COMISIÓN EUROPEA

Bruselas, 16.12.2020

COM(2020) 829 final

2020/0365(COD)

Propuesta de

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativa a la resiliencia de las entidades críticas

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

EXPOSICIÓN DE MOTIVOS

1.CONTEXTO DE LA PROPUESTA

·Razones y objetivos de la propuesta

·Coherencia con las disposiciones vigentes en este ámbito

La presente propuesta refleja las prioridades de la Estrategia de la UE para una Unión de la Seguridad 11 de la Comisión, que aboga por un enfoque revisado de la resiliencia de las infraestructuras críticas que refleje mejor el panorama de riesgos actual y las previsiones para el futuro, las interdependencias cada vez más estrechas entre los distintos sectores y las relaciones cada vez más interdependientes entre las infraestructuras físicas y digitales.

La Directiva propuesta sustituye a la Directiva ICE, a la vez que tiene en cuenta y se basa en otros instrumentos existentes y previstos. La propuesta de Directiva representa un cambio considerable con respecto a la Directiva sobre las infraestructuras críticas europeas, que se aplica únicamente a los sectores de la energía y los transportes, se centra exclusivamente en las medidas de protección y establece un procedimiento para identificar y designar las ICE mediante el diálogo transfronterizo. En primer lugar, la Directiva propuesta tendría un ámbito de aplicación sectorial mucho más amplio, que abarcaría diez sectores, a saber, la energía, el transporte, la banca, la infraestructura del mercado financiero, la salud, el agua potable, las aguas residuales, la infraestructura digital, la administración pública y el espacio. En segundo lugar, la Directiva establece un procedimiento para que los Estados miembros identifiquen las entidades críticas utilizando criterios comunes, sobre la base de una evaluación nacional de riesgos. En tercer lugar, la propuesta establece obligaciones de los Estados miembros y las entidades críticas que estos identifiquen, sobre todo las que tengan una importancia europea particular, es decir, las entidades críticas que prestan servicios esenciales a un tercio o más de los Estados miembros que serían objeto de una supervisión específica.

Cuando proceda, la Comisión prestará apoyo a las autoridades competentes y a las entidades críticas en el cumplimiento de sus obligaciones en virtud de la Directiva. Además, el Grupo de Resiliencia de las Entidades Críticas, que es un grupo de expertos de la Comisión sujeto al marco horizontal aplicable a dichos grupos, asesoraría a la Comisión y fomentaría la cooperación estratégica y el intercambio de información. Por último, dado que las interdependencias no se detienen en las fronteras exteriores de la UE, también es necesario un compromiso con los países socios. La propuesta de Directiva prevé la posibilidad de tal cooperación, por ejemplo, en el ámbito de las evaluaciones de riesgos.

·Coherencia con otras políticas de la Unión

La Directiva propuesta tiene vínculos evidentes y es coherente con otras iniciativas sectoriales e intersectoriales de la UE relativas, entre otras cosas, a la protección contra el cambio climático, la protección civil, la inversión extranjera directa (IED), la ciberseguridad y el acervo en materia de servicios financieros. En particular, la propuesta está claramente alineada y establece estrechas sinergias con la propuesta de Directiva SRI 2, cuyo objetivo es aumentar la resiliencia de las tecnologías de la información y la comunicación (TIC) ante todos los riesgos posibles por parte de las «entidades esenciales» y las «entidades importantes» que alcancen umbrales específicos en un gran número de sectores. La presente propuesta de Directiva relativa a la resiliencia de las entidades críticas tiene por objeto garantizar que las autoridades competentes designadas en virtud de la presente Directiva y las designadas en virtud de la Directiva SRI 2 adopten medidas complementarias e intercambien información cuando sea necesario en relación con la ciberresiliencia y la resiliencia no cibernética, y que las entidades especialmente críticas de los sectores considerados «esenciales» con arreglo a la propuesta de Directiva SRI 2 también estén sujetas a obligaciones más generales de mejora de la resiliencia para hacer frente a los riesgos no cibernéticos. La seguridad física de las redes y los sistemas de información de las entidades del sector de las infraestructuras digitales se regula de forma exhaustiva en la propuesta de Directiva SRI 2 como parte de las obligaciones de estas entidades en materia de gestión de riesgos de ciberseguridad e información. Además, la propuesta se basa en el acervo en materia de servicios financieros, que establece requisitos generales para que las entidades financieras gestionen los riesgos operativos y garanticen la continuidad de las actividades. Por consiguiente, las entidades pertenecientes a los sectores de infraestructuras digitales, bancarias y financieras deben ser tratadas como entidades equivalentes a las entidades críticas en virtud de la presente Directiva a efectos de las obligaciones y actividades de los Estados miembros, mientras que la presente Directiva no impondría obligaciones adicionales a esas entidades.

La propuesta también tiene en cuenta otras iniciativas sectoriales e intersectoriales relativas, por ejemplo, a la protección civil, la reducción del riesgo de catástrofes y la adaptación al cambio climático. Además, la propuesta reconoce que, en determinados casos, la legislación de la UE vigente impone a las entidades la obligación de afrontar determinados riesgos mediante medidas de protección. En tales casos, por ejemplo, en materia de seguridad aérea o marítima, las entidades críticas deberán describir dichas medidas en sus planes de resiliencia. Además, la Directiva propuesta se entiende sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea (TFUE).

2.BASE JURÍDICA, SUBSIDIARIEDAD Y PROPORCIONALIDAD

·Base jurídica

·Subsidiariedad

Un marco legislativo común europeo en este ámbito se justifica por el carácter interdependiente y transfronterizo de las relaciones entre las operaciones de las infraestructuras críticas y sus resultados, es decir, los servicios esenciales. De hecho, un operador situado en un Estado miembro puede prestar servicios en otros Estados miembros o en toda la UE a través de redes estrechamente interrelacionadas. De ello se deduce que una perturbación que afecte a este operador podría tener efectos de gran alcance en otros sectores y más allá de las fronteras nacionales. Las posibles implicaciones paneuropeas de las perturbaciones exigen una actuación a escala de la UE. Además, las normas nacionales divergentes tienen un efecto negativo directo en el funcionamiento del mercado interior. Como ha demostrado la evaluación de impacto, muchos Estados miembros y partes interesadas del sector consideran necesario un enfoque europeo más común y coordinado para garantizar que las entidades sean suficientemente resilientes frente a distintos riesgos que, pese a las diferencias de un Estado miembro a otro, generan muchos retos comunes que no pueden afrontarse con medidas nacionales o de los operadores por sí solos.

·Proporcionalidad

La propuesta es proporcionada en relación con el objetivo general declarado de la iniciativa. Si bien las obligaciones de los Estados miembros y las entidades críticas pueden implicar en determinados casos una carga administrativa adicional, por ejemplo, cuando los Estados miembros necesiten desarrollar una estrategia nacional o cuando las entidades críticas deban aplicar determinadas medidas técnicas y organizativas, se prevé que sean, en general, de naturaleza limitada. A este respecto, cabe señalar que muchas entidades ya han adoptado algunas medidas de seguridad para proteger sus infraestructuras y garantizar la continuidad de las actividades.

·Elección del instrumento

La propuesta adopta la forma de una Directiva destinada a garantizar un enfoque más común de la resiliencia de las entidades críticas en una serie de sectores en toda la Unión. La propuesta establece obligaciones específicas para que las autoridades competentes identifiquen las entidades críticas sobre la base de criterios comunes y los resultados de la evaluación de riesgos. Con una Directiva es posible garantizar que los Estados miembros apliquen un enfoque uniforme para identificar las entidades críticas, teniendo en cuenta al mismo tiempo las especificidades nacionales, en particular los distintos niveles de exposición al riesgo y las interdependencias intersectoriales y transfronterizas.

3.RESULTADOS DE LAS EVALUACIONES EX POST, LAS CONSULTAS CON LAS PARTES INTERESADAS Y LAS EVALUACIONES DE IMPACTO

·Evaluaciones ex post / control de calidad de la legislación vigente

La Directiva relativa a las infraestructuras críticas europeas fue objeto en 2019 de una evaluación de su aplicación en términos de pertinencia, coherencia, eficacia, eficiencia, valor añadido de la UE y sostenibilidad 12 .

La evaluación llegó a la conclusión de que el contexto había cambiado considerablemente desde la entrada en vigor de la Directiva. A la vista de estos cambios, se consideró que la Directiva solo tenía una relevancia parcial. Aunque la evaluación concluyó que la Directiva era en general coherente con la legislación sectorial europea y la política internacional, se consideró que solo era parcialmente eficaz debido a la generalidad de algunas de sus disposiciones. Se constató que la Directiva había generado valor añadido europeo en la medida en que logró resultados (es decir, un marco común para la protección de las ICE) que, de otro modo, ni las iniciativas nacionales ni otras europeas habrían podido lograr sin emprender procesos mucho más largos, más costosos y menos definidos. Dicho esto, se constató que algunas disposiciones tenían un valor añadido limitado para muchos Estados miembros.

Por lo que se refiere a la sostenibilidad, se esperaba que determinados efectos generados por la Directiva (por ejemplo, debates transfronterizos o requisitos de información) cesaran en caso de que se derogara y no se sustituyera. La evaluación puso de manifiesto que los Estados miembros siguen apoyando la participación de la UE en los esfuerzos por reforzar la resiliencia de las infraestructuras críticas, y que existe cierta preocupación por que la derogación total de la Directiva pueda tener efectos negativos en este ámbito, concretamente en la protección de las infraestructuras críticas europeas designadas. Los Estados miembros se mostraron dispuestos a garantizar que el compromiso de la Unión en este ámbito siga respetando el principio de subsidiariedad, apoye medidas a nivel nacional y facilite la cooperación transfronteriza, también con terceros países.

·Consulta de las partes interesadas

Al elaborar la presente propuesta, la Comisión ha consultado a una amplia gama de partes interesadas, entre ellas: instituciones y agencias de la Unión Europea; organizaciones internacionales; autoridades de los Estados miembros; entidades privadas, incluidos operadores y asociaciones industriales nacionales y europeas que representan a operadores de muchos sectores diferentes; expertos y redes de expertos, incluida la Red Europea de Referencia para la Protección de Infraestructuras Críticas (ERNCIP); representantes del mundo académico; organizaciones no gubernamentales y el público en general.

·Obtención y utilización de asesoramiento

Como se ha mencionado en la sección anterior, la Comisión ha recurrido al asesoramiento externo en el contexto de las consultas, por ejemplo, con expertos independientes, redes de expertos y representantes del mundo académico, para elaborar la presente propuesta.

·Evaluación de impacto

La evaluación de impacto que respaldó el desarrollo de esta iniciativa exploró diferentes opciones políticas para resolver los problemas generales y específicos descritos anteriormente. Además de la situación de partida, que no implicaría ningún cambio con respecto a la situación actual, estas opciones fueron:

–Opción 1: mantenimiento de la vigente Directiva ICE, acompañada de medidas voluntarias en el contexto del actual programa PEPIC.

–Opción 2: revisión de la vigente Directiva ICE para abarcar los mismos sectores que la vigente Directiva SRI y centrarse más en la resiliencia. La nueva Directiva sobre las infraestructuras críticas europeas supondría cambios en el actual proceso de designación transfronteriza de las ICE, en particular nuevos criterios de designación, y nuevos requisitos para los Estados miembros y los operadores.

–Opción 3: sustitución de la vigente Directiva ICE por un nuevo instrumento destinado a aumentar la resiliencia de las entidades críticas en los sectores considerados esenciales en la propuesta de Directiva SRI 2. Esta opción establecería unos requisitos mínimos para los Estados miembros y las entidades críticas identificadas en el nuevo marco. Se establecería un procedimiento para la identificación de las entidades críticas que ofrezcan servicios a o en varios Estados miembros de la UE, si no todos. La aplicación de la legislación contaría con el apoyo de un centro de conocimientos específico dentro de la Comisión.

