Política.

2. Finalidad

La finalidad de esta Política es establecer los principios de actuación en materia de resiliencia operativa, esto es, para dar una respuesta consistente, planificada y coordinada ante acontecimientos e incidentes disruptivos o de crisis, internos o externos, de cualquier naturaleza, que de una forma imprevista puedan suponer una perturbación significativa o una pérdida en la operativa normal de la Sociedad y, en la medida que resulte de aplicación, de las compañías del Grupo, con el propósito de mantener sus operaciones y procesos críticos de negocio y estructuras clave en unos niveles previamente fijados, y recuperar, en su caso, las capacidades operativas con el mínimo impacto y en el período más corto posible.

Además, la Política recoge los principios que debe seguir el modelo de resiliencia operativa de la Sociedad y de las demás compañías del Grupo (el “Modelo de resiliencia operativa”) y la Sociedad constata, como proveedor de servicios esenciales y como titular en su caso de infraestructuras críticas, su firme vinculación con la excelencia en materia de continuidad del negocio y de la actividad, asegurando, en todo momento, que las actuaciones en materia de resiliencia operativa sean plenamente conformes con la normativa aplicable y con el Sistema de gobernanza y sostenibilidad.

3. Principios básicos de actuación

La Sociedad asume y promueve los siguientes principios básicos de actuación que deben informar sus actividades en materia de resiliencia operativa:

a) Definir las estrategias y los planes de continuidad, velando por la continuidad de la capacidad operativa y reforzando la resiliencia, para minimizar el impacto de los incidentes disruptivos o de crisis que puedan afectar a la continuidad del negocio, siendo puestos periódicamente a prueba para mejorar y validar sus capacidades y respuesta.

b) Establecer un proceso de gestión integral para liderar, dirigir y supervisar las actuaciones de las sociedades del Grupo en respuesta a incidentes disruptivos o de crisis que puedan tener un impacto para la Sociedad o a nivel del Grupo en su conjunto.

c) Evaluar, en relación con el contexto externo e interno, incluyendo el entorno político, los aspectos sociales, económicos, legales y culturales, el contexto tecnológico y competitivo, las capacidades internas, los recursos y los procesos de toma de decisiones para hacer frente a incidentes disruptivos o de crisis.

d) Impulsar la mejora continua de los procesos midiendo, evaluando e informando sobre el desempeño y la eficacia de los resultados de los planes de resiliencia operativa de la Sociedad y a nivel del Grupo.

e) Asignar los recursos adecuados para ejercer las funciones y las responsabilidades que le correspondan, establecidas en el Modelo de resiliencia operativa y en los planes de resiliencia operativa.

f) Desarrollar, proporcionar y mejorar de manera continua la formación y la capacitación del personal asignado a las funciones definidas en el Modelo de resiliencia operativa.

g) Promover una cultura de resiliencia operativa y concienciación dentro del Grupo, mediante un programa integrado de formación actualizado y continuo.

h) Implementar, a través del Modelo de resiliencia operativa, un sistema de gestión formal, documentado y medible, que defina el marco de actuación de los planes de resiliencia operativa de las sociedades del Grupo, velando por la mejora continua, con el fin de lograr el cumplimiento de sus objetivos.

4. Coordinación a nivel de Grupo: el Modelo de resiliencia operativa

La Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), establecerá y revisará con carácter periódico un Modelo de resiliencia operativa, que será elaborado conforme a los Principios éticos y básicos de gobernanza y de sostenibilidaddel Grupo Iberdrola y a esta Política y en el que se definirán las metodologías, los procedimientos y las herramientas necesarias para que las sociedades del Grupo cuenten con las capacidades adecuadas de resiliencia operativa.

El Modelo de resiliencia operativa permite a la Sociedad y a las demás compañías del Grupo, asegurando el cumplimiento, entre otros aspectos, de sus responsabilidades como proveedores de un servicio esencial como es el suministro eléctrico y en su caso titulares de infraestructuras críticas, apoyar los objetivos estratégicos del Grupo y la imagen de marca, proteger su reputación y credibilidad, reducir los costes de las paralizaciones disruptivas, proteger la vida, la propiedad y el medioambiente, mejorar su capacidad para mantenerse efectivas durante las disrupciones y mantener un control de los riesgos proactivo y eficiente.

