(1)

Por su condición de proveedoras de servicios esenciales, las entidades críticas son indispensables para mantener las funciones sociales o las actividades económicas vitales en el mercado interior, con una economía de la Unión cada vez más interdependiente. Por ello es esencial establecer un marco de la Unión con el fin de aumentar la resiliencia de las entidades críticas en el mercado interior fijando unas normas mínimas armonizadas, y de prestarles asistencia mediante un apoyo coherente y específico y medidas de supervisión.

(2)

La Directiva 2008/114/CE del Consejo (4) establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y el transporte cuya perturbación o destrucción tendría repercusiones transfronterizas significativas en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 2019 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas únicamente a activos individuales no bastan para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar que se tengan mejor en cuenta los riesgos, se mejore la definición y la coherencia de la función y las obligaciones de las entidades críticas que prestan servicios esenciales para el funcionamiento del mercado interior, y se adopten normas de la Unión a fin de aumentar la resiliencia de las entidades críticas. Las entidades críticas han de poder reforzar su capacidad de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes que puedan perturbar la prestación de servicios esenciales.

(3)

Pese a que existen diversas medidas a escala de la Unión, como el Programa Europeo de Protección de Infraestructuras Vitales, y a escala nacional destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan tales infraestructuras han de estar mejor equipadas para hacer frente a los riesgos para sus operaciones que puedan dar lugar a una perturbación en la prestación de servicios esenciales. También se debe hacer más por equipar mejor a tales entidades dada la existencia de un panorama dinámico de amenazas, entre las que figuran las amenazas híbridas y terroristas en evolución y las crecientes interdependencias entre infraestructura y sectores. Además, ha aumentado el riesgo físico derivado de las catástrofes naturales y del cambio climático, que intensifica la frecuencia y la magnitud de los fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden mermar la capacidad, la eficiencia y la vida útil de determinados tipos de infraestructuras si no existen medidas de adaptación al cambio climático. Además, el mercado interior se caracteriza por la fragmentación en lo que respecta a la identificación de las entidades críticas, pues los sectores y categorías de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. Por consiguiente, la presente Directiva debe lograr un nivel sustancial de armonización en lo que se refiere a los sectores y categorías de entidades que entran en su ámbito de aplicación.

(4)

Si bien determinados sectores de la economía, como los sectores de la energía y del transporte, ya están regulados mediante actos jurídicos sectoriales de la Unión, dichos actos jurídicos contienen disposiciones relativas únicamente a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son vitales para el correcto funcionamiento del mercado interior, la presente Directiva crea un marco general que aborda la resiliencia de las entidades críticas con respecto a todos los peligros, ya sean naturales, o provocados, accidental o intencionadamente, por el ser humano.

(5)

Las crecientes interdependencias entre infraestructuras y sectores son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, el agua potable, las aguas residuales, la producción, transformación y distribución de productos alimentarios, la sanidad, el espacio, la infraestructura de los mercados financieros y la infraestructura digital, y en ciertos aspectos del sector de la Administración pública. El sector espacial se inscribe en el ámbito de aplicación de la presente Directiva en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres cuya propiedad, gestión y explotación corresponde a Estados miembros o a entidades privadas; por consiguiente, las infraestructuras cuya propiedad, gestión y explotación corresponde a la Unión o se efectúa en su nombre como parte de su programa espacial no entran en el ámbito de la presente Directiva.

Por lo que se refiere al sector energético y, en particular, a los métodos de generación y transporte de electricidad (en relación con el suministro de electricidad), se sobreentiende que, toda vez que se estime oportuno, pueden incluirse en la generación de energía eléctrica los elementos de transmisión eléctrica de las centrales nucleares, pero se excluyen los elementos específicamente nucleares regulados por tratados y por el Derecho de la Unión, incluidos los actos jurídicos pertinentes de la Unión relativos a la energía nuclear. El proceso de identificación de las entidades críticas en el sector alimentario debe reflejar adecuadamente la naturaleza del mercado interior en dicho sector y las amplias normas de la Unión relativas a los principios y requisitos generales de la legislación y la seguridad alimentarias. Por consiguiente, a fin de garantizar una estrategia proporcionada y de reflejar adecuadamente el papel y la importancia de dichas entidades a escala nacional, las entidades críticas únicamente deben incluir las empresas alimentarias, ya sean públicas o privadas, con o sin ánimo de lucro, que se dediquen exclusivamente a la logística y distribución al por mayor y la producción y transformación industrial a gran escala que registren una cuota de mercado importante a escala nacional. Dichas interdependencias suponen que cualquier perturbación de los servicios esenciales, incluso inicialmente limitada a una entidad o a un sector, puede producir efectos en cascada más amplios, lo que podría tener una repercusión negativa de gran alcance y duradera para la prestación de servicios en todo el mercado interior. Las grandes crisis, como la pandemia de COVID-19, han puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes, frente a riesgos de baja probabilidad que tengan grandes repercusiones.