–Opción 4: sustitución de la vigente Directiva ICE por un nuevo instrumento destinado a aumentar la resiliencia de las entidades críticas en los sectores considerados esenciales en la propuesta de Directiva SRI 2, así como una función más sustancial de la Comisión en la identificación de las entidades críticas y la creación de una agencia de la UE responsable de la resiliencia de las infraestructuras críticas (que asumiría las funciones y responsabilidades asignadas al centro de conocimientos propuesto en la opción anterior).

·Adecuación normativa y simplificación

En consonancia con el Programa de Adecuación y Eficacia de la Reglamentación (REFIT) de la Comisión, todas las iniciativas destinadas a modificar la legislación vigente de la UE deben tratar de simplificar y alcanzar los objetivos políticos declarados de manera más eficiente. Las conclusiones de la evaluación de impacto sugieren que la propuesta debería reducir la carga global para los Estados miembros. Es probable que una mayor armonización con el enfoque orientado a los servicios de la vigente Directiva SRI dé lugar a una reducción de los costes de cumplimiento a lo largo del tiempo. Por ejemplo, el oneroso proceso transfronterizo de identificación y designación de la vigente Directiva ICE se sustituiría por un procedimiento basado en el riesgo a nivel nacional, destinado únicamente a identificar entidades críticas sujetas a diversas obligaciones. Sobre la base de la evaluación de riesgos, los Estados miembros identificarían las entidades críticas, la mayoría de las cuales ya están designadas como operadores de servicios esenciales con arreglo a la Directiva SRI en vigor.

·Derechos fundamentales

La propuesta legislativa tiene por objeto aumentar la resiliencia de las entidades críticas que prestan diversas formas de servicios esenciales, eliminando al mismo tiempo los obstáculos reglamentarios a su capacidad para prestar sus servicios en toda la Unión. De este modo, se reducirían el riesgo global de perturbaciones, tanto a nivel social como individual, y las cargas. Esto contribuiría a garantizar un mayor nivel de seguridad pública, al tiempo que afectaría positivamente a la libertad de las empresas, así como a muchos otros operadores económicos que dependen de la prestación de servicios esenciales, beneficiando en última instancia a los consumidores. Las disposiciones de la propuesta destinadas a garantizar una gestión eficaz de la protección de los empleados implicarán normalmente el tratamiento de datos personales. Esto se justifica por la necesidad de llevar a cabo controles de antecedentes de categorías específicas de personal. Además, todo tratamiento de datos personales siempre estará sujeto al cumplimiento de las normas de la Unión en materia de protección de datos personales, en particular el Reglamento general de protección de datos 13 .

4.REPERCUSIONES PRESUPUESTARIAS

–actividades de apoyo de la Comisión, incluida la dotación de personal, proyectos, estudios y actividades de apoyo;

–misiones de asesoramiento organizadas por la Comisión;

–reuniones periódicas del Grupo de Resiliencia de las Entidades Críticas, del Comité de comitología y de otras reuniones.

5.OTROS ELEMENTOS

·Planes de ejecución y modalidades de seguimiento, evaluación y notificación

La aplicación de la Directiva propuesta se revisará a más tardar cuatro años y medio después de su entrada en vigor, tras lo cual la Comisión presentará un informe al Parlamento Europeo y al Consejo. Este informe evaluará hasta qué punto los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la Directiva. La Comisión presentará al Parlamento Europeo y al Consejo un informe de evaluación del impacto y del valor añadido de la Directiva seis años después de su entrada en vigor.

·Explicación detallada de las disposiciones específicas de la propuesta

Objeto, ámbito de aplicación y definiciones (artículos 1 y 2)

El artículo1 define el objeto y el ámbito de aplicación de la Directiva, que establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades críticas y permitirles cumplir obligaciones específicas destinadas a aumentar su resiliencia y mejorar su capacidad de prestar esos servicios en el mercado interior. La Directiva también establece normas para la supervisión y ejecución de las entidades críticas y la supervisión específica de las entidades críticas consideradas de particular importancia europea. El artículo 1 también explica la relación entre la Directiva y otros actos pertinentes del Derecho de la Unión, así como las condiciones en las que se intercambiará con la Comisión y otras autoridades pertinentes información confidencial con arreglo a las normas de la Unión y nacionales. El artículo 2 contiene una lista de las definiciones aplicables.

Marcos nacionales para la resiliencia de las entidades críticas (artículos 3 a 9)

El artículo 3 dispone que los Estados miembros adoptarán una estrategia para reforzar la resiliencia de las entidades críticas, describe los elementos que debe contener, explica que debe actualizarse periódicamente y cuando sea necesario, y estipula que los Estados miembros comunicarán sus estrategias y cualquier actualización de sus estrategias a la Comisión. El artículo 4 dispone que las autoridades competentes establecerán una lista de los servicios esenciales y evaluarán periódicamente todos los riesgos pertinentes que puedan afectar a su prestación con el fin de identificar las entidades críticas. Esta evaluación tendrá en cuenta las evaluaciones de riesgos realizadas de conformidad con otros actos pertinentes del Derecho de la Unión, los riesgos derivados de las dependencias entre sectores específicos y la información disponible sobre incidentes. Los Estados miembros velarán por que los elementos pertinentes de la evaluación de riesgos se pongan a disposición de las entidades críticas y por que los datos sobre los tipos de riesgos identificados y los resultados de sus evaluaciones de riesgos se pongan periódicamente a disposición de la Comisión.

El artículo 5 dispone que los Estados miembros identificarán las entidades críticas en sectores y subsectores específicos. El proceso de identificación deberá tener en cuenta los resultados de la evaluación de riesgos y aplicar criterios específicos. Los Estados miembros establecerán una lista de entidades críticas, que se actualizará cuando sea necesario y periódicamente. Se notificará debidamente a las entidades críticas su identificación y las obligaciones que ello conlleva. Las autoridades competentes responsables de la aplicación de la Directiva notificarán a las autoridades competentes responsables de la aplicación de la Directiva SRI 2 la identificación de las entidades críticas. Cuando una entidad sea considerada crítica por dos o más Estados miembros, los Estados miembros se consultarán mutuamente con el fin de reducir la carga que pesa sobre la entidad crítica. Cuando las entidades críticas presten servicios a un tercio o más de los Estados miembros, el Estado miembro de que se trate notificará a la Comisión la identidad de dichas entidades críticas.

El artículo 6 define el concepto de «efecto perturbador significativo» a que se refiere el artículo 5, apartado 2, y exige que los Estados miembros presenten a la Comisión determinadas formas de información relativa a las entidades críticas que identifican y cómo las identifican. El artículo 6 también habilita a la Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, para que adopte las directrices pertinentes.

El artículo 7 dispone que los Estados miembros deben identificar las entidades de los sectores bancario, de infraestructuras del mercado financiero y de infraestructuras digitales que deben tratarse como equivalentes de las entidades críticas únicamente a efectos del capítulo II. Debe notificarse a estas entidades su identificación.

El artículo 8 establece que cada Estado miembro designará y velará por que se faciliten los recursos adecuados a una o varias autoridades competentes responsables de la correcta aplicación de la Directiva a nivel nacional, así como a un punto de contacto único encargado de garantizar la cooperación transfronteriza. El punto de contacto único presentará periódicamente a la Comisión un informe resumido sobre las notificaciones de incidentes. El artículo 8 exige que las autoridades competentes responsables de la aplicación de la Directiva cooperen con otras autoridades nacionales pertinentes, en particular las autoridades competentes designadas en virtud de la Directiva SRI 2. El artículo 9 establece que los Estados miembros prestarán apoyo a las entidades críticas para garantizar su resiliencia, y facilitarán la cooperación y el intercambio voluntario de información y buenas prácticas entre las autoridades competentes y las entidades críticas.

Resiliencia de las entidades críticas (artículos 10 a 13)

El artículo10 dispone que las entidades críticas evaluarán periódicamente todos los riesgos pertinentes sobre la base de las evaluaciones nacionales de riesgos y otras fuentes de información pertinentes. El artículo 11 establece que las entidades críticas adoptarán medidas técnicas y organizativas adecuadas y proporcionadas para garantizar su resiliencia, y velarán por que estas medidas se describan en un plan de resiliencia o un documento equivalente. Los Estados miembros podrán solicitar que la Comisión organice misiones de asesoramiento para asesorar a las entidades críticas en el cumplimiento de sus obligaciones. El artículo 11 también habilita a la Comisión, cuando sea necesario, para adoptar actos delegados y de ejecución.

El artículo12 dispone que los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes de verificación de los antecedentes personales de las personas que pertenezcan o puedan pertenecer a determinadas categorías específicas de personal, y por que dichas solicitudes sean evaluadas rápidamente por las autoridades responsables de llevar a cabo las comprobaciones de antecedentes personales. El artículo describe la finalidad, el alcance y el contenido de los controles de antecedentes, que deben ser todos ellos conformes con el Reglamento general de protección de datos.

El artículo 13 establece que los Estados miembros velarán por que las entidades críticas notifiquen a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. Las autoridades competentes, a su vez, facilitarán a la entidad crítica notificadora la información pertinente sobre el seguimiento. Las autoridades competentes también informarán, a través de su punto de contacto único, a los puntos de contacto únicos de los otros Estados miembros afectados en caso de que el incidente tenga o pueda tener repercusiones transfronterizas en otro u otros Estados miembros.

Supervisión específica de las entidades críticas de particular importancia europea (artículos 14 y 15)

El artículo 14 define las entidades críticas de particular importancia europea como aquellas entidades que han sido identificadas como entidades críticas y que prestan servicios esenciales a un tercio o más de los Estados miembros. Una vez recibida la notificación con arreglo al artículo 5, apartado 6, la Comisión informará a la entidad de que se trate de que se considera una entidad crítica de una particular importancia europea, de las obligaciones que ello conlleva y de la fecha a partir de la cual dichas obligaciones empezarán a ser exigibles. El artículo 15 describe los mecanismos específicos de supervisión aplicables a las entidades críticas de particular importancia europea, que incluyen, previa solicitud, que los Estados miembros de acogida faciliten a la Comisión y al Grupo de Resiliencia de las Entidades Críticas información sobre la evaluación de riesgos con arreglo al artículo 10 y sobre las medidas adoptadas de conformidad con el artículo 11, así como acerca de cualquier medida de supervisión o ejecución. El artículo 15 también dispone que la Comisión podrá organizar misiones de asesoramiento para evaluar las medidas adoptadas por las entidades críticas específicas de particular importancia europea. Sobre la base de un análisis de las conclusiones de la misión de asesoramiento realizado por el Grupo de Resiliencia de las Entidades Críticas, la Comisión comunicará al Estado miembro en el que esté ubicada la infraestructura de la entidad sus puntos de vista sobre si esa entidad cumple sus obligaciones y, en su caso, qué medidas podrían adoptarse para mejorar la resiliencia de la entidad. El artículo describe la composición, organización y financiación de las misiones de asesoramiento. También dispone que la Comisión adoptará un acto de ejecución por el que se establezcan normas sobre las disposiciones de procedimiento para la realización de las misiones de asesoramiento y los informes correspondientes.

Cooperación y presentación de informes (artículos 16 y 17)

El artículo 16 describe la función y las tareas del Grupo de Resiliencia de las Entidades Críticas, que estará compuesto por representantes de los Estados miembros y de la Comisión. Apoyará a la Comisión y facilitará la cooperación estratégica y el intercambio de información. El artículo explica que la Comisión podrá adoptar actos de ejecución que establezcan las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Resiliencia de las Entidades Críticas. El artículo17 establece que la Comisión apoyará, cuando proceda, a los Estados miembros y a las entidades críticas en el cumplimiento de sus obligaciones en virtud de la Directiva, y complementará las actividades de los Estados miembros a que se refiere el artículo 9.

Supervisión y ejecución (artículos 18 y 19)

El artículo18 establece que los Estados miembros tienen determinadas competencias, medios y responsabilidades para garantizar la aplicación y el cumplimiento de la Directiva. Los Estados miembros velarán por que, cuando una autoridad competente evalúe el cumplimiento de una entidad crítica, informe a las autoridades competentes del Estado miembro de que se trate designadas con arreglo a la Directiva SRI 2 y pueda solicitar a dichas autoridades que evalúen la ciberseguridad de esa entidad, y que cooperen e intercambien información a tal efecto. El artículo 19 establece que, de conformidad con una práctica consolidada, los Estados miembros establecerán el régimen de sanciones aplicables a las infracciones y adoptarán todas las medidas necesarias para garantizar su aplicación.

