Aumentar la resiliencia de las entidades críticas

 

SÍNTESIS DEL DOCUMENTO:

Directiva 2022/2557 relativa a la resiliencia de las entidades críticas

¿CUÁL ES EL OBJETIVO DE ESTA DIRECTIVA?

La Directiva tiene por objeto:

• reducir la vulnerabilidad y reforzar la resiliencia* física de entidades críticas de la Unión Europea (UE) a fin de garantizar la prestación ininterrumpida de servicios esenciales para la economía y la sociedad en su conjunto;
• aumentar la resiliencia de las entidades críticas que prestan estos servicios.

PUNTOS CLAVE

Tras una evaluación de riesgos, los Estados miembros de la UE deben identificar las entidades críticas que prestan servicios esenciales para el mantenimiento de funciones fundamentales para la sociedad, las actividades económicas, la salud pública y la seguridad o el medio ambiente, e identificar los casos en que un incidente tendrá efectos perturbadores significativos sobre dichos servicios esenciales, incluso cuando afectara a los sistemas nacionales que salvaguardan el Estado de Derecho. Se aplica a entidades de los siguientes sectores:

• la energía, incluida la electricidad, la calefacción urbana, el petróleo, el gas y los operadores del hidrógeno;
• el transporte aéreo, ferroviario, marítimo, fluvial y por carretera, incluido el transporte público;
• la banca, que también está sujeta al Reglamento (UE) 2022/2554 (el Reglamento sobre la resiliencia operativa digital del sector financiero, véase la síntesis);
• la infraestructura de los mercados financieros, incluidos los centros de negociación, también sujeta al Reglamento sobre la resiliencia operativa digital del sector financiero;
• la salud, incluidos los profesionales sanitarios, los fabricantes de productos farmacéuticos básicos y productos sanitarios esenciales, así como las personas encargadas de la investigación y del desarrollo de medicamentos;
• los proveedores y distribuidores de agua potable;
• la eliminación y el tratamiento de aguas residuales;
• las infraestructuras digitales, incluidos los servicios de comunicaciones electrónicas y los centros de datos, que también están sujetos a la Directiva (UE) 2022/2555 (véase la síntesis);
• las entidades de la administración pública a nivel del Gobierno central, a excepción de la seguridad nacional, la seguridad pública, la defensa y las fuerzas del orden;
• los operadores espaciales de infraestructuras terrestres; y
• las empresas alimentarias que se dedican exclusivamente a la logística y a la distribución al por mayor, así como a la producción y transformación industriales a gran escala.

Cabe señalar que algunas partes de la Directiva no se aplican a las entidades de los sectores de la banca, de la infraestructura de los mercados financieros ni de las infraestructuras digitales.

Cada Estado miembro debe:

• adoptar una estrategia nacional y llevar a cabo evaluaciones periódicas de los riesgos;
• tener en cuenta los resultados de las evaluaciones de riesgos, identificar las entidades que prestan servicios esenciales a la sociedad, a la economía, a la salud pública, a la seguridad o al medio ambiente;
• apoyar a las entidades críticas identificadas en la mejora de su resiliencia, por ejemplo, con material orientativo, ejercicios, asesoramiento y formación;
• garantizar que las autoridades nacionales tengan las competencias, los recursos y los medios necesarios para llevar a cabo sus tareas de supervisión, incluida la realización de inspecciones «in situ» de las entidades críticas y la introducción de sanciones por incumplimiento como parte de un mecanismo de aplicación;
• especificar las condiciones en las que una entidad crítica puede presentar solicitudes de verificación de antecedentes del personal que desempeña funciones sensibles.

Las entidades críticas deben:

• llevar a cabo evaluaciones de riesgos propias con el fin de identificar los riesgos que podrían afectar a su capacidad para prestar servicios esenciales;
• adoptar medidas técnicas, de seguridad y organizativas para mejorar su resiliencia;
• notificar incidentes perturbadores significativos a las autoridades nacionales.

Si las entidades críticas prestan servicios esenciales en seis o más Estados miembros, podrían beneficiarse de un asesoramiento suplementario en forma de misiones consultivas que evalúen la evaluación de riesgos y las medidas de mejora de la resiliencia que ha puesto en marcha la entidad.

Un Grupo de Resiliencia de las Entidades Críticas facilita la cooperación entre los Estados miembros, incluido el intercambio de información y de buenas prácticas.

