Seguritecnia 499

A vista de / Enero-Febrero 2023 42 Es el momento de corregir las lagunas que dejó abierta la Ley 8/2011 (PIC), que pasó del responsable de enlace para la seguridad que pedía la Directi- va 2008/114, a exigir la designación de un responsable de seguridad y enlace , sin tener en cuenta la existencia de una normativa, la de seguridad privada, que ya atribuye responsabilidades en la se- guridad de los sujetos obligados. Cuarto, una cuestión verdaderamen- te llamativa es la capacidad de que la Comisión Europea organice misiones de asesoramiento sobre las entidades críticas. Nada que ver con la previsión del artículo 18 que se refiere a misiones de asesoramiento para entidades críti- cas de especial importancia europea. Pero, pese a que en ambos casos sea preceptiva la petición previa de los Es- tados miembros, en el primero no deja de sugerir una cierta tutela por parte de la Unión, que no todos los Estados de- mandarán. De especial importancia resulta el artículo 14, que introduce la posibilidad de comprobación de antecedentes de ciertas personas relacionadas con las entidades críticas por razones labora- les, incluidos sus proveedores. Hemos de felicitarnos por esta medida que, incomprensiblemente, se ha demorado excesivamente pese a que ya se venía aplicando en muchos otros sectores. La Fundación Borredá elaboró, ya en 2019, un estudio sobre la Amenaza Interna en el Ámbito de las Infraestructuras Críti- cas 1 , que ofrecía conclusiones demole- doras. Hoy, por fin, se abre la puerta a esta herramienta, no definitiva, pero sin duda indispensable. En este mismo capítulo, la Directiva da normas sobre notificación de incidentes que perturben, o puedan perturbar, de forma significativa la prestación de servi- cios esenciales, aportando criterios para valorar la magnitud de la perturbación. Este aspecto, también nuevo, resulta del máximo interés, habida cuenta del pro- pio carácter de los servicios esenciales. Finalmente, este capítulo dedicado a la resiliencia de las entidades críticas, abre la puerta a otro tipo de normas en su el artículo 16: “A fin de promover una aplicación convergente de la presente Directiva, los Estados miembros, cuando resulte útil y sin imponer ni favorecer el uso de un tipo específico de tecnología, fomentarán la utilización de normas y especificaciones técnicas europeas e internacionales que sean pertinentes para las medidas de seguridad y resilien- cia aplicables a las entidades críticas”. Resulta bien entendido que se trata de una admisión conceptual, sin crear obli- gaciones, pero se reconoce el servicio de este tipo de normas a la creación de mejores estándares en seguridad. En cuanto a la supervisión y ejecu- ción del cumplimiento de las obliga- ciones impuestas por la Directiva, las autoridades competentes de los Esta- dos podrán realizar inspecciones in situ o realizar u ordenar auditorías con respecto a entidades críticas. Como consecuencia, podrán requerirles que que están obligadas a someterse a di- cha comprobación de antecedentes, así como el establecimiento de requisitos adecuados en materia de formación y cualificaciones. Segundo, las entidades críticas deben elaborar, y aplicar, un plan de resilien- cia en el que describan las medidas anteriores. Para cumplir con estos requi- sitos, se admiten las medidas tomadas en virtud de otras obligaciones, siempre con el aval de la autoridad competente. Es decir, se reconoce la validez del tra- bajo anterior, por lo que, a falta de al- gunos retoques, los Planes de Seguridad del Operador y Planes de Protección Es- pecíficos mantienen su utilidad. Tercero, la entidad crítica debe de- signar a un agente de enlace o equi- valente como punto de contacto con las autoridades competentes. No se especi- fica su misión, pero habrá que entender que la seguridad jugará un destacado papel en el enlace. Pero, por si no fuera suficientemente ambiguo el concepto, el legislador europeo incluye la figura del equivalente, dejando en manos de la transposición la mejor definición de este agente.