Disposiciones finales (artículos 20 a 26)

El artículo 20 establece que la Comisión estará asistida por un comité en el sentido del Reglamento (UE) n.º 182/2011. Es un artículo estándar. El artículo 21 habilita a la Comisión para adoptar actos delegados con arreglo a las condiciones establecidas en el propio artículo. También se trata de un artículo estándar. El artículo 22 dispone que la Comisión presentará al Parlamento Europeo y al Consejo un informe en el que se evalúe en qué medida los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la Directiva. Debe presentarse periódicamente al Parlamento Europeo y al Consejo un informe en el que se evalúe el impacto y el valor añadido de la Directiva, y si debe extenderse su ámbito de aplicación a otros sectores o subsectores, incluido el sector de la producción, la transformación y la distribución de alimentos.

El artículo 23 dispone que la Directiva 2008/114/CE queda derogada con efectos a partir de la fecha de entrada en vigor de la presente Directiva. El artículo 24 dispone que los Estados miembros adoptarán y publicarán, dentro del plazo establecido, las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva, e informarán de ello a la Comisión. Comunicarán a la Comisión el texto de las principales disposiciones de Derecho interno que adopten en el ámbito regulado por la presente Directiva. El artículo 25 dispone que la Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea. El artículo 26 establece que los destinatarios de la presente Directiva son los Estados miembros.

2020/0365 (COD)

Propuesta de

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativa a la resiliencia de las entidades críticas

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,

Vista la propuesta de la Comisión Europea,

Una vez transmitido el proyecto de acto legislativo a los Parlamentos nacionales,

Visto el dictamen del Comité Económico y Social Europeo 14 ,

Visto el dictamen del Comité de las Regiones 15 ,

De conformidad con el procedimiento legislativo ordinario 16 ,

Considerando que:

(1)La Directiva 2008/114/CE del Consejo 17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 2019 18 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, adaptarse y recuperarse de incidentes que puedan perturbar las operaciones de la entidad crítica.

(2)A pesar de las medidas existentes a escala nacional y de la Unión 19 destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan esas infraestructuras no están adecuadamente equipadas para hacer frente a los riesgos actuales y previstos para sus operaciones, que pueden dar lugar a perturbaciones en la prestación de servicios esenciales para el desempeño de funciones sociales o actividades económicas vitales. Esto se debe al panorama dinámico de las amenazas, con una amenaza terrorista en evolución y crecientes interdependencias entre infraestructuras y sectores, así como al aumento del riesgo físico a causa de los desastres naturales y el cambio climático, que aumenta la frecuencia y la escala de fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad y la eficiencia de determinados tipos de infraestructuras si no se aplican medidas de resiliencia o adaptación al cambio climático. Además, los sectores y tipos de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros.

(3)Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

(4)Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, sino que también obstaculiza el correcto funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos.

(5)Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas.

(6)A fin de alcanzar ese objetivo, los Estados miembros tienen que identificar las entidades críticas que deben estar sujetas a unos requisitos y una supervisión específicos, pero también recibir apoyo y orientación específicos destinados a lograr un alto nivel de resiliencia frente a todos los riesgos pertinentes.

(7)Algunos sectores de la economía, como la energía y el transporte, ya están regulados o pueden regularse en el futuro mediante actos sectoriales del Derecho de la Unión que contengan normas relativas a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son esenciales para el correcto funcionamiento del mercado interior, tales medidas sectoriales específicas deben complementarse con las medidas previstas en la presente Directiva, que crea un marco general regulador de la resiliencia de las entidades críticas con respecto a todos los peligros, es decir, naturales y provocados por el hombre, accidentales e intencionados.

(8)Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo 20 [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)]. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

(9)Cuando las disposiciones de otros actos del Derecho de la Unión exijan a las entidades críticas que evalúen los riesgos pertinentes, adopten medidas para garantizar su resiliencia o notifiquen incidentes, y dichos requisitos sean al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva, no deberán aplicarse las disposiciones pertinentes de la presente Directiva a fin de evitar duplicaciones y cargas innecesarias. En tal caso, deberán aplicarse las disposiciones pertinentes de esos otros actos. Cuando no sean de aplicación las disposiciones pertinentes de la presente Directiva, tampoco deberán aplicarse sus disposiciones en materia de supervisión y ejecución. No obstante, los Estados miembros deberán incluir todos los sectores enumerados en el anexo en su estrategia para reforzar la resiliencia de las entidades críticas, la evaluación de riesgos y las medidas de apoyo con arreglo al capítulo II, y ser capaces de identificar las entidades críticas en aquellos sectores en los que se hayan cumplido las condiciones aplicables, teniendo en cuenta el régimen particular aplicable a las entidades del sector bancario, de las infraestructuras del mercado financiero y de las infraestructuras digitales.

(10)Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro deberá contar con una estrategia que establezca los objetivos y las medidas políticas que hayan de aplicarse. Para ello, los Estados miembros deberán velar por que sus estrategias de ciberseguridad establezcan un marco político para mejorar la coordinación entre las autoridades competentes en virtud de la presente Directiva y de la Directiva SRI 2 en el contexto del intercambio de información sobre incidentes y ciberamenazas y del ejercicio de las tareas de supervisión. 

(11)Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

(12)A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. Por lo tanto, deben establecerse criterios para identificar las entidades críticas. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

(13)También deben establecerse criterios para determinar la importancia de un efecto perturbador producido por tales incidentes. Esos criterios deben basarse en los criterios establecidos en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo 21 , a fin de aprovechar los esfuerzos realizados por los Estados miembros para identificar a esos operadores y la experiencia adquirida a este respecto.

(14)Las entidades pertenecientes al sector de las infraestructuras digitales se basan esencialmente en redes y sistemas de información, y entran en el ámbito de aplicación de la Directiva SRI 2, que regula la seguridad física de dichos sistemas como parte de sus obligaciones de gestión del riesgo de ciberseguridad y de presentación de informes. Dado que estas cuestiones están reguladas por la Directiva SRI 2, las obligaciones de la presente Directiva no se aplicarán a esas entidades. No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades en el sector de las infraestructuras digitales para la prestación de otros servicios esenciales, los Estados miembros deberán identificar, sobre la base de los criterios y utilizando mutatis mutandis el procedimiento previsto en la presente Directiva, las entidades pertenecientes al sector de las infraestructuras digitales que deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II, en particular la disposición sobre el apoyo de los Estados miembros a la mejora de la resiliencia de dichas entidades. Por consiguiente, tales entidades no deberán estar sujetas a las obligaciones establecidas en los capítulos III a VI. Dado que las obligaciones de las entidades críticas, establecidas en el capítulo II, de facilitar determinada información a las autoridades competentes se refieren a la aplicación de los capítulos III y IV, esas entidades tampoco deberán estar sujetas a tales obligaciones.

(15)El acervo de la UE en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Está integrado por el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo 22 , la Directiva 2014/65/UE del Parlamento Europeo y del Consejo 23 y el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo 24 , así como el Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo 25 y la Directiva 2013/36/UE del Parlamento Europeo y del Consejo 26 . La Comisión ha propuesto recientemente complementar este marco con el Reglamento XX/YYYY del Parlamento Europeo y del Consejo [propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «el Reglamento DORA») 27 ], que establece los requisitos para que las entidades financieras gestionen los riesgos de las TIC, incluida la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de las entidades enumeradas en los puntos 3 y 4 del anexo está plenamente cubierta por el acervo de la UE en materia de servicios financieros, esas entidades también deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II de la presente Directiva. A fin de garantizar una aplicación coherente de las normas sobre el riesgo operativo y la resiliencia digital en el sector financiero, las autoridades designadas con arreglo al artículo 41 del [Reglamento DORA] deberán garantizar el apoyo de los Estados miembros al aumento de la resiliencia global de las entidades financieras equivalentes a las entidades críticas, con sujeción a los procedimientos establecidos en dicha legislación de manera plenamente armonizada.

(16)Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

(17)A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro deberá designar, sin perjuicio de los requisitos jurídicos sectoriales de la Unión, en el seno de una de las autoridades que haya designado como autoridad competente en virtud de la presente Directiva, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión a este respecto.

(18)Dado que, en virtud de la Directiva SRI 2, las entidades identificadas como entidades críticas, así como las entidades identificadas en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades.

(19)Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

(20)Para poder garantizar su resiliencia, las entidades críticas deberán tener una comprensión cabal de todos los riesgos pertinentes a los que están expuestas y analizar dichos riesgos. A tal fin, deberán llevar a cabo evaluaciones de riesgos, siempre que sea necesario habida cuenta de sus circunstancias particulares y de la evolución de tales riesgos, pero, en cualquier caso, cada cuatro años. Las evaluaciones de riesgos realizadas por las entidades críticas deberán basarse en la evaluación de riesgos llevada a cabo por los Estados miembros.

(21)Las entidades críticas deberán adoptar medidas organizativas y técnicas adecuadas y proporcionadas a los riesgos a los que se enfrenten para prevenir, resistir, mitigar, absorber, adaptarse y recuperarse de un incidente. Aunque las entidades críticas deberán tomar medidas en todos los puntos especificados en la presente Directiva, los detalles y el alcance de las medidas deberán reflejar los diferentes riesgos que cada entidad haya identificado como parte de su evaluación de riesgos y las características específicas de dicha entidad de manera adecuada y proporcionada.

(22)En aras de la eficacia y la rendición de cuentas, las entidades críticas deberán describir esas medidas con un nivel de detalle suficiente para alcanzar los objetivos, teniendo en cuenta los riesgos detectados, en un plan de resiliencia, o en uno o varios documentos que sean equivalentes a un plan de resiliencia, y ponerlo en práctica. Los documentos equivalentes podrán elaborarse de conformidad con los requisitos y normas desarrollados en el contexto de los acuerdos internacionales sobre protección física de los que sean parte los Estados miembros, incluida la Convención sobre la protección física de los materiales nucleares y las instalaciones nucleares, en su caso.

(23)El Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo 28 , el Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo 29 y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo 30  establecen requisitos aplicables a las entidades de los sectores del transporte aéreo y marítimo para prevenir incidentes causados por actos ilícitos, y para resistir y mitigar las consecuencias de tales incidentes. Si bien las medidas exigidas en la presente Directiva son más amplias en términos de riesgos y tipos de medidas que han de adoptarse, las entidades críticas de esos sectores deberán reflejar en su plan de resiliencia o en los documentos equivalentes las medidas adoptadas en virtud de esos otros actos de la Unión. Además, si se aplican medidas de resiliencia en virtud de la presente Directiva, las entidades críticas podrán considerar la posibilidad de remitirse a directrices no vinculantes y documentos de buenas prácticas elaborados en el marco de líneas de trabajo sectoriales, como la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE 31 .

(24)El riesgo de que los empleados de las entidades críticas hagan un uso indebido, por ejemplo, de sus derechos de acceso dentro de la organización de la entidad para causar daños y perjuicios es cada vez más preocupante. Este riesgo se ve agravado por el creciente fenómeno de la radicalización que conduce al extremismo violento y al terrorismo. Por tanto, es necesario permitir que las entidades críticas soliciten controles de los antecedentes personales de las personas pertenecientes a categorías específicas de su personal y garantizar que dichas solicitudes sean evaluadas rápidamente por las autoridades competentes, de conformidad con las normas aplicables del Derecho de la Unión y nacional, incluida la protección de datos personales.

(25)Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos.

(26)Si bien las entidades críticas operan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de ellas revisten especial importancia para la Unión, ya que prestan servicios esenciales a un gran número de Estados miembros y, por lo tanto, requieren una supervisión específica a escala de la Unión. Por consiguiente, deberán establecerse normas sobre la supervisión específica de las entidades críticas de particular importancia europea. Dichas normas se entenderán sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva.