(6)

Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por el Derecho nacional. El hecho de que algunos Estados miembros tengan unos requisitos menos estrictos para esas entidades no solo conduce a distintos niveles de resiliencia, sino que también puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión y obstaculiza el correcto funcionamiento del mercado interior. Los inversores y las empresas pueden confiar en las entidades críticas que sean resilientes y fiarse de ellas, al ser la confianza y la fiabilidad las piedras angulares de un mercado interior que funciona correctamente. Los tipos de entidades similares se consideran críticos en algunos Estados miembros pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en distintos Estados miembros. Ello da lugar a una carga administrativa adicional e innecesaria para las empresas que realizan operaciones transfronterizas, en particular en el caso de aquellas que tienen actividad en Estados miembros con unos requisitos más estrictos. Por consiguiente, un marco de la Unión también implicaría unas condiciones de competencia equitativas para las entidades críticas en toda la Unión.

(7)

Es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior, aumentar la resiliencia de las entidades críticas y mejorar la cooperación transfronteriza entre las autoridades competentes. Es importante que la concepción y la aplicación de estas normas estén preparadas para el futuro, al mismo tiempo que se permite la flexibilidad necesaria. También es crucial mejorar la capacidad de las entidades críticas para prestar servicios esenciales frente a distintos riesgos.

(8)

A fin de alcanzar un alto grado de resiliencia, los Estados miembros deben identificar las entidades críticas que van a estar sujetas a unos requisitos y una supervisión específicos y a las que se va a brindar apoyo y orientación específicos frente a todos los riesgos pertinentes.

(9)

Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, debe garantizarse, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (5). Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva (UE) 2022/2555 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva (UE) 2022/2555, las materias reguladas por dicha Directiva deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

(10)

A fin de evitar duplicidades y cargas innecesarias, las disposiciones pertinentes de la presente Directiva no deben aplicarse si las disposiciones de actos jurídicos sectoriales de la Unión obligan a las entidades críticas a adoptar medidas para aumentar su resiliencia y tales obligaciones son reconocidas por los Estados miembros como al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva. En tal caso, deben aplicarse las disposiciones pertinentes de esos otros actos jurídicos de la Unión. Cuando no sean de aplicación las disposiciones pertinentes de la presente Directiva, las disposiciones en materia de supervisión y ejecución establecidas en ella tampoco deben aplicarse.

(11)

La presente Directiva no afecta a las competencias de los Estados miembros y sus autoridades por lo que respecta a la autonomía administrativa ni a su responsabilidad de preservar la seguridad nacional y la defensa o de sus competencias de salvaguardar otras funcionales esenciales del Estado, en particular por lo que atañe a la seguridad pública, la integridad territorial y el mantenimiento del orden público. La exclusión de las entidades de la administración pública del ámbito de aplicación de la presente Directiva debe aplicarse a las entidades que realicen sus actividades predominantemente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales. No obstante, las entidades de la administración pública cuyas actividades estén mínimamente relacionadas con dichos ámbitos deben entrar en el ámbito de aplicación de la presente Directiva. A los efectos de la presente Directiva, se considera que las entidades con competencias reguladoras no realizan actividades en el ámbito de la aplicación de la ley y, por lo tanto, no quedan excluidas por ese motivo de su ámbito de aplicación. Las entidades de la administración pública establecidas conjuntamente con un tercer país de conformidad con un acuerdo internacional no entran en el ámbito de aplicación de la presente Directiva. La presente Directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países.

Determinadas entidades críticas realizan actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales, o prestan servicios exclusivamente a entidades de la administración pública que realizan actividades predominantemente en dichos ámbitos. Habida cuenta de la responsabilidad de los Estados miembros de salvaguardar la seguridad nacional y la defensa, los Estados miembros deben poder decidir que las obligaciones de las entidades críticas establecidas en la presente Directiva no se apliquen total o parcialmente a dichas entidades críticas si los servicios que prestan o las actividades que realizan están relacionadas predominantemente con los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales. Las entidades críticas cuyos servicios o actividades solo estén mínimamente relacionados con dichos ámbitos deben seguir en el ámbito de aplicación de la presente Directiva. No se debe obligar a ningún Estado miembro a facilitar información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional. Son pertinentes las normas de la Unión o nacionales en materia de protección de la información clasificada, y los acuerdos de confidencialidad.