La Comisión Europea brinda apoyo, en particular sobre los riesgos intersectoriales, las mejores prácticas, las metodologías, la formación transfronteriza y los ejercicios para probar la resiliencia de las entidades críticas.

¿DESDE CUÁNDO ESTÁN EN VIGOR ESTAS NORMAS?

La Directiva debe estar transpuesta a la legislación nacional a más tardar el 17 de octubre de 2024. Las normas deberán entrar en vigor a partir del 18 de octubre de 2024.

ANTECEDENTES

La Estrategia de la UE para una Unión de la Seguridad y la Agenda de Lucha contra el Terrorismo de la Comisión destacan la importancia de garantizar la resiliencia de las entidades críticas ante riesgos físicos y digitales.

La presente Directiva forma parte de un paquete de medidas legislativas destinadas a mejorar la capacidad de respuesta ante incidentes y la resiliencia de entidades públicas y privadas de la UE en el ámbito de la ciberseguridad y la protección de infraestructuras críticas.

En enero de 2023, el Consejo también emitió una recomendación sobre un enfoque coordinado a escala de la UE para reforzar la resiliencia de las infraestructuras críticas.

Para más información, véanse:

• Cómo responde la UE a las crisis y crea resiliencia (Consejo Europeo, Consejo de la Unión Europea)
• Infraestructuras críticas (Comisión Europea).

TÉRMINOS CLAVE

DOCUMENTO PRINCIPAL

Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, pp. 164-198).

DOCUMENTOS CONEXOS

Recomendación del Consejo, de 8 de diciembre de 2022, sobre un enfoque coordinado en toda la Unión para reforzar la resiliencia de las infraestructuras críticas (DO L 20 de 20.1.2023, pp. 1-11).

Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.^o 1060/2009, (UE) n.^o 648/2012, (UE) n.^o 600/2014, (UE) n.^o 909/2014 y (UE) 2016/1011 (DO L 333 de 27.12.2022, pp. 1-79).

Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.^o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, pp. 80-152).

Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones: Agenda de lucha contra el terrorismo de la UE: anticipar, prevenir, proteger, responder [COM(2020) 795 final de 9.12.2020].

Comunicación de la Comisión al Parlamento Europeo, al Consejo Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones sobre la Estrategia de la UE para una Unión de la Seguridad [COM(2020) 605 final de 24.7.2020].

Directiva (UE) 2019/944 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre normas comunes para el mercado interior de la electricidad y por la que se modifica la Directiva 2012/27/UE (versión refundida) (DO L 158 de 14.6.2019, pp. 125-199).

Las modificaciones sucesivas de la Directiva (UE) 2019/944 se han incorporado al texto original. Esta versión consolidada solo tiene valor documental.

Reglamento (UE) 2019/943 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, relativo al mercado interior de la electricidad (versión refundida) (DO L 158 de 14.6.2019, pp. 54-124).

Véase la versión consolidada.

Reglamento (UE) 2019/941 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre la preparación frente a los riesgos en el sector de la electricidad y por el que se deroga la Directiva 2005/89/CE (DO L 158 de 14.6.2019, pp. 1-21).

Directiva (UE) 2018/2001 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, relativa al fomento del uso de energía procedente de fuentes renovables (versión refundida) (DO L 328 de 21.12.2018, pp. 82-209).

Véase la versión consolidada.

Reglamento (UE) 2017/1938 del Parlamento Europeo y del Consejo, de 25 de octubre de 2017, sobre medidas para garantizar la seguridad del suministro de gas y por el que se deroga el Reglamento (UE) n.^o 994/2010 (DO L 280 de 28.10.2017, pp. 1-56).

Véase la versión consolidada.

Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, pp. 6-21).

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, pp. 1-88).

Véase la versión consolidada.

Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, pp. 89-131).

Véase la versión consolidada.

Reglamento (UE) n.^o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.^o 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, pp. 12-33).

Véase la versión consolidada.

Directiva 2012/18/UE del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas y por la que se modifica y ulteriormente deroga la Directiva 96/82/CE (DO L 197 de 24.7.2012, pp. 1-37)

Directiva 2009/73/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre normas comunes para el mercado interior del gas natural y por la que se deroga la Directiva 2003/55/CE (DO L 211 de 14.8.2009, pp. 94-136).

Véase la versión consolidada.

Directiva 2007/60/CE del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, relativa a la evaluación y gestión de los riesgos de inundación (DO L 288 de 6.11.2007, pp. 27-34).

Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, pp. 37-47).

Véase la versión consolidada.

última actualización 16.01.2023