(27)Cuando un Estado miembro considere que se necesita información adicional para poder asesorar a una entidad crítica en el cumplimiento de sus obligaciones con arreglo al capítulo III o para evaluar si una entidad crítica de particular importancia europea cumple las citadas obligaciones, la Comisión, de acuerdo con el Estado miembro en el que esté ubicada la infraestructura de dicha entidad, deberá organizar una misión de asesoramiento para evaluar las medidas adoptadas por esta. A fin de garantizar que estas misiones de asesoramiento se lleven a cabo correctamente, deberán establecerse normas complementarias, en particular sobre su organización y realización, el seguimiento que deba darse y las obligaciones de las entidades críticas de particular importancia europea de que se trate. Las misiones de asesoramiento deberán llevarse a cabo, sin perjuicio de la necesidad de que el Estado miembro donde se realicen y la entidad interesada cumplan las normas de la presente Directiva, de conformidad con las normas detalladas de la legislación de dicho Estado miembro, por ejemplo, sobre las condiciones precisas que deben cumplirse para tener acceso a los locales o documentos pertinentes y sobre las vías de recurso judicial. Los conocimientos específicos necesarios para estas misiones podrían, en su caso, recabarse del Centro de Coordinación de la Respuesta a Emergencias.

(28)Con el fin de apoyar a la Comisión y facilitar la cooperación estratégica y el intercambio de información, incluidas las mejores prácticas, sobre las cuestiones relacionadas con la presente Directiva, deberá crearse un Grupo de Resiliencia de las Entidades Críticas, es decir, un grupo de expertos de la Comisión. Los Estados miembros deberán esmerarse en garantizar una cooperación eficaz y eficiente de los representantes designados de sus autoridades competentes en el Grupo de Resiliencia de las Entidades Críticas. El grupo comenzará a desempeñar sus funciones seis meses después de la entrada en vigor de la presente Directiva, a fin de proporcionar medios adicionales para una cooperación adecuada durante el período de transposición de la presente Directiva.

(29)A fin de alcanzar los objetivos de la presente Directiva, y sin perjuicio de la responsabilidad jurídica de los Estados miembros y de las entidades críticas de garantizar el cumplimiento de sus respectivas obligaciones establecidas en la misma, la Comisión deberá emprender, cuando lo considere oportuno, determinadas actividades de apoyo destinadas a facilitar el cumplimiento de dichas obligaciones. Al prestar apoyo a los Estados miembros y a las entidades críticas en el cumplimiento de las obligaciones derivadas de la presente Directiva, la Comisión deberá basarse en las estructuras e instrumentos existentes, como el mecanismo de protección civil de la Unión y la Red Europea de Referencia para la Protección de Infraestructuras Críticas.

(30)Los Estados miembros deberán velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deberán incluir, en particular, la facultad de llevar a cabo inspecciones, actividades de supervisión y auditorías; exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, emitir órdenes para subsanar las infracciones detectadas. Al emitir tales órdenes, los Estados miembros no deberán exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica. En términos más generales, estas competencias deberán ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional, de conformidad con los requisitos derivados de la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones en virtud de la presente Directiva, las autoridades competentes designadas en virtud de la presente Directiva deberán poder solicitar a las autoridades competentes designadas en virtud de la Directiva SRI 2 que evalúen la ciberseguridad de esa entidad. Dichas autoridades competentes deberán cooperar e intercambiar información a tal efecto.

(31)A fin de tener en cuenta los nuevos riesgos, los avances tecnológicos o las especificidades de uno o varios sectores, deberán delegarse en la Comisión las competencias necesarias para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de complementar las medidas de resiliencia que deban adoptar las entidades críticas, especificando en mayor medida algunas o todas ellas. Reviste especial importancia que la Comisión evacúe las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación 32 . En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus propios expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de los actos delegados.

(32)Con el objeto de garantizar unas condiciones uniformes de ejecución de la presente Directiva, deberán conferirse a la Comisión competencias de ejecución. Dichas competencias deberán ejercerse de conformidad con el Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo 33 .

(33)Dado que los objetivos de la presente Directiva, a saber, garantizar la prestación en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales y aumentar la resiliencia de las entidades críticas que prestan tales servicios, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en el citado artículo 5, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(34)Por consiguiente, debe derogarse la Directiva 2008/114/CE,

HAN ADOPTADO LA PRESENTE DIRECTIVA:

Capítulo I
Objeto, ámbito de aplicación y definiciones

Artículo 1
Objeto y ámbito de aplicación

1.La presente Directiva:

a)establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades y entidades críticas que deberán considerarse equivalentes en determinados aspectos y para permitirles cumplir sus obligaciones;

b)establece obligaciones de las entidades críticas destinadas a aumentar su resiliencia y mejorar su capacidad de prestar esos servicios en el mercado interior;

c)establece normas sobre la supervisión y ejecución de las entidades críticas, y la supervisión específica de las entidades críticas consideradas de particular importancia europea.

2.La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) XX/AA [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»), sin perjuicio de lo dispuesto en el artículo 7.

3.Cuando las disposiciones de actos sectoriales específicos del Derecho de la Unión exijan a las entidades críticas que adopten medidas con arreglo a lo dispuesto en el capítulo III, y cuando dichos requisitos sean al menos equivalentes a las obligaciones establecidas en la presente Directiva, no serán de aplicación las disposiciones pertinentes de la presente Directiva, incluidas las disposiciones sobre supervisión y ejecución establecidas en el capítulo VI.

4.Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que sea confidencial con arreglo al Derecho de la Unión y nacional aplicable, como las normas sobre el secreto comercial, se intercambiará con la Comisión y otras autoridades pertinentes únicamente cuando tal intercambio sea necesario para la aplicación de la presente Directiva. La información intercambiada se limitará a aquella que sea pertinente y proporcionada a la finalidad del intercambio. El intercambio de información preservará la confidencialidad de la información y protegerá los intereses comerciales y de seguridad de las entidades críticas.

Artículo 2
Definiciones

A efectos de la presente Directiva, se entenderá por:

1)«entidad crítica»: una entidad pública o privada de uno de los tipos mencionados en el anexo que haya sido identificada como tal por un Estado miembro de conformidad con el artículo 5;

2)«resiliencia»: la capacidad de prevenir, resistir, mitigar, absorber, adaptarse y recuperarse de un incidente que perturbe o pueda perturbar las operaciones de una entidad crítica;

3)«incidente»: cualquier acontecimiento que pueda perturbar o que perturbe las operaciones de la entidad crítica;

4)«infraestructura»: un activo, sistema o parte del mismo, necesario para la prestación de un servicio esencial;

5)«servicio esencial»: un servicio que sea esencial para el mantenimiento de funciones sociales o actividades económicas vitales;

6)«riesgo»: cualquier circunstancia o hecho que pueda tener un efecto adverso potencial en la resiliencia de las entidades críticas;

7)«evaluación de riesgos»: una metodología para determinar la naturaleza y el alcance de un riesgo mediante el análisis de amenazas y peligros potenciales, y la evaluación de las condiciones de vulnerabilidad existentes que podrían perturbar las operaciones de la entidad crítica.

Capítulo II
Marcos nacionales para la resiliencia de las entidades críticas

Artículo 3
Estrategia para la resiliencia de las entidades críticas

1.A más tardar el [tres años después de la entrada en vigor de la presente Directiva], cada Estado miembro adoptará una estrategia para reforzar la resiliencia de las entidades críticas. Esta estrategia establecerá objetivos estratégicos y medidas de actuación con vistas a alcanzar y mantener un alto nivel de resiliencia por parte de dichas entidades críticas y abarcará, como mínimo, los sectores enumerados en el anexo.

2.La estrategia incluirá, como mínimo, los elementos siguientes:

a)las prioridades y los objetivos estratégicos con el fin de aumentar la resiliencia global de las entidades críticas, teniendo en cuenta las interdependencias transfronterizas e intersectoriales;

b)un marco de gobernanza para alcanzar las prioridades y los objetivos estratégicos, incluida una descripción de las funciones y responsabilidades de las diferentes autoridades, entidades críticas y otras partes implicadas en la aplicación de la estrategia;

c)una descripción de las medidas necesarias para aumentar la resiliencia global de las entidades críticas, incluida una evaluación nacional de riesgos, la identificación de las entidades críticas y de las entidades equivalentes a entidades críticas, y las medidas de apoyo a las entidades críticas adoptadas de conformidad con el presente capítulo;

d)un marco político para mejorar la coordinación entre las autoridades competentes designadas de conformidad con el artículo 8 de la presente Directiva y con arreglo a la [Directiva SRI 2] a efectos del intercambio de información sobre incidentes y ciberamenazas y el ejercicio de las tareas de supervisión.

La estrategia se actualizará cuando sea necesario y al menos cada cuatro años.

3.Los Estados miembros comunicarán sus estrategias, así como cualquier actualización de sus estrategias, a la Comisión en el plazo de tres meses a partir de la fecha de su adopción.

Artículo 4
Evaluación de riesgos por los Estados miembros

1.Las autoridades competentes designadas de conformidad con el artículo 8 elaborarán una lista de los servicios esenciales en los sectores mencionados en el anexo. Llevarán a cabo, a más tardar el [tres años después de la entrada en vigor de la presente Directiva], y posteriormente cuando sea necesario, al menos cada cuatro años, una evaluación de todos los riesgos pertinentes que puedan afectar a la prestación de tales servicios esenciales, con vistas a identificar las entidades críticas de conformidad con el artículo 5, apartado 1, y ayudar a dichas entidades a adoptar medidas con arreglo al artículo 11.

La evaluación de riesgos tendrá en cuenta todos los riesgos naturales y de origen humano pertinentes, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas antagónicas, en particular los delitos de terrorismo con arreglo a la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo 34 .

2.Al llevar a cabo la evaluación de riesgos, los Estados miembros tendrán en cuenta como mínimo:

a)la evaluación general de riesgos realizada de conformidad con el artículo 6, apartado 1, de la Decisión 1313/2013/UE del Parlamento Europeo y del Consejo 35 ;

b)otras evaluaciones de riesgos pertinentes, realizadas de conformidad con los requisitos de los actos sectoriales pertinentes del Derecho de la Unión, incluidos el Reglamento (UE) 2019/941 del Parlamento Europeo y del Consejo 36 y el Reglamento (UE) 2017/1938 del Parlamento Europeo y del Consejo 37 ;

c)cualquier riesgo derivado de las dependencias entre los sectores mencionados en el anexo, incluidos los de otros Estados miembros y terceros países, y el impacto que una perturbación en un sector pueda tener en otros sectores;

d)cualquier información sobre incidentes notificados de conformidad con el artículo 13.

A efectos del párrafo primero, letra c), los Estados miembros cooperarán con las autoridades competentes de otros Estados miembros y terceros países, según proceda.

3.Los Estados miembros pondrán los elementos pertinentes de la evaluación de riesgos a que se refiere el apartado 1 a disposición de las entidades críticas que hayan identificado con arreglo al artículo 5, con el fin de ayudar a dichas entidades en la realización de su evaluación de riesgos, de conformidad con el artículo 10, y en la adopción de medidas para garantizar su resiliencia de conformidad con el artículo 11.

4.Cada Estado miembro facilitará a la Comisión datos sobre los tipos de riesgos identificados y los resultados de las evaluaciones de riesgos, por sector y subsector mencionados en el anexo, a más tardar el [tres años después de la entrada en vigor de la presente Directiva] y, posteriormente cuando sea necesario, al menos cada cuatro años.

5.La Comisión, en cooperación con los Estados miembros, podrá elaborar un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.

Artículo 5
Identificación de las entidades críticas

1.A más tardar [tres años y tres meses después de la entrada en vigor de la presente Directiva], los Estados miembros identificarán, para cada sector y subsector a que se refiere el anexo, con excepción de sus puntos 3, 4 y 8, las entidades críticas.

2.Al identificar las entidades críticas con arreglo al apartado 1, los Estados miembros tendrán en cuenta los resultados de la evaluación de riesgos con arreglo al artículo 4 y aplicarán los siguientes criterios:

a)la entidad presta uno o más servicios esenciales;

b)la prestación de dicho servicio depende de la infraestructura situada en el Estado miembro, y

c)un incidente tendría efectos perturbadores significativos en la prestación de ese servicio o de otros servicios esenciales en los sectores mencionados en el anexo que dependen del servicio.