(12)

Para no poner en peligro la seguridad nacional ni la seguridad y los intereses comerciales de las entidades críticas, el acceso a información delicada así como su intercambio y tratamiento deben efectuarse con prudencia, prestando especial atención a los canales de transmisión y las capacidades de almacenamiento que se utilicen.

(13)

Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro debe contar con una estrategia que mejore la resiliencia de las entidades críticas (en lo sucesivo, «estrategia»). La estrategia debe establecer los objetivos estratégicos y las medidas de actuación que hayan de aplicarse. En aras de la coherencia y la eficiencia, la estrategia debe estar diseñada para integrarse adecuadamente en las políticas vigentes, a partir, siempre que sea posible, de estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia. A fin de alcanzar un enfoque global, los Estados miembros deben garantizar que sus estrategias establezcan un marco de actuación para mejorar la coordinación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555, en el contexto del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y en el contexto del ejercicio de las tareas de supervisión. Al poner en marcha sus estrategias, los Estados miembros deben tener debidamente en cuenta la naturaleza híbrida de las amenazas para las entidades críticas.

(14)

Los Estados miembros deben comunicar a la Comisión sus estrategias y las actualizaciones sustanciales de estas, en particular para que la Comisión pueda evaluar la correcta aplicación de la presente Directiva en lo que se refiere a los enfoques estratégicos sobre la resiliencia de las entidades críticas a escala nacional. En caso necesario, las estrategias podrían comunicarse como información clasificada. La Comisión debe elaborar un informe de síntesis de las estrategias comunicadas por los Estados miembros que sirva de base para los intercambios a fin de determinar las mejores prácticas y las cuestiones de interés común en el marco de un Grupo de Resiliencia de las Entidades Críticas. Debido al carácter delicado de la información incluida en el informe de síntesis, clasificada o no, la Comisión debe tratar el informe de síntesis con el nivel pertinente de concienciación en lo que respecta a la seguridad de las entidades críticas, los Estados miembros y la Unión. El informe de síntesis y las estrategias deben protegerse contra acciones ilícitas o malintencionadas y únicamente deben ser accesibles para las personas autorizadas con el fin de alcanzar los objetivos de la presente Directiva. La comunicación de las estrategias y las actualizaciones sustanciales de estas también deben ayudar a la Comisión a comprender la evolución de los enfoques de resiliencia de las entidades críticas y contribuir al seguimiento del impacto y el valor añadido de la presente Directiva, que la Comisión debe revisar periódicamente.

(15)

Las acciones de los Estados miembros para identificar las entidades críticas y ayudarlas a asegurar su resiliencia deben seguir un enfoque basado en el riesgo que se centre en las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro debe realizar, en un marco armonizado, una evaluación de los riesgos naturales y de origen humano pertinentes, incluidos los de carácter transfronterizo o intersectorial, que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública como las pandemias y las amenazas híbridas u otras amenazas antagónicas, incluidos los delitos de terrorismo, la infiltración delictiva y el sabotaje (en lo sucesivo, «evaluación de riesgos del Estado miembro»). Al realizar las evaluaciones de riesgos del Estado miembro, los Estados miembros deben tener en cuenta otras evaluaciones de riesgos generales o sectoriales que se hayan realizado en virtud de otros actos jurídicos de la Unión y deben considerar hasta qué punto unos sectores dependen de otros, incluidos los sectores de otros Estados miembros y de terceros países. Los resultados de las evaluaciones de riesgos del Estado miembro deben utilizarse a fin de identificar las entidades críticas y de ayudarlas a cumplir sus requisitos de resiliencia. La presente Directiva se aplica únicamente a los Estados miembros y a las entidades críticas que actúan dentro de la Unión. No obstante, la experiencia y los conocimientos generados por las autoridades competentes, en particular mediante las evaluaciones de riesgos, así como por la Comisión, en particular a través de diversas formas de apoyo y cooperación, podrían utilizarse, cuando proceda y de conformidad con los instrumentos jurídicos aplicables, en beneficio de terceros países, en particular los de la vecindad directa de la Unión, al contribuir a la cooperación existente en materia de resiliencia.