El Modelo de resiliencia operativa deberá incluir, al menos, los siguientes aspectos:

• Incorporar una descripción de la estructura organizativa, procedimientos y planificaciones relacionados con la resiliencia operativa y con la gestión de los incidentes disruptivos o de crisis y la recuperación tras ellos, así como la asignación de recursos y la atribución clara de funciones y responsabilidades a determinadas personas en este ámbito.
• Definir el conjunto de medidas y procedimientos necesarios para aumentar la resiliencia de las sociedades del Grupo, su alcance y prioridades.
• Evaluar los riesgos a los que están expuestas las Sociedades del el Grupo utilizando metodologías basadas en estándares y buenas prácticas de mercado, analizando los impactos potenciales en la operativa de negocio, y determinando con base en ello los procesos y actividades críticos para la continuidad de sus actividades, identificando las prioridades y estableciendo en cada caso los tiempos objetivo de recuperación.
• Describir los procesos que deberán utilizarse para identificar las partes interesadas que son relevantes para los planes de resiliencia operativa, sus necesidades y expectativas para determinar sus requisitos.
• Establecer los métodos de seguimiento y control, métricas de cumplimiento y análisis de resultados de la evaluación para la posterior aplicación de las acciones correctoras más oportunas, todo ello, manteniendo la adecuada coordinación con las direcciones correspondientes de las Sociedades del Grupo en materia de riesgos y aseguramiento interno.
• Regular la constitución de oficinas de resiliencia (u órganos que, en cada momento, asuman sus facultades) en la Sociedad y en las sociedades subholding, como mecanismo de coordinación y supervisión de la ejecución de los planes de resiliencia que se definan y, en el caso de la Sociedad, de la supervisión de la implantación efectiva del Modelo de resiliencia operativa a nivel de Grupo.

Partiendo del Modelo de resiliencia operativa, cada sociedad elaborará sus respectivos planes de resiliencia operativa, que recogerán el detalle de las tareas a realizar en cada ejercicio dentro de la Sociedad y de sus compañías dependientes, con objeto de desplegar, poner en práctica y ejecutar de manera efectiva el Modelo de resiliencia operativa, aplicándolo en cada uno de sus ámbitos para el alcance definido en cada caso.

Para ello, la Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades) de la Sociedad, con el apoyo de la oficina de resiliencia, coordinará con las direcciones corporativas y de los negocios la elaboración de los citados planes de resiliencia operativa en cada ámbito.

Asimismo, el Comité de Seguridad, Resiliencia y Tecnologías Digitales (o el comité que, en cada momento, asuma sus facultades), se coordinará con los correspondientes comités de las sociedades subholding o, en su defecto, con la Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades) para velar por la creación en cada sociedad del Grupo de sus respectivos planes de resiliencia operativa, así como de su seguimiento de la definición, revisión e implementación de sus respectivos planes de resiliencia y las prácticas y gestión de los riesgos en materia de resiliencia operativa en sus respectivos países o territorios y para los concretos negocios. El Comité de Seguridad, Resiliencia y Tecnologías Digitales (o el comité que, en cada momento, asuma sus facultades), hará un seguimiento del estado del Modelo de resiliencia operativa y su grado de implementación a nivel de Grupo.

5. Implementación y seguimiento

Para la implementación y seguimiento de lo previsto en esta Política, así como para la elaboración, actualización y seguimiento del Modelo de resilienciaoperativa, el Consejo de Administración cuenta con la Dirección de Seguridad y Resiliencia (o la dirección que, en cada momento, asuma sus facultades), a través del Comité de Seguridad, Resiliencia y Tecnologías Digitales (o del comité que, en cada momento, asuma sus facultades), que establecerá un procedimiento de monitorización periódico y de reporte a los órganos de gobierno.

* * *

Esta Política fue aprobada inicialmente por el Consejo de Administración el 20 de febrero de 2024 y modificada por última vez el 25 de marzo de 2025.