3.Cada Estado miembro elaborará una lista de las entidades críticas identificadas y velará por que se les notifique su identificación como entidades críticas en el plazo de un mes a partir de la identificación, informándoles de sus obligaciones con arreglo a los capítulos II y III, así como de la fecha a partir de la cual les serán aplicables las disposiciones de dichos capítulos.

A las entidades críticas de que se trate, las disposiciones del presente capítulo se les aplicarán a partir de la fecha de la notificación, y las disposiciones del capítulo III se les aplicarán seis meses después de esa fecha.

4.Los Estados miembros velarán por que sus autoridades competentes designadas con arreglo al artículo 8 de la presente Directiva notifiquen a las autoridades competentes, designadas por los Estados miembros de conformidad con el artículo 8 de la [Directiva SRI 2], la identidad de las entidades críticas que hayan identificado con arreglo al presente artículo en el plazo de un mes a partir de la identificación.

5.Tras la notificación a que se refiere el apartado 3, los Estados miembros velarán por que las entidades críticas faciliten a sus autoridades competentes designadas de conformidad con el artículo 8 de la presente Directiva información sobre si han sido identificadas como entidades críticas en otro u otros Estados miembros. Cuando una entidad haya sido identificada como entidad crítica por dos o más Estados miembros, estos se consultarán mutuamente con el fin de reducir la carga de obligaciones de la entidad crítica en virtud del capítulo III.

6.A efectos del capítulo IV, los Estados miembros velarán por que las entidades críticas, tras la notificación a que se refiere el apartado 3, faciliten a sus autoridades competentes, designadas con arreglo al artículo 8 de la presente Directiva, información sobre su eventual prestación de servicios esenciales a un tercio o más de los Estados miembros. En tal caso, el Estado miembro de que se trate notificará sin demora indebida a la Comisión la identidad de dichas entidades críticas.

7.Cuando sea necesario y, en cualquier caso, al menos cada cuatro años, los Estados miembros revisarán y, en su caso, actualizarán la lista de las entidades críticas identificadas.

Cuando esas actualizaciones conduzcan a la identificación de entidades críticas adicionales, se aplicarán los apartados 3, 4, 5 y 6. Además, los Estados miembros velarán por que las entidades que ya no estén identificadas como entidades críticas en virtud de una actualización de este tipo reciban la notificación pertinente y sean informadas de que ya no están sujetas a las obligaciones establecidas en el capítulo III a partir de la fecha de recepción de esa información.

Artículo 6
Efecto perturbador significativo

1.Al determinar la importancia de un efecto perturbador a que se refiere el artículo 5, apartado 2, letra c), los Estados miembros tendrán en cuenta los criterios siguientes:

a)el número de usuarios que dependen del servicio prestado por la entidad;

b)la dependencia de otros sectores mencionados en el anexo con respecto a dicho servicio;

c)los efectos que los incidentes podrían tener, en términos de grado y duración, en las actividades económicas y sociales, el medio ambiente y la seguridad pública;

d)la cuota de mercado de la entidad en el mercado de tales servicios;

e)la zona geográfica que podría verse afectada por un incidente, incluido cualquier impacto transfronterizo;

f)la importancia de la entidad para mantener un nivel de servicio suficiente, teniendo en cuenta la disponibilidad de medios alternativos para la prestación de dicho servicio.

2.Los Estados miembros presentarán a la Comisión, a más tardar el [tres años y tres meses después de la entrada en vigor de la presente Directiva], la información siguiente:

a)la lista de servicios a que se refiere el artículo 4, apartado 1;

b)el número de entidades críticas identificadas para cada sector y subsector a que se refiere el anexo y el servicio o los servicios a que se refiere el artículo 4, apartado 1, prestados por cada entidad;

c)los umbrales aplicados para especificar uno o varios de los criterios del apartado 1.

Posteriormente, presentarán esa información cuando sea necesario, al menos cada cuatro años.

3.La Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, podrá adoptar directrices para facilitar la aplicación de los criterios a que se refiere el apartado 1, teniendo en cuenta la información a que se refiere el apartado 2.

Artículo 7
Entidades equivalentes a las entidades críticas con arreglo al presente capítulo

1. Por lo que respecta a los sectores a que se refieren los puntos 3, 4 y 8 del anexo, los Estados miembros identificarán, a más tardar el [tres años y tres meses después de la entrada en vigor de la presente Directiva], las entidades que serán tratadas como equivalentes a las entidades críticas a efectos del presente capítulo. Aplicarán a dichas entidades las disposiciones de los artículos 3, 4, 5, apartados 1 a 4 y 7, y 9.

2.    En lo que respecta a las entidades de los sectores mencionados en los puntos 3 y 4 del anexo identificadas con arreglo al apartado 1, los Estados miembros velarán por que, a efectos de la aplicación del artículo 8, apartado 1, las autoridades designadas como autoridades competentes sean las autoridades competentes designadas con arreglo al artículo 41 del [Reglamento DORA].

3.    Los Estados miembros velarán por que se notifique sin demora injustificada a las entidades mencionadas en el apartado 1 su designación como entidades a que se refiere el presente artículo. 

Artículo 8
Autoridades competentes y punto de contacto único

1.Cada Estado miembro designará una o varias autoridades competentes responsables de la correcta aplicación y, en su caso, ejecución de las disposiciones de la presente Directiva a nivel nacional («autoridad competente»). Los Estados miembros podrán designar una o varias autoridades existentes.

Cuando designen más de una autoridad, establecerán claramente las tareas respectivas de las autoridades interesadas y velarán por que cooperen eficazmente para desempeñar las funciones que les asigna la presente Directiva, también en lo que se refiere a la designación y las actividades del punto de contacto único a que se refiere el apartado 2.

2.Cada Estado miembro designará, dentro de la autoridad competente, un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 16 («punto de contacto único»).

3.A más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva], y posteriormente cada año, el punto de contacto único presentará a la Comisión y al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 13, apartado 3.

4.Cada Estado miembro velará por que la autoridad competente, incluido el punto de contacto único designado en su seno, tenga las competencias y los recursos financieros, humanos y técnicos adecuados para llevar a cabo, de manera eficaz y eficiente, las tareas que se le asignen.

5.Los Estados miembros velarán por que sus autoridades competentes, cuando proceda y de conformidad con el Derecho de la Unión y nacional aplicable, consulten y cooperen con otras autoridades nacionales pertinentes, en particular las encargadas de la protección civil, los servicios policiales y la protección de datos personales, así como con las partes interesadas pertinentes, incluidas las entidades críticas.

6.Los Estados miembros velarán por que sus autoridades competentes, designadas de conformidad con el presente artículo, cooperen con las autoridades competentes designadas con arreglo a la [Directiva SRI 2] en relación con los riesgos de ciberseguridad y los incidentes cibernéticos que afecten a las entidades críticas, así como con las medidas adoptadas por las autoridades competentes designadas en virtud de la [Directiva SRI 2] que sean pertinentes para las entidades críticas.

7.Cada Estado miembro notificará a la Comisión la designación de la autoridad competente y del punto de contacto único en el plazo de tres meses a partir de dicha designación, incluidas sus tareas y responsabilidades precisas con arreglo a la presente Directiva, sus datos de contacto y cualquier modificación posterior de los mismos. Los Estados miembros harán pública su designación de la autoridad competente y el punto de contacto único.

8.La Comisión publicará una lista de los puntos de contacto únicos de los Estados miembros.

Artículo 9
Apoyo de los Estados miembros a las entidades críticas

1.Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia. Este apoyo podrá incluir el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación de formación al personal de las entidades críticas.

2.Los Estados miembros velarán por que las autoridades competentes cooperen e intercambien información y buenas prácticas con las entidades críticas de los sectores mencionados en el anexo.

3.Los Estados miembros establecerán herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas en relación con las materias reguladas por la presente Directiva, de conformidad con el Derecho de la Unión y nacional en materia de competencia y protección de datos personales.

Capítulo III
Resiliencia de las entidades críticas

Artículo 10
Evaluación de riesgos por parte de las entidades críticas

Los Estados miembros velarán por que las entidades críticas evalúen, en el plazo de seis meses a partir de la recepción de la notificación a que se refiere el artículo 5, apartado 3, y posteriormente cuando sea necesario, al menos cada cuatro años, sobre la base de las evaluaciones de riesgos de los Estados miembros y otras fuentes de información pertinentes, todos los riesgos pertinentes que puedan perturbar sus operaciones.

La evaluación de riesgos tendrá por objeto todos los riesgos pertinentes a que se refiere el artículo 4, apartado 1, que puedan perturbar la prestación de servicios esenciales. Tendrá en cuenta cualquier dependencia del servicio esencial prestado por la entidad crítica de otros sectores mencionados en el anexo, incluso en Estados miembros vecinos y terceros países cuando proceda, y el impacto que una interrupción de la prestación de servicios esenciales en uno o varios de esos sectores pueda tener en el servicio esencial prestado por la entidad crítica.

Artículo 11
Medidas de resiliencia de las entidades críticas

1.Los Estados miembros velarán por que las entidades críticas adopten medidas técnicas y organizativas adecuadas y proporcionadas para garantizar su resiliencia, incluidas las medidas necesarias para:

a)evitar que se produzcan incidentes, en particular mediante medidas de reducción del riesgo de catástrofes y de adaptación al cambio climático;

b)garantizar una protección física adecuada de las zonas, instalaciones y otras infraestructuras sensibles, incluidas vallas, barreras, herramientas y rutinas de vigilancia perimetral, así como equipos de detección y controles de acceso;

c)resistir y mitigar las consecuencias de los incidentes, incluida la aplicación de procedimientos y protocolos de gestión de riesgos y crisis y rutinas de alerta;

d)recuperarse de incidentes, incluidas las medidas de continuidad de las actividades y la identificación de cadenas de suministro alternativas;

e)garantizar una gestión adecuada de la protección de los empleados, en particular mediante la definición de las categorías de personal que ejerza funciones esenciales, el establecimiento de derechos de acceso a zonas, instalaciones y otras infraestructuras sensibles, y a la información sensible, así como la determinación de categorías específicas de personal con arreglo al artículo 12;

f)sensibilizar al personal pertinente sobre las medidas mencionadas en las letras a) a e).

2.Los Estados miembros velarán por que las entidades críticas tengan y apliquen un plan de resiliencia o documentos equivalentes que describan detalladamente las medidas con arreglo al apartado 1. Cuando las entidades críticas hayan adoptado medidas en virtud de obligaciones contenidas en otros actos del Derecho de la Unión que también sean pertinentes para las medidas a que se refiere el apartado 1, describirán asimismo dichas medidas en el plan de resiliencia o documentos equivalentes.

3.A petición del Estado miembro que haya identificado la entidad crítica y con el acuerdo de la entidad crítica de que se trate, la Comisión organizará misiones de asesoramiento, de conformidad con las disposiciones establecidas en el artículo 15, apartados 4, 5, 7 y 8, para asesorar a la entidad crítica de que se trate en el cumplimiento de sus obligaciones con arreglo al capítulo III. La misión de asesoramiento informará de sus conclusiones a la Comisión, al Estado miembro y a la entidad crítica de que se trate.

4.La Comisión estará facultada para adoptar, con arreglo al artículo 21, actos delegados que completen el apartado 1 mediante el establecimiento de normas detalladas que especifiquen algunas o todas las medidas que deban adoptarse en virtud de ese apartado. Adoptará dichos actos delegados en la medida en que sea necesario para la aplicación efectiva y coherente del citado apartado de conformidad con los objetivos de la presente Directiva, teniendo en cuenta cualquier evolución pertinente de los riesgos, la tecnología o la prestación de los servicios de que se trate, así como las particularidades de sectores y tipos de entidades particulares.

5.La Comisión adoptará actos de ejecución para establecer las especificaciones técnicas y metodológicas necesarias relativas a la aplicación de las medidas a que se refiere el apartado 1. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 20, apartado 2.