(16)

A fin de garantizar que todas las entidades pertinentes estén sujetas a los requisitos de resiliencia de la presente Directiva y reducir las divergencias a ese respecto, es importante establecer normas armonizadas que posibiliten una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen adecuadamente la función y la importancia de dichas entidades a escala nacional. Al aplicar los criterios establecidos en la presente Directiva, cada Estado miembro debe identificar las entidades que presten uno o varios servicios esenciales y que operen en su territorio y tengan infraestructuras críticas situadas en él. Debe considerarse que una entidad opera en el territorio de un Estado miembro en el que realice actividades necesarias para el servicio o servicios esenciales en cuestión, y en el que se sitúe la infraestructura crítica de dicha entidad que se utilice para prestar ese servicio o servicios. Cuando en algún Estado miembro no exista ninguna entidad que cumpla dichos criterios, dicho Estado miembro no debe estar obligado a identificar una entidad crítica en el sector o subsector correspondiente. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, deben establecerse normas adecuadas en lo que respecta a la notificación a las entidades de que han sido identificadas como entidades críticas.

(17)

Los Estados miembros deben presentar a la Comisión, de tal manera que se cumplan los objetivos de la presente Directiva, una lista de los servicios esenciales, el número de entidades críticas identificadas en relación con cada uno de los sectores y subsectores indicados en el anexo y en relación con el servicio o los servicios esenciales que preste cada entidad y, si se aplican, los umbrales. Debe ser posible presentar umbrales como tales o en forma agregada, de forma que se pueda calcular una media de los datos por zona geográfica, año, sector, subsector u otros criterios, y entre los que puede figurar información sobre el conjunto de indicadores facilitados.

(18)

Deben establecerse criterios para determinar el carácter significativo de un efecto perturbador producido por un incidente. Esos criterios deben basarse en los establecidos en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (6), a fin de aprovechar los esfuerzos realizados por los Estados miembros para identificar los operadores de servicios esenciales tal como se definen en dicha Directiva y la experiencia adquirida a ese respecto. Las grandes crisis, como la pandemia de COVID-19, han puesto de manifiesto la importancia de garantizar la seguridad de la cadena de suministro y han demostrado cómo su perturbación puede tener repercusiones económicas y sociales negativas en un gran número de sectores y a través de las fronteras. Por consiguiente, los Estados miembros también deben tener en cuenta, en la medida de lo posible, los efectos en la cadena de suministro al determinar hasta qué punto otros sectores y subsectores dependen del servicio esencial prestado por una entidad crítica.

(19)

De conformidad con el Derecho de la Unión y nacional aplicable, incluido el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (7), que establece un marco para el control de las inversiones extranjeras directas en la Unión, debe reconocerse la amenaza potencial que plantea la propiedad extranjera de infraestructuras críticas dentro de la Unión, ya que los servicios, la economía y la libre circulación y seguridad de los ciudadanos de la Unión dependen del correcto funcionamiento de las infraestructuras críticas.

(20)

La Directiva (UE) 2022/2555 obliga a las entidades pertenecientes al sector de las infraestructuras digitales, las cuales podrían ser identificadas como entidades críticas con arreglo a la presente Directiva, a adoptar las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de seguridad de los sistemas de redes y de información, así como a notificar los incidentes significativos y ciberamenazas. Puesto que las amenazas a la seguridad de los sistemas de redes y de información pueden tener diferentes orígenes, la Directiva (UE) 2022/2555 aplica un enfoque de «todos los riesgos posibles» que incluye la resiliencia de los sistemas de redes y de información, así como los componentes físicos y el entorno de dichos sistemas.

Dado que los requisitos establecidos en la Directiva (UE) 2022/2555 a ese respecto son al menos equivalentes a las correspondientes obligaciones establecidas en la presente Directiva, las obligaciones establecidas en el artículo 11 y los capítulos III, IV y VI de la presente Directiva no deben aplicarse a las entidades pertenecientes al sector de las infraestructuras digitales, a fin de evitar duplicidades y cargas administrativas innecesarias. No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades pertenecientes al sector de las infraestructuras digitales para las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, sobre la base de los criterios y utilizando el procedimiento previsto en la presente Directiva, como entidades críticas a las entidades pertenecientes al sector de las infraestructuras digitales. Deben, por consiguiente, aplicarse las estrategias, las evaluaciones de riesgos del Estado miembro y las medidas de apoyo establecidas en el capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades críticas, a condición de que dichas disposiciones sean coherentes con el Derecho de la Unión aplicable.

(21)

El Derecho de la Unión en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Este Derecho incluye los Reglamentos (UE) n.o 648/2012 (8), (UE) n.o 575/2013 (9) y (UE) n.o 600/2014 (10) del Parlamento Europeo y del Consejo y las Directivas 2013/36/UE (11) y 2014/65/UE (12) del Parlamento Europeo y del Consejo. Dicho marco jurídico se complementa con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (13), que establece los requisitos aplicables a las entidades financieras que gestionen riesgos relacionados con las tecnologías de la información y de las comunicaciones (TIC), incluidos los relativos a la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de dichas entidades está, por tanto, ampliamente cubierta, el artículo 11 y los capítulos III, IV y VI de la presente Directiva no deben aplicarse a dichas entidades, a fin de evitar duplicidades y cargas administrativas innecesarias.

