Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Aumentar la resiliencia de las entidades críticas

SÍNTESIS DEL DOCUMENTO:

Directiva 2022/2557 relativa a la resiliencia de las entidades críticas

¿CUÁL ES EL OBJETIVO DE ESTA DIRECTIVA?

La Directiva tiene por objeto:

  • reducir la vulnerabilidad y reforzar la resiliencia1 física de entidades críticas de la Unión Europea (UE) a fin de garantizar la prestación sin obstáculos de servicios esenciales para la economía y la sociedad en su conjunto;
  • aumentar la resiliencia de las entidades críticas que prestan estos servicios.

PUNTOS CLAVE

Tras una evaluación de riesgos, los Estados miembros de la UE deben identificar las entidades críticas que prestan servicios esenciales para el mantenimiento de funciones fundamentales para la sociedad, la economía, la salud pública y la seguridad o el medio ambiente, y en las que un incidente tendría efectos perturbadores significativos sobre dichos servicios esenciales. Se aplica a entidades de los siguientes sectores:

  • la energía, incluida la electricidad, la calefacción urbana, el petróleo, el gas y los operadores del hidrógeno;
  • el transporte aéreo, ferroviario, marítimo, fluvial y por carretera, incluido el transporte público;
  • la banca, que también está sujeta al Reglamento (UE) 2022/2554 (el Reglamento sobre la resiliencia operativa digital del sector financiero, véase la síntesis);
  • la infraestructura de los mercados financieros, incluidos los centros de negociación, también sujeta al Reglamento sobre la resiliencia operativa digital del sector financiero;
  • la salud, incluidos los profesionales sanitarios, los fabricantes de productos farmacéuticos básicos y productos sanitarios esenciales, así como las personas encargadas de la investigación y del desarrollo de medicamentos;
  • los proveedores y distribuidores de agua potable;
  • la eliminación y el tratamiento de aguas residuales;
  • las infraestructuras digitales, incluidos los servicios de comunicaciones electrónicas y los centros de datos, que también están sujetos a la Directiva (UE) 2022/2555 (véase la síntesis);
  • las entidades de la administración pública a nivel del Gobierno central, a excepción de la seguridad nacional, la seguridad pública, la defensa y las fuerzas del orden;
  • los operadores espaciales de infraestructuras terrestres; y
  • las empresas alimentarias que se dedican exclusivamente a la logística y a la distribución al por mayor, así como a la producción y transformación industriales a gran escala.

Cabe señalar que algunas partes de la Directiva no se aplican a las entidades de los sectores de la banca, de la infraestructura de los mercados financieros ni de las infraestructuras digitales.

Cada Estado miembro debe:

  • adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de los riesgos;
  • tener en cuenta los resultados de las evaluaciones de riesgos, identificar las entidades que dependen de las infraestructuras críticas para prestar servicios esenciales a la sociedad, a la economía, a la salud pública, a la seguridad o al medio ambiente;
  • apoyar a las entidades críticas identificadas en la mejora de su resiliencia, por ejemplo, con material orientativo, ejercicios, asesoramiento y formación;
  • garantizar que las autoridades nacionales tengan las competencias, los recursos y los medios necesarios para llevar a cabo sus tareas de supervisión, incluida la realización de inspecciones «in situ» de las entidades críticas y la introducción de sanciones por incumplimiento como parte de un mecanismo de aplicación;
  • especificar las condiciones en las que una entidad crítica puede presentar solicitudes de verificación de antecedentes del personal que desempeña funciones sensibles.

Los Estados miembros deben identificar las entidades críticas de los sectores y subsectores que figuran en el anexo de la Directiva a más tardar el .

Las entidades críticas deben:

  • llevar a cabo evaluaciones de riesgos propias con el fin de identificar los riesgos que podrían afectar a su capacidad para prestar servicios esenciales;
  • adoptar medidas técnicas, de seguridad y organizativas para mejorar su resiliencia;
  • notificar incidentes perturbadores significativos a las autoridades nacionales.

Si las entidades críticas prestan servicios esenciales en o a seis o más Estados miembros, pueden beneficiarse de un asesoramiento suplementario en forma de misiones consultivas que evalúen la evaluación de riesgos y las medidas de mejora de la resiliencia que ha puesto en marcha la entidad.

Acto delegado

La Comisión Europea ha adoptado el Reglamento Delegado (UE) 2023/2450, por el que se establece una lista no exhaustiva de servicios esenciales en los sectores y subsectores mencionados. Las autoridades competentes de los Estados miembros utilizarán esta lista para llevar a cabo una evaluación de riesgos, y la evaluación de riesgos se utilizará posteriormente para identificar a las entidades críticas.

El Grupo de Resiliencia de las Entidades Críticas facilita la cooperación entre los Estados miembros, incluido el intercambio de información y de buenas prácticas.

La Comisión brinda apoyo, en particular sobre los riesgos intersectoriales, las mejores prácticas, las metodologías, la formación transfronteriza y los ejercicios para probar la resiliencia de las entidades críticas.

¿DESDE CUÁNDO ESTÁN EN VIGOR ESTAS NORMAS?

La Directiva debe estar transpuesta a la legislación nacional a más tardar el . Las normas deben aplicarse a partir del .

ANTECEDENTES

La Estrategia de la UE para una Unión de la Seguridad y la Agenda de Lucha contra el Terrorismo de la Comisión destacan la importancia de garantizar la resiliencia de las entidades críticas ante riesgos físicos y digitales.

La presente Directiva forma parte de un paquete de medidas legislativas destinadas a mejorar la capacidad de respuesta ante incidentes y la resiliencia de entidades públicas y privadas de la UE en los ámbitos de la ciberseguridad y la protección de infraestructuras críticas.

En enero de 2023, el Consejo también emitió una recomendación sobre un enfoque coordinado a escala de la UE para reforzar la resiliencia de las infraestructuras críticas.

Para más información, véanse:

TÉRMINOS CLAVE

  1. Resiliencia. La capacidad de prevenir, proteger, responder, resistir, mitigar, absorber, acoger y recuperarse de incidentes, que pueden ser causados, entre otras cosas, por catástrofes naturales, como emergencias de salud pública o amenazas antropogénicas, como el terrorismo, el sabotaje o las amenazas híbridas. Las amenazas híbridas se producen cuando los agentes, ya sean estatales o no, tratan de explotar las vulnerabilidades de las infraestructuras críticas mediante una combinación coordinada de medidas (diplomáticas, militares, económicas, tecnológicas) al tiempo que permanecen por debajo del umbral de la guerra formal, por ejemplo, campañas de desinformación masiva que obstaculizan el proceso democrático en las elecciones.

DOCUMENTO PRINCIPAL

Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de , relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de , pp. 164-198).

última actualización

Top