Artículo 12
Comprobación de antecedentes

1.Los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes de comprobación de los antecedentes personales de los miembros de determinadas categorías específicas de su personal, incluidas las personas consideradas para su contratación en puestos pertenecientes a esas categorías, y por que esas solicitudes sean evaluadas rápidamente por las autoridades competentes para efectuar las comprobaciones de antecedentes personales.

2.De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo 38 , el control de antecedentes a que se refiere el apartado 1:

a)establecerá la identidad de la persona sobre la base de los documentos justificativos oportunos;

b)cubrirá cualquier registro de antecedentes penales durante los cinco años anteriores al menos, y durante un máximo de diez años, de los delitos pertinentes para la contratación en un puesto determinado, en el Estado miembro o los Estados miembros de nacionalidad de la persona y en cualquiera de los Estados miembros o terceros países de residencia durante ese período de tiempo;

c)cubrirá los puestos de trabajo anteriores, la educación y cualquier vacío en la educación o el empleo en el currículo de la persona durante los cinco años anteriores al menos y durante un máximo de diez años.

Por lo que se refiere al párrafo primero, letra b), los Estados miembros velarán por que sus autoridades competentes para efectuar los controles de antecedentes penales obtengan la información sobre antecedentes penales de otros Estados miembros a través del ECRIS, de conformidad con los procedimientos establecidos en la Decisión Marco 2009/315/JAI del Consejo y, cuando proceda, en el Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo 39 . Las autoridades centrales a que se refieren el artículo 3 de la citada Decisión Marco y el artículo 3, apartado 5, del citado Reglamento responderán a las solicitudes de información en el plazo de diez días hábiles a partir de la fecha de recepción de la solicitud.

3.De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679, cada Estado miembro velará por que la comprobación de los antecedentes a que se refiere el apartado 1 también pueda ampliarse, sobre la base de una solicitud de la entidad crítica debidamente justificada, para aprovechar la información de inteligencia y cualquier otra información objetiva disponible que pueda ser necesaria para determinar la idoneidad de la persona de que se trate para desempeñar el puesto con respecto al cual la entidad crítica haya solicitado una comprobación de antecedentes ampliada.

Artículo 13
Notificación de incidentes

1.Los Estados miembros velarán por que las entidades críticas notifiquen sin demora indebida a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. Las notificaciones incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, las causas y las posibles consecuencias del incidente, incluida la determinación de cualquier impacto transfronterizo del incidente. Dicha notificación no implicará un aumento de la responsabilidad de las entidades críticas.

2.A fin de determinar la importancia de la perturbación o de la posible perturbación de las operaciones de la entidad crítica como consecuencia de un incidente, se tendrán en cuenta, en particular, los parámetros siguientes:

a)el número de usuarios afectados por la perturbación o la posible perturbación;

b)la duración de la perturbación o la duración prevista de la posible perturbación;

c)la zona geográfica afectada por la perturbación o la posible perturbación.

3.Sobre la base de la información facilitada en la notificación por la entidad crítica, la autoridad competente, a través de su punto de contacto único, informará a los puntos de contacto únicos de los otros Estados miembros afectados si el incidente tiene o puede tener un impacto significativo en las entidades críticas y en la continuidad de la prestación de servicios esenciales en uno o más Estados miembros.

Al hacerlo, los puntos de contacto únicos, de conformidad con el Derecho de la Unión o nacional conforme al Derecho de la Unión, tratarán la información de forma que se respete su confidencialidad y se proteja la seguridad y los intereses comerciales de la entidad crítica de que se trate.

4.Tan pronto como sea posible tras haber recibido la notificación a que se refiere el apartado 1, la autoridad competente facilitará a la entidad crítica notificadora información pertinente sobre el seguimiento de su notificación, incluida la información que pueda respaldar la respuesta efectiva de la entidad crítica al incidente.

Capítulo IV
Supervisión específica de las entidades críticas de particular importancia europea

Artículo 14
Entidades críticas de particular importancia europea

1.Las entidades críticas de particular importancia europea estarán sujetas a una supervisión específica, de conformidad con el presente capítulo.

2.Una entidad se considerará una entidad crítica de particular importancia europea cuando haya sido identificada como entidad crítica y preste servicios esenciales a un tercio o más de los Estados miembros y haya sido notificada como tal a la Comisión de conformidad con el artículo 5, apartados 1 y 6, respectivamente.

3.La Comisión, sin demora injustificada tras la recepción de la notificación con arreglo al artículo 5, apartado 6, notificará a la entidad interesada que se la considera una entidad crítica de particular importancia europea, informándola de las obligaciones que le incumben en virtud del presente capítulo y de la fecha a partir de la cual le serán exigibles esas obligaciones.

Las disposiciones del presente capítulo se aplicarán a la entidad crítica de particular importancia europea de que se trate a partir de la fecha de recepción de dicha notificación.

Artículo 15
Supervisión específica

1.A petición de uno o varios Estados miembros o de la Comisión, el Estado miembro en el que esté situada la infraestructura de la entidad crítica de particular importancia europea informará, junto con dicha entidad, a la Comisión y al Grupo de Resiliencia de las Entidades Críticas del resultado de la evaluación de riesgos realizada con arreglo al artículo 10 y de las medidas adoptadas de conformidad con el artículo 11.

El Estado miembro informará asimismo, sin demora indebida, a la Comisión y al Grupo de Resiliencia de las Entidades Críticas de cualquier medida de supervisión o ejecución, incluidas las evaluaciones del cumplimiento o las órdenes emitidas, que su autoridad competente haya emprendido con arreglo a los artículos 18 y 19 con respecto a dicha entidad.

2.A petición de uno o varios Estados miembros, o por iniciativa propia, y de acuerdo con el Estado miembro en el que esté situada la infraestructura de la entidad crítica de particular importancia europea, la Comisión organizará una misión de asesoramiento para evaluar las medidas que dicha entidad haya puesto en marcha para cumplir sus obligaciones con arreglo al capítulo III. En caso necesario, las misiones de asesoramiento podrán recabar conocimientos especializados en el ámbito de la gestión del riesgo de catástrofes a través del Centro de Coordinación de la Respuesta a Emergencias.

3.La misión de asesoramiento informará de sus conclusiones a la Comisión, al Grupo de Resiliencia de las Entidades Críticas y a la entidad crítica de particular importancia europea de que se trate en el plazo de tres meses a partir de la conclusión de la misión de asesoramiento.

El Grupo de Resiliencia de las Entidades Críticas analizará el informe y, en caso necesario, asesorará a la Comisión sobre si la entidad crítica de particular importancia europea de que se trate cumple sus obligaciones con arreglo al capítulo III y, en su caso, qué medidas podrían adoptarse para mejorar la resiliencia de dicha entidad.

Sobre la base de ese asesoramiento, la Comisión comunicará sus puntos de vista al Estado miembro en el que esté situada la infraestructura de dicha entidad, al Grupo de Resiliencia de las Entidades Críticas y a la propia entidad sobre si esta última cumple sus obligaciones con arreglo al capítulo III y, en su caso, qué medidas podrían adoptarse para mejorar su resiliencia.

El Estado miembro tendrá debidamente en cuenta esos puntos de vista y facilitará información a la Comisión y al Grupo de Resiliencia de las Entidades Críticas sobre cualquier medida que haya adoptado con arreglo a la Comunicación.

4.Cada misión de asesoramiento estará compuesta por expertos de los Estados miembros y representantes de la Comisión. Los Estados miembros podrán proponer candidatos para formar parte de una misión de asesoramiento. La Comisión seleccionará y nombrará a los miembros de cada misión de asesoramiento en función de su capacidad profesional y garantizando una representación geográficamente equilibrada entre los Estados miembros. La Comisión sufragará los gastos relacionados con la participación en la misión de asesoramiento.

La Comisión organizará el programa de la misión de asesoramiento, en consulta con los miembros de la misión de asesoramiento y de acuerdo con el Estado miembro en el que se encuentre la infraestructura de la entidad crítica o entidad crítica de particular importancia europea de que se trate.

5.La Comisión adoptará un acto de ejecución por el que se establezcan normas sobre las disposiciones de procedimiento para la realización de las misiones de asesoramiento y sus informes. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 20, apartado 2.

6.Los Estados miembros velarán por que la entidad crítica de particular importancia europea de que se trate proporcione a la misión de asesoramiento acceso a toda la información, sistemas e instalaciones relacionados con la prestación de sus servicios esenciales necesarios para el desempeño de sus funciones.

7.La misión de asesoramiento se llevará a cabo de conformidad con el Derecho nacional aplicable del Estado miembro en el que esté situada dicha infraestructura.

8.Al organizar las misiones de asesoramiento, la Comisión tendrá en cuenta los informes de todas las inspecciones llevadas a cabo por la Comisión con arreglo al Reglamento (CE) n.º 300/2008 y al Reglamento (CE) n.º 725/2004, así como los informes de cualquier supervisión efectuada por la Comisión en virtud de la Directiva 2005/65/CE en relación con la entidad crítica o la entidad crítica de particular importancia europea, según proceda.

Capítulo V
Cooperación e informes

Artículo 16 
Grupo de Resiliencia de las Entidades Críticas

1.Se crea un Grupo de Resiliencia de las Entidades Críticas con efecto a partir del [seis meses después de la entrada en vigor de la presente Directiva]. Apoyará a la Comisión y facilitará la cooperación estratégica y el intercambio de información sobre cuestiones relacionadas con la presente Directiva.

2.El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas podrá invitar a representantes de las partes interesadas a participar en su trabajo.

El representante de la Comisión presidirá el Grupo de Resiliencia de las Entidades Críticas.

3.El Grupo de Resiliencia de las Entidades Críticas desempeñará las siguientes funciones:

a)asistir a la Comisión en la ayuda a los Estados miembros para reforzar su capacidad de contribuir a garantizar la resiliencia de las entidades críticas de conformidad con la presente Directiva;

b)evaluar las estrategias de resiliencia de las entidades críticas a que se refiere el artículo 3 e identificar las mejores prácticas con respecto a dichas estrategias;

c)facilitar el intercambio de mejores prácticas en lo que respecta a la identificación de las entidades críticas por parte de los Estados miembros de conformidad con el artículo 5, también en relación con las dependencias transfronterizas y los riesgos e incidentes;

d)contribuir a la preparación de las directrices a que se refiere el artículo 6, apartado 3, y de cualquier acto delegado y de ejecución en virtud de la presente Directiva, previa solicitud;

e)examinar anualmente los informes de síntesis a que se refiere el artículo 8, apartado 3;

f)intercambiar las mejores prácticas en materia de intercambio de información relacionada con la notificación de incidentes a que se refiere el artículo 13;

g)analizar y asesorar sobre los informes de las misiones de asesoramiento de conformidad con el artículo 15, apartado 3;

h)intercambiar información y mejores prácticas en materia de investigación y desarrollo en relación con la resiliencia de las entidades críticas de conformidad con la presente Directiva;

i)cuando proceda, intercambiar información sobre cuestiones relativas a la resiliencia de las entidades críticas con las instituciones, órganos y organismos pertinentes de la Unión.

4.A más tardar [veinticuatro meses después de la entrada en vigor de la presente Directiva], y posteriormente cada dos años, el Grupo de Resiliencia de las Entidades Críticas establecerá un programa de trabajo sobre las acciones que deban emprenderse para cumplir sus objetivos y tareas, que deberá ser coherente con los requisitos y objetivos de la presente Directiva.

5.El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente y al menos una vez al año con el Grupo de cooperación creado en virtud de [la Directiva SRI 2] para promover la cooperación estratégica y el intercambio de información.

6.La Comisión podrá adoptar actos de ejecución que establezcan las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Resiliencia de las Entidades Críticas. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 20, apartado 2.

7.La Comisión presentará al Grupo de Resiliencia de las Entidades Críticas un informe resumido de la información facilitada por los Estados miembros de conformidad con el artículo 3, apartado 3, y el artículo 4, apartado 4, a más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva] y, posteriormente cuando sea necesario, al menos cada cuatro años.