No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades en el sector financiero a las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, sobre la base de los criterios y utilizando el procedimiento previsto en la presente Directiva, a entidades del sector financiero como entidades críticas. Por consiguiente, se deben aplicar las estrategias, las evaluaciones de riesgos del Estado miembro y las medidas de apoyo establecidas en el capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades críticas, a condición de que dichas disposiciones sean coherentes con el Derecho de la Unión aplicable.

(22)

Los Estados miembros deben designar o establecer autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y garantizar que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales, y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión existentes y de evitar duplicidades, los Estados miembros deben poder designar o establecer más de una autoridad competente. Si designan o establecen más de una autoridad competente, los Estados miembros deben delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deben cooperar de manera más general con otras autoridades pertinentes, tanto a nivel de la Unión como nacional.

(23)

A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro debe designar, sin perjuicio de los requisitos de los actos jurídicos sectoriales de la Unión, un punto de contacto único encargado de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión (en lo sucesivo, «punto de contacto único»), dentro de una autoridad competente cuando proceda. Cada punto de contacto único debe servir de enlace y coordinar la comunicación, cuando proceda, con las autoridades competentes de su Estado miembro, con los puntos de contacto únicos de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas.

(24)

Las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 deben cooperar e intercambiar información en relación con los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella que afecten a las entidades críticas, así como en relación con las medidas pertinentes adoptadas por las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555. Es importante que los Estados miembros garanticen que los requisitos establecidos en la presente Directiva y en la Directiva (UE) 2022/2555 se apliquen de forma complementaria y que las entidades críticas no estén sujetas a una carga administrativa superior a la necesaria para alcanzar los objetivos de la presente Directiva y de dicha Directiva.

(25)

Los Estados miembros deben ayudar a las entidades críticas, también a las que tienen la condición de pequeñas y medianas empresas, a reforzar su resiliencia, de conformidad con las obligaciones de los Estados miembros establecidas en la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades críticas de garantizar su cumplimiento y, de este modo, evitar las cargas administrativas excesivas. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar la resiliencia de las entidades críticas y proporcionar asesoramiento y formación al personal de las entidades críticas. Cuando sea necesario y esté justificado por objetivos de interés público, los Estados miembros pueden proporcionar recursos financieros y deben facilitar el intercambio voluntario de información y de buenas prácticas entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea (TFUE).

(26)

Al objeto de aumentar la resiliencia de las entidades críticas identificadas por los Estados miembros y a fin de reducir las cargas administrativas de dichas entidades críticas, las autoridades competentes deben efectuar consultas entre sí, siempre que proceda, con el fin de garantizar que la presente Directiva se aplique de manera coherente. Dichas consultas deben celebrarse a instancia de cualquier autoridad competente interesada, y centrarse en garantizar un planteamiento convergente en lo relativo a las entidades críticas interconectadas que utilicen infraestructuras críticas físicamente conectadas entre dos o más Estados miembros, que pertenezcan a los mismos grupos o estructuras empresariales, o que se hayan identificado en un Estado miembro y que presten servicios esenciales a otros Estados miembros o en otros Estados miembros.

(27)

Cuando el Derecho nacional o de la Unión disponga que las entidades críticas deben evaluar los riesgos pertinentes a efectos de la presente Directiva y tomar medidas para garantizar su propia resiliencia, tales requisitos deben tenerse debidamente en cuenta a los efectos de supervisar el cumplimiento por las entidades críticas de la presente Directiva.

(28)

Las entidades críticas deben tener una comprensión cabal de los riesgos pertinentes a los que están expuestas y tener la obligación de analizar dichos riesgos. A tal fin, deben realizar evaluaciones de riesgos siempre que sea necesario, habida cuenta de sus circunstancias particulares y de la evolución de tales riesgos, y, en cualquier caso, cada cuatro años, para evaluar todos los riesgos pertinentes que puedan perturbar la prestación de sus servicios esenciales (en lo sucesivo, «evaluación de riesgos de la entidad crítica»). Cuando hayan realizado otras evaluaciones de riesgos o elaborado documentos en virtud de obligaciones establecidas en otros actos jurídicos que sean pertinentes para su evaluación de riesgos de la entidad crítica, las entidades críticas deben poder utilizar dichas evaluaciones y documentos para cumplir los requisitos establecidos en la presente Directiva en lo relativo a las evaluaciones de riesgos de la entidad crítica. Una autoridad competente debe poder declarar que una evaluación de riesgos existente realizada por una entidad crítica que aborde los riesgos y el grado de dependencia pertinentes cumple, total o parcialmente, con las obligaciones establecidas en la presente Directiva.