Artículo 17
Apoyo de la Comisión a las autoridades competentes y a las entidades críticas

1.La Comisión apoyará, cuando proceda, a los Estados miembros y a las entidades críticas en el cumplimiento de sus obligaciones en virtud de la presente Directiva, en particular elaborando una visión general a escala de la Unión de los riesgos transfronterizos e intersectoriales para la prestación de servicios esenciales, organizando las misiones de asesoramiento a que se refieren el artículo 11, apartado 3, y el artículo 15, apartado 3, y facilitando el intercambio de información entre expertos en toda la Unión.

2.La Comisión complementará las actividades de los Estados miembros a que se refiere el artículo 9 mediante el desarrollo de mejores prácticas y metodologías, así como de actividades y ejercicios de formación transfronterizos para poner a prueba la resiliencia de las entidades críticas.

Capítulo VI
SUPERVISIÓN Y ENFORMACIÓN

Artículo 18
Aplicación y ejecución

1.A fin de evaluar el cumplimiento de las obligaciones de la presente Directiva por parte de las entidades que los Estados miembros hayan considerado entidades críticas con arreglo al artículo 5, estos velarán por que las autoridades competentes dispongan de las competencias y medios necesarios para:

a)llevar a cabo inspecciones in situ de los locales que utilice la entidad crítica para prestar sus servicios esenciales y la supervisión externa de las medidas de las entidades críticas con arreglo al artículo 11;

b)realizar u ordenar auditorías con respecto a dichas entidades.

2.Los Estados miembros velarán por que las autoridades competentes dispongan de las competencias y medios necesarios para exigir, cuando sea necesario para el desempeño de sus funciones con arreglo a la presente Directiva, que las entidades que hayan identificado como entidades críticas con arreglo al apartado 5 faciliten, en un plazo razonable fijado por dichas autoridades:

a)la información necesaria para evaluar si las medidas adoptadas por las citadas entidades para garantizar su resiliencia cumplen los requisitos del artículo 11;

b)pruebas de la aplicación efectiva de las medidas, incluidos los resultados de una auditoría realizada por un auditor cualificado e independiente seleccionado por la entidad y a expensas de esta.

Cuando exijan dicha información, las autoridades competentes indicarán la finalidad del requisito y especificarán la información requerida.

3.Sin perjuicio de la posibilidad de imponer sanciones de conformidad con el artículo 19, las autoridades competentes, tras las medidas de supervisión a que se refiere el apartado 1 o la evaluación de la información a que se refiere el apartado 2, podrán ordenar a las entidades críticas interesadas que adopten las medidas necesarias y proporcionadas para poner remedio a cualquier infracción detectada de la presente Directiva, en un plazo razonable fijado por tales autoridades, y que les faciliten información sobre las medidas adoptadas. Dichas resoluciones tendrán en cuenta, en particular, la gravedad de la infracción.

4.Los Estados miembros velarán por que las competencias previstas en los apartados 1, 2 y 3 solo puedan ejercerse con las salvaguardias adecuadas. Dichas salvaguardias garantizarán, en particular, que ese ejercicio se lleve a cabo de manera objetiva, transparente y proporcionada, y que los derechos e intereses legítimos de las entidades críticas interesadas estén debidamente protegidos, incluidos sus derechos a ser oídas, de defensa y de tutela judicial efectiva ante un órgano jurisdiccional independiente.

5.Los Estados miembros velarán por que, cuando una autoridad competente evalúe el cumplimiento de una entidad crítica con arreglo al presente artículo, informe a las autoridades competentes del Estado miembro de que se trate designadas con arreglo a la [Directiva SRI 2] y pueda solicitar a dichas autoridades que evalúen la ciberseguridad de la entidad y cooperen e intercambien información a tal efecto.

Artículo 19
Sanciones

Los Estados miembros determinarán las sanciones aplicables a las infracciones de las disposiciones nacionales adoptadas en cumplimiento de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su ejecución. Las sanciones establecidas serán eficaces, proporcionadas y disuasorias. Los Estados miembros notificarán dichas disposiciones a la Comisión a más tardar el [dos años después de la entrada en vigor de la presente Directiva] y le notificarán sin demora cualquier modificación posterior de las mismas.

Capítulo VII
DISPOSICIONES FINALES

Artículo 20
Procedimiento de comité

1.La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.º 182/2011.

2.En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.º 182/2011.

Artículo 21
Ejercicio de la delegación

1.Se otorgan a la Comisión poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.

2.Los poderes para adoptar actos delegados mencionados en el artículo 11, apartado 4, se otorgan a la Comisión por un período de cinco años a partir de la fecha de entrada en vigor de la presente Directiva o cualquier otra fecha fijada por los colegisladores.

3.La delegación de poderes mencionada en el artículo 11, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá fin a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. La Decisión no afectará a la validez de los actos delegados ya vigentes.

4.Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.

5.Tan pronto como la Comisión adopte un acto delegado, lo notificará simultáneamente al Parlamento Europeo y al Consejo.

6.Los actos delegados adoptados en virtud del artículo 11, apartado 4, entrarán en vigor únicamente si, en el plazo de dos meses desde su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.

Artículo 22
Informes y revisión

A más tardar [cincuenta y cuatro meses después de la entrada en vigor de la presente Directiva], la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúe en qué medida los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva.

La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. El informe evaluará, en particular, el impacto y el valor añadido de la presente Directiva a la hora de garantizar la resiliencia de las entidades críticas y si el ámbito de aplicación de la Directiva debe ampliarse a otros sectores o subsectores. El primer informe se presentará a más tardar el [seis años después de la entrada en vigor de la presente Directiva] y evaluará, en particular, si el ámbito de aplicación de la Directiva debe ampliarse para incluir el sector de la producción, transformación y distribución de alimentos.

Artículo 23
Derogación de la Directiva 2008/114/CE

Queda derogada la Directiva 2008/114/CE con efecto a partir del [fecha de entrada en vigor de la presente Directiva].

Artículo 24
Transposición

1.Los Estados miembros adoptarán y publicarán, a más tardar [dieciocho meses después de la entrada en vigor de la presente Directiva], las disposiciones legales, reglamentarias y administrativas necesarias para dar cumplimiento a lo establecido en la presente Directiva. Comunicarán inmediatamente a la Comisión el texto de dichas disposiciones.

Aplicarán esas disposiciones a partir del [dos años después de la entrada en vigor de la presente Directiva + un día].

Cuando los Estados miembros adopten tales disposiciones, estas harán referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de esa referencia.

2.Los Estados miembros comunicarán a la Comisión el texto de las disposiciones básicas de Derecho interno que adopten en el ámbito regulado por la presente Directiva.

Artículo 25
Entrada en vigor

La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.

Artículo 26
Destinatarios

Los destinatarios de la presente Directiva serán los Estados miembros.

Hecho en Bruselas, el

FICHA FINANCIERA LEGISLATIVA

1.MARCO DE LA PROPUESTA/INICIATIVA

1.1.Denominación de la propuesta/iniciativa

1.2.Política(s) afectada(s) 

Seguridad.

1.3.La propuesta/iniciativa se refiere a:

◻ una acción nueva 

◻ una acción nueva a raíz de un proyecto piloto/una acción preparatoria 40  

☑ la prolongación de una acción existente 

◻ una fusión o reorientación de una o más acciones hacia otra/una nueva acción

1.4.Objetivo(s)

1.4.1.Objetivo(s) general(es)

1.4.2.Objetivo(s) específico(s)

1.4.3.Resultado(s) e incidencia esperados

Especifíquense los efectos que la propuesta/iniciativa debería tener sobre los beneficiarios/la población destinataria.

1.4.4.Indicadores de rendimiento

Precisar los indicadores para hacer un seguimiento de los avances y logros.

1.5.Justificación de la propuesta/iniciativa

1.5.1.Necesidad(es) que debe(n) satisfacerse a corto o largo plazo, incluido un calendario detallado de la aplicación de la iniciativa

1.5.2.Valor añadido de la intervención de la Unión (puede derivarse de distintos factores, como mejor coordinación, seguridad jurídica, mejora de la eficacia o complementariedades). A efectos del presente punto, se entenderá por «valor añadido de la intervención de la Unión» el valor resultante de una intervención de la Unión que viene a sumarse al valor que se habría generado de haber actuado los Estados miembros de forma aislada.

1.5.3.Principales conclusiones extraídas de experiencias similares anteriores

1.5.4.Compatibilidad con el marco financiero plurianual y posibles sinergias con otros instrumentos adecuados

1.6.Duración e incidencia financiera de la propuesta/iniciativa

◻ duración limitada

◻    en vigor desde el [DD/MM] AAAA hasta el [DD/MM] AAAA

◻    Incidencia financiera desde AAAA hasta AAAA para los créditos de compromiso y desde AAAA hasta AAAA para los créditos de pago.

☑ duración ilimitada

·Ejecución: fase de puesta en marcha desde 2021 hasta 2027,

·y pleno funcionamiento a partir de la última fecha.

1.7.Modo(s) de gestión previsto(s) 41  

☑ Gestión directa a cargo de la Comisión

☑Por sus servicios, incluido su personal en las Delegaciones de la Unión;

◻    por las agencias ejecutivas

☑ Gestión compartida con los Estados miembros

◻ Gestión indirecta mediante delegación de tareas de ejecución presupuestaria en:

◻Terceros países o los organismos que estos hayan designado;

Organizaciones◻ internacionales y sus agencias (especifíquense);

◻El BEI y el Fondo Europeo de Inversiones;

◻Los organismos a que se hace referencia en los artículos 70 y 71 del Reglamento Financiero;

Organismos de Derecho◻ público;

◻Organismos de Derecho privado investidos de una misión de servicio público, en la medida en que presenten garantías financieras suficientes;

◻Organismos de Derecho privado de un Estado miembro a los que se haya encomendado la ejecución de una colaboración público-privada y que presenten garantías financieras suficientes;

◻Personas a quienes se haya encomendado la ejecución de acciones específicas en el marco de la PESC, de conformidad con el título V del Tratado de la Unión Europea, y que estén identificadas en el acto de base correspondiente.

Si se indica más de un modo de gestión, facilítense los detalles en el recuadro de observaciones.

Observaciones

2.MEDIDAS DE GESTIÓN

2.1.Disposiciones en materia de seguimiento e informes

Especifique la frecuencia y las condiciones.

2.2.Sistema de gestión y de control

2.2.1.Justificación del/de los modo(s) de gestión, del/de los mecanismo(s) de aplicación de la financiación, de las modalidades de pago y de la estrategia de control propuestos

2.2.2.Información relativa a los riesgos identificados y al/a los sistema(s) de control interno establecido(s) para atenuarlos

2.2.3.Estimación y justificación de la relación coste-eficacia de los controles (ratio «costes de control ÷ valor de los fondos correspondientes gestionados»), y evaluación de los niveles previstos de riesgo de error (en el momento del pago y& al cierre)

2.3.Medidas de prevención del fraude y de las irregularidades

Especifíquense las medidas de prevención y protección existentes o previstas, por ejemplo, la estrategia contra el fraude.

3.INCIDENCIA FINANCIERA ESTIMADA DE LA PROPUESTA/INICIATIVA

3.1.Rúbrica(s) del marco financiero plurianual y línea(s) presupuestaria(s) de gastos afectada(s)

(1)Nuevas líneas presupuestarias

En el orden de las rúbricas del marco financiero plurianual y las líneas presupuestarias.

Comentario:

Cabe señalar que los créditos operativos solicitados en el contexto de la propuesta están cubiertos por créditos ya previstos en la EPA subyacente al Reglamento FSI.

En el contexto de la presente propuesta legislativa se solicitan recursos humanos adicionales.

3.2.Incidencia financiera estimada de la propuesta sobre créditos

3.2.1.Resumen de la incidencia estimada en los créditos de operaciones

◻    La propuesta/iniciativa no exige la utilización de créditos de operaciones.

☑ La propuesta/iniciativa exige la utilización de créditos de operaciones, tal como se explica a continuación:

En millones EUR (al tercer decimal)

Si la propuesta/iniciativa afecta a más de una rúbrica operativa, repetir la sección anterior:

Esta sección debe rellenarse utilizando los «datos presupuestarios de carácter administrativo» que deben introducirse primero en el anexo de la ficha financiera legislativa (anexo V de las normas internas), que se carga en DECIDE a efectos de consulta entre servicios.