(29)

Las entidades críticas deben adoptar medidas técnicas, organizativas, y de seguridad adecuadas y proporcionadas a los riesgos a los que se enfrenten a los efectos de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante un incidente. Si bien las entidades críticas deben tomar dichas medidas de conformidad con la presente Directiva, los detalles y el alcance de tales medidas deben reflejar los diferentes riesgos que cada una de las entidades críticas haya determinado como parte de su evaluación de riesgos de la entidad crítica y las características específicas de dicha entidad de manera adecuada y proporcionada. A fin de promover un enfoque coherente a escala de la Unión, la Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, debe adoptar directrices no vinculantes para especificar con más detalle dichas medidas técnicas, organizativas y de seguridad. Los Estados miembros deben garantizar que cada entidad crítica designe a un agente de enlace o equivalente como punto de contacto con las autoridades competentes.

(30)

En aras de la eficacia y la rendición de cuentas, las entidades críticas deben describir las medidas que adopten, con un nivel de detalle que permita alcanzar de manera suficiente los objetivos de eficacia y rendición de cuentas, teniendo en cuenta los riesgos detectados, en un plan de resiliencia, o en uno o varios documentos que sean equivalentes a un plan de resiliencia, y poner ese plan en práctica. La entidad crítica que ya haya adoptado medidas técnicas, organizativas y de seguridad y elaborado documentos en virtud de otros actos jurídicos que sean pertinentes para las medidas de aumento de la resiliencia en virtud de la presente Directiva, debe poder, a fin de evitar duplicidades, utilizar dichas medidas y documentos para cumplir los requisitos en materia de medidas de resiliencia con arreglo a la presente Directiva. A fin de evitar duplicidades, la autoridad competente debe poder declarar que las medidas de resiliencia existentes adoptadas por una entidad crítica que aborden sus obligaciones de adoptar medidas técnicas, organizativas y de seguridad con arreglo a la presente Directiva son conformes, total o parcialmente, con los requisitos de la presente Directiva.

(31)

Los Reglamentos (CE) n.o 725/2004 (14) y (CE) n.o 300/2008 (15) del Parlamento Europeo y del Consejo y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo (16) establecen requisitos aplicables a las entidades de los sectores del transporte aéreo y marítimo para prevenir incidentes causados por actos ilícitos, y para resistir y mitigar las consecuencias de tales incidentes. Si bien las medidas exigidas en virtud de la presente Directiva son más amplias en términos de riesgos y tipos de medidas que han de adoptarse, las entidades críticas de esos sectores deben reflejar en su plan de resiliencia o en los documentos equivalentes las medidas adoptadas en virtud de esos otros actos jurídicos de la Unión. Las entidades críticas también deben tener en cuenta la Directiva 2008/96/CE del Parlamento Europeo y del Consejo (17), que introduce una evaluación de las carreteras del conjunto de la red para cartografiar los riesgos de accidentes y una inspección específica de seguridad vial para detectar condiciones peligrosas, defectos y problemas que aumentan el riesgo de accidentes y lesiones, a partir de visitas in situ a carreteras o tramos de carreteras en servicio. Garantizar la protección y la resiliencia de las entidades críticas reviste la máxima importancia para el sector ferroviario y, a la hora de aplicar medidas de resiliencia en virtud de la presente Directiva, se anima a las entidades críticas a que se remitan a las directrices no vinculantes y documentos de buenas prácticas elaborados en el marco de líneas de trabajo sectoriales, como la Plataforma de la UE en materia de seguridad de los viajeros de ferrocarril establecida por la Decisión 2018/C 232/03 de la Comisión (18).

(32)

El riesgo de que los empleados de las entidades críticas o sus contratistas hagan un uso indebido, por ejemplo, de sus derechos de acceso dentro de la organización de la entidad crítica para causar daños y perjuicios es cada vez más preocupante. Por tanto, los Estados miembros deben especificar las condiciones en las cuales las entidades críticas están autorizadas, en casos debidamente motivados y teniendo en cuenta las evaluaciones de riesgos del Estado miembro, para presentar solicitudes de comprobación de antecedentes personales de las personas pertenecientes a categorías específicas de su personal. Debe garantizarse que las autoridades competentes evalúen dichas solicitudes en un plazo razonable, y las tramiten de conformidad con el Derecho y los procedimientos nacionales y con el Derecho de la Unión pertinente y aplicable, también en materia de protección de datos personales. A fin de corroborar la identidad de una persona objeto de una comprobación de antecedentes personales, conviene que los Estados miembros exijan una prueba de identidad, como un pasaporte, un documento nacional de identidad o formas digitales de identificación, de conformidad con el Derecho aplicable.