En millones EUR (al tercer decimal)

En millones EUR (al tercer decimal)

3.2.2.Resultados estimados financiados con créditos de operaciones Créditos de compromiso en millones EUR (al tercer decimal)

OBJETIVO ESPECÍFICO N.º 1: Apoyo de la Comisión a las autoridades competentes y entidades críticas

OBJETIVO ESPECÍFICO N.º 2: Equipos consultivos de resiliencia

3.2.3.Resumen de la incidencia estimada en los créditos administrativos

◻        La propuesta/iniciativa no exige la utilización de créditos administrativos.

☑    La propuesta/iniciativa exige la utilización de créditos administrativos, tal como se explica a continuación:

En millones EUR (al tercer decimal)

Los créditos necesarios para recursos humanos y otros gastos de carácter administrativo se cubrirán mediante créditos de la DG ya asignados a la gestión de la acción o reasignados dentro de la DG, que se complementarán, en caso necesario, con cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de las restricciones presupuestarias existentes.

3.2.3.1.Necesidades previstas de recursos humanos

◻    La propuesta/iniciativa no exige la utilización de recursos humanos.

☑    La propuesta/iniciativa exige la utilización de recursos humanos, tal como se explica a continuación:

Estimación que debe expresarse en equivalencia a tiempo completo

XX es la política o título en cuestión.

Las necesidades de recursos humanos serán cubiertas por el personal de la DG ya destinado a la gestión de la acción o reorganizado internamente en la DG, completado en su caso por cualquier dotación adicional que pudiera asignarse a la DG gestora en el marco del procedimiento de asignación anual y a la luz de las dificultades presupuestarias existentes.

Descripción de las tareas a efectuar:

3.2.4.Compatibilidad con el marco financiero plurianual vigente

La propuesta/iniciativa:

☑    puede ser financiada en su totalidad mediante una redistribución dentro de la rúbrica correspondiente del marco financiero plurianual (MFP).

◻    requiere el uso del margen no asignado con cargo a la rúbrica pertinente del MFP o el uso de los instrumentos especiales tal como se define en el Reglamento del MFP.

◻    requiere una revisión del MFP.

3.2.5.Contribución de terceros

La propuesta/iniciativa:

☑    no prevé la cofinanciación por terceros

◻    prevé la cofinanciación por terceros que se estima a continuación:

Créditos en millones EUR (al tercer decimal)

3.3.Incidencia estimada en los ingresos

☑    La propuesta/iniciativa no tiene incidencia financiera en los ingresos.

◻    La propuesta/iniciativa tiene la incidencia financiera que se indica a continuación:

◻    en los recursos propios

◻    en otros ingresos

indíquese si los ingresos se asignan a las líneas de gasto ◻    

En millones EUR (al tercer decimal)

En el caso de los ingresos asignados, especifíquese la línea o líneas presupuestarias de gasto en la(s) que repercutan.

Otras observaciones (por ejemplo, método/fórmula utilizada para calcular la incidencia en los ingresos o cualquier otra información).

(1)    Conclusiones del Consejo, de 10 de diciembre de 2019, sobre las acciones complementarias para aumentar la resiliencia y luchar contra las amenazas híbridas (doc. 14972/19).

(2)    Informe sobre las conclusiones y recomendaciones de la Comisión Especial sobre Terrorismo del Parlamento Europeo (2018/2044 (INI)).

(3)    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

(4)    COM(2020) 605.

(5)    COM(2020) 795.

(6)    Comunicación de la Comisión sobre un programa europeo para la protección de infraestructuras críticas. COM (2006) 786.

(7)    Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección.

(8)    Comunicación de la Comisión sobre una estrategia de adaptación al cambio climático de la UE. COM (2013) 216; Decisión 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión; Reglamento (CE) n.º 2019/452 por el que se establece un marco para el control de las inversiones extranjeras directas en la Unión; Directiva 2016/1148 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión.

(9)    Resumen de los riesgos de catástrofe natural y de origen humano a los que puede enfrentarse la Unión Europea. SWD(2020) 330.

(10)    SWD(2019) 308.

(11)    Comunicación de la Comisión sobre una Estrategia de la UE para una Unión de la Seguridad. COM (2020) 605.

(12)    SWD (2019) 310.

(13)    Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.

(14)    DO C [...] de [...], p. [...].

(15)    DO C [...] de [...], p. [...].

(16)    Posición del Parlamento Europeo [...] y del Consejo [...].

(17)    Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

(18)    SWD(2019) 308.

(19)    Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC).

(20)    [Referencia a la Directiva SRI 2, una vez adoptada.]

(21)    Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).

(22)    Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

(23)    Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

(24)    Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

(25)    Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

(26)    Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

(27)    Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 [COM (2020) 595].

(28)    Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.º 2320/2002 (DO L 97/72 de 9.4.2008, p. 72).

(29)    Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).

(30)    Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).

(31)    Decisión de la Comisión, de 29 de junio de 2018, por la que se crea la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE C/2018/4014.

(32)    DO L 123 de 12.5.2016, p. 1.

(33)    Reglamento (UE) n.º 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).

(34)    Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo, por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

(35)    Decisión 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión (DO L 347 de 20.12.2013, p. 924).

(36)    Reglamento (UE) 2019/941 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre la preparación frente a los riesgos en el sector de la electricidad y por el que se deroga la Directiva 2005/89/CE (DO L 158 de 14.6.2019, p. 1).

(37)    Reglamento (UE) 2017/1938 del Parlamento Europeo y del Consejo, de 25 de octubre de 2017, sobre medidas para garantizar la seguridad del suministro de gas y por el que se deroga el Reglamento (UE) n.º 994/2010 (DO L 280 de 28.10.2017, p. 1).

(38)    DO L 119 de 4.5.2016, p. 1.

(39)    DO L 135 de 22.5.2019, p. 1.

(40)    Tal como se contempla en el artículo 58, apartado 2, letras a) o b), del Reglamento Financiero.

(41)    Los detalles de los modos de gestión y las referencias al Reglamento Financiero pueden consultarse en el sitio BudgWeb: https://myintracomm.ec.europa.eu/budgweb/EN/man/budgmanag/Pages/budgmanag.aspx

(42)    CD = Créditos disociados/CND = Créditos no disociados.

(43)    AELC: Asociación Europea de Libre Comercio.

(44)    Países candidatos y, cuando proceda, países candidatos potenciales de los Balcanes Occidentales.

(45)    Asistencia técnica o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.

(46)    Asistencia técnica o administrativa y gastos de apoyo a la ejecución de programas o acciones de la UE (antiguas líneas «BA»), investigación indirecta, investigación directa.

(47)    AC = agente contractual; AL = agente local; ENCS = experto nacional en comisión de servicios; INT = personal de agencia; JPD = joven profesional en delegación.

(48)    Sublímite para el personal externo con cargo a créditos de operaciones (antiguas líneas «BA»).

(49)    El año N es el año de comienzo de la ejecución de la propuesta/iniciativa. Sustitúyase «N» por el primer año de ejecución previsto (por ejemplo, 2021). Igual para los años siguientes.

(50)    Por lo que se refiere a los recursos propios tradicionales (derechos de aduana, cotizaciones sobre el azúcar), los importes indicados deben ser importes netos, es decir, importes brutos tras la deducción del 20 % de los gastos de recaudación.

COMISIÓN EUROPEA

Bruselas, 16.12.2020

COM(2020) 829 final

ANEXOS

de la propuesta de

DIRECTIVA DEL PARLAMENTO EUROPEO Y DEL CONSEJO

relativa a la resiliencia de las entidades críticas

{SEC(2020) 433 final} - {SWD(2020) 358 final} - {SWD(2020) 359 final}

ANEXO

Sectores, subsectores y tipos de entidades

(1)    Directiva (UE) 2019/944 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre normas comunes para el mercado interior de la electricidad y por la que se modifica la Directiva 2012/27/UE (DO L 158 de 14.6.2019, p. 125).

(2)    Reglamento (UE) 2019/943 del Parlamento Europeo y del Consejo, relativo al mercado interior de la electricidad (DO L 158 de 14.6.2019, p. 54).

(3)    Directiva (UE) 2018/2001 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, relativa al fomento del uso de energía procedente de fuentes renovables (DO L 328 de 21.12.2018, p. 82).

(4)    Directiva 2009/119/CE del Consejo, de 14 de septiembre de 2009, por la que se obliga a los Estados miembros a mantener un nivel mínimo de reservas de petróleo crudo o productos petrolíferos (DO L 265 de 9.10.2009, p. 9).

(5)    Directiva 2009/73/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre normas comunes para el mercado interior del gas natural y por la que se deroga la Directiva 2003/55/CE (DO L 211 de 14.8.2009, p. 94).

(6)    Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.º 2320/2002 (DO L 97 de 9.4.2008, p. 72).

(7)    Directiva 2009/12/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativa a las tasas aeroportuarias (DO L 70 de 14.3.2009, p. 11).

(8)    Reglamento (CE) n.º 1315/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, sobre las orientaciones de la Unión para el desarrollo de la Red Transeuropea de Transporte, y por el que se deroga la Decisión 661/2010/UE (DO L 348 de 20.12.2013, p. 1).

(9)    Reglamento (CE) n.º 549/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se fija el marco para la creación del cielo único europeo (Reglamento marco) (DO L 96 de 31.3.2004, p. 1).

(10)    Directiva 2012/34/UE del Parlamento Europeo y del Consejo, de 21 de noviembre de 2012, por la que se establece un espacio ferroviario europeo único (DO L 343 de 14.12.2012, p. 32).

(11)    Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).

(12)    Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).

(13)    Directiva 2002/59/CE del Parlamento Europeo y del Consejo, de 27 de junio de 2002, relativa al establecimiento de un sistema comunitario de seguimiento y de información sobre el tráfico marítimo y por la que se deroga la Directiva 93/75/CEE del Consejo (DO L 208 de 5.8.2002, p. 10).

(14)    Reglamento Delegado de la Comisión (UE) 2015/962, de 18 de diciembre de 2014, por el que se complementa la Directiva 2010/40/UE del Parlamento Europeo y del Consejo en lo que respecta al suministro de servicios de información de tráfico en tiempo real en toda la UE (DO L 157 de 23.6.2015, p. 21).

(15)    Directiva 2010/40/UE del Parlamento Europeo y del Consejo, de 7 de julio de 2010, por la que se establece el marco para la implantación de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).

(16)    Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

(17)    Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

(18)    Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

(19)    Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).

(20)    [Reglamento del Parlamento Europeo y del Consejo sobre las amenazas transfronterizas graves para la salud y por el que se deroga la Decisión 1082/2013/UE, referencia que debe actualizarse una vez que se adopte la propuesta COM (2020) 727 final].

(21)    Directiva 2001/83/CE del Parlamento Europeo y del Consejo, de 6 de noviembre de 2001, por la que se establece un código comunitario sobre medicamentos para uso humano (DO L 311 de 28.11.2001, p. 67).

(22)    [Reglamento sobre un papel reforzado de la Agencia Europea de Medicamentos en la preparación y gestión de crisis con respecto a los medicamentos y los productos sanitarios [COM (2020) 725 final], referencia una vez que se actualice la propuesta].

(23)    Directiva 98/83/CE del Consejo, de 3 de noviembre de 1998, relativa a la calidad de las aguas destinadas al consumo humano (DO L 330 de 5.12.1998, p. 32).

(24)    Directiva 91/271/CEE del Consejo, de 21 de mayo de 1991, sobre el tratamiento de las aguas residuales urbanas (DO L 135 de 30.5.1991, p. 40).

(25)    Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).

(26)    Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (DO L 321 de 17.12.2018, p. 36).

(27)    Reglamento (CE) n.º 1059/2003 del Parlamento Europeo y del Consejo, de 26 de mayo de 2003, por el que se establece una nomenclatura común de unidades territoriales estadísticas (NUTS) (DO L 154 de 21.6.2003, p. 1).