Las comprobaciones de antecedentes personales deben incluir una comprobación de los registros de antecedentes penales de la persona de que se trate. Los Estados miembros deben utilizar información procedente del Sistema Europeo de Información de Antecedentes Penales, de conformidad con los procedimientos establecidos en la Decisión Marco 2009/315/JAI del Consejo (19) y, cuando proceda y sea aplicable, en el Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo (20), a fin de obtener información de los registros de antecedentes penales de otros Estados miembros. Los Estados miembros también podrían recurrir, cuando proceda y sea aplicable, al Sistema de Información de Schengen de segunda generación (SIS II) establecido por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (21), a la inteligencia, así como a cualquier otra información objetiva disponible que pueda ser necesaria para determinar la idoneidad de la persona de que se trate para trabajar en el puesto para el cual la entidad crítica haya solicitado una comprobación de antecedentes personales.

(33)

Debe establecerse un mecanismo para la notificación de determinados incidentes que permita a las autoridades competentes responder a los incidentes de forma rápida y adecuada, y tener una visión global de las repercusiones, la naturaleza, la causa y las posibles consecuencias de un incidente al que se enfrenten las entidades críticas. Las entidades críticas deben notificar sin demora indebida a las autoridades competentes los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales. A menos que sean operativamente incapaces de hacerlo, las entidades críticas deben presentar una notificación inicial a más tardar veinticuatro horas después de haber tenido conocimiento de un incidente. La notificación inicial únicamente debe incluir la información que sea estrictamente necesaria para que la autoridad competente tenga constancia del incidente y la entidad crítica pueda solicitar asistencia, en caso de que sea necesario. Dicha notificación debe indicar, en la medida de lo posible, la causa presunta del incidente. Los Estados miembros deben asegurarse de que el requisito de presentar dicha notificación inicial no desvíe los recursos de la entidad crítica de actividades relacionadas con la gestión de incidentes que deban priorizarse. La notificación inicial debe ir seguida, en su caso, de un informe detallado a más tardar un mes después del incidente. El informe detallado debe complementar la notificación inicial y ofrecer una visión más completa del incidente.

(34)

La normalización debe seguir siendo un proceso impulsado fundamentalmente por el mercado. Sin embargo, aún pueden darse situaciones en las que sea conveniente exigir el cumplimiento de normas específicas. Cuando resulte útil, los Estados miembros deben fomentar la aplicación de normas y especificaciones técnicas europeas e internacionales que sean pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas.

(35)

Si bien las entidades críticas actúan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de dichas entidades revisten especial importancia para la Unión y su mercado interior, ya que prestan servicios esenciales a o en seis o más Estados miembros y, por lo tanto, podrían beneficiarse de apoyo específico a escala de la Unión. Por consiguiente, deben establecerse normas sobre las misiones de asesoramiento con respecto de dichas entidades críticas de especial importancia europea. Dichas normas se entenderán sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva.

(36)

Previa solicitud motivada de la Comisión o de uno o más Estados miembros a o en los que se preste el servicio esencial, cuando se necesite información adicional para poder asesorar a una entidad crítica en el cumplimiento de sus obligaciones en virtud de la presente Directiva o para evaluar si una entidad crítica de especial importancia europea cumple las citadas obligaciones, el Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica debe entregar a la Comisión determinada información según lo dispuesto en la presente Directiva. De acuerdo con el Estado miembro que haya identificado como entidad crítica a la entidad crítica de especial importancia europea, la Comisión debe poder organizar una misión de asesoramiento para evaluar las medidas adoptadas por dicha entidad. A fin de garantizar que estas misiones de asesoramiento se lleven a cabo correctamente, deben establecerse normas complementarias, en particular sobre la organización y realización de las misiones de asesoramiento, el seguimiento que deba darse y las obligaciones de las entidades críticas de especial importancia europea de que se trate. Las misiones de asesoramiento deben llevarse a cabo, sin perjuicio de la necesidad de que el Estado miembro donde se realicen y la entidad crítica interesada cumplan las normas establecidas en la presente Directiva, de conformidad con las normas detalladas del Derecho de dicho Estado miembro, por ejemplo, sobre las condiciones precisas que deben cumplirse a fin de tener acceso a las instalaciones o documentos pertinentes y sobre las vías de recurso judicial. Los conocimientos específicos necesarios para estas misiones de asesoramiento podrían solicitarse, cuando proceda, a través del Centro de Coordinación de la Respuesta a Emergencias establecido por la Decisión n.o 1313/2013/UE del Parlamento Europeo y del Consejo (22).

(37)

Con el fin de apoyar a la Comisión y facilitar la cooperación entre los Estados miembros y el intercambio de información, incluidas las mejores prácticas, sobre las cuestiones relacionadas con la presente Directiva, debe establecerse un Grupo de Resiliencia de las Entidades Críticas, en calidad de grupo de expertos de la Comisión. Los Estados miembros deben procurar garantizar que los representantes designados de sus autoridades competentes en el Grupo de Resiliencia de las Entidades Críticas cooperen de manera eficaz y eficiente, también mediante el nombramiento de representantes que cuenten con la habilitación de seguridad, en su caso. El Grupo de Resiliencia de las Entidades Críticas comenzará a desempeñar sus funciones tan pronto como sea posible a fin de proporcionar medios adicionales para una cooperación adecuada durante el período de transposición de la presente Directiva. El Grupo de Resiliencia de las Entidades Críticas debe interactuar con otros grupos de expertos sectoriales pertinentes.

(38)

El Grupo de Resiliencia de las Entidades Críticas debe cooperar con el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 con vistas a apoyar un marco global para la resiliencia cibernética y no cibernética de las entidades críticas. El Grupo de Resiliencia de las Entidades Críticas y el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 deben entablar un diálogo periódico a fin de promover la cooperación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555, y de facilitar el intercambio de información, en particular sobre temas de interés para ambos grupos.

(39)

A fin de alcanzar los objetivos de la presente Directiva, y sin perjuicio de la responsabilidad jurídica de los Estados miembros y de las entidades críticas de garantizar el cumplimiento de sus respectivas obligaciones establecidas en ella, la Comisión, cuando lo considere oportuno, debe prestar apoyo a las autoridades competentes y entidades críticas con el objetivo de facilitarles el cumplimiento de sus respectivas obligaciones. Al prestar apoyo a los Estados miembros y a las entidades críticas en el cumplimiento de las obligaciones derivadas de la presente Directiva, la Comisión debe basarse en las estructuras e instrumentos existentes, como el Mecanismo de Protección Civil de la Unión, creado por la Decisión n.o 1313/2013/UE, y la Red Europea de Referencia para la Protección de Infraestructuras Críticas. Además, debe informar a los Estados miembros de los recursos disponibles a escala de la Unión, como el Fondo de Seguridad Interior, creado por el Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo (23), Horizonte Europa, creado por el Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo (24), u otros instrumentos pertinentes para la resiliencia de las entidades críticas.

(40)

Los Estados miembros deben garantizar que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deben incluir, en particular, la facultad de realizar inspecciones y auditorías, la facultad de supervisar, la facultad de exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, la facultad de emitir órdenes para subsanar los incumplimientos detectados. Al emitir tales órdenes, los Estados miembros no deben exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad del incumplimiento y la capacidad económica de dicha entidad crítica. En términos más generales, estas competencias deben ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones tal como se establece en la presente Directiva, las autoridades competentes con arreglo a la presente Directiva deben poder solicitar a las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 que ejerzan sus facultades de supervisión y ejecución en relación con una entidad con arreglo a dicha Directiva que haya sido identificada como entidad crítica con arreglo a la presente Directiva. Las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 deben cooperar e intercambiar información a tal efecto.

(41)

A fin de aplicar la presente Directiva de manera eficaz y coherente, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE con el fin de completar la presente Directiva mediante la elaboración de una lista de servicios esenciales. Las autoridades competentes deben utilizar dicha lista para realizar las evaluaciones de riesgos del Estado miembro e identificar las entidades críticas con arreglo a la presente Directiva. A la luz del enfoque de armonización mínima de la presente Directiva, dicha lista no es exhaustiva y los Estados miembros podrían complementarla con servicios esenciales adicionales a nivel nacional a fin de tener en cuenta las características específicas nacionales en la prestación de servicios esenciales. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (25). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados.

(42)

A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (26).

(43)

Dado que los objetivos de la presente Directiva, a saber, garantizar la prestación sin obstrucciones en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales y aumentar la resiliencia de las entidades críticas que prestan tales servicios, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el artículo 5, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(44)

El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (27), emitió su dictamen el 11 de agosto de 2021.

(45)

Por consiguiente, debe derogarse la Directiva 2008/114/CE.