Seguritecnia 499
A vista de ciones a sujetos obligados para que mejoren su seguridad, como vía de acceso a la resiliencia: no se trata de imponer medidas exhaustivas y concretas de seguridad, sino de te- ner una estrategia que conduzca a la adopción de las medidas adecuadas, previo análisis de los riesgos inheren- tes. Esto debería mover a las autori- dades reguladoras a modificar y flexi- bilizar sus políticas tradicionalmente intervencionistas en otras áreas. La esperada regulación de la seguridad privada podría ser un buen banco de pruebas a tal efecto. 5.Un hecho notable es que la ciberse- guridad de determinados sectores queda expresamente fuera de esta Directiva, pero la norma que se apli- que deberá estar coordinada con ella y su transposición. Obviamente, para la ciberseguridad de los sectores no excluidos expresamente aplicará la Directiva CER, una razón más para buscar la mejor coordinación entre las normas de transposición. Nada impi- de el establecimiento de un sistema único que homogenice los requisitos y simplifique las dependencias. Es el momento de elevar la mirada y buscar la seguridad antes que la satisfacción de aspiraciones corporativas. Referencias 1. https://www.fundacionborreda.org/ publicaciones/estudios/ quiera otros que quieran considerarse. 2. Llama la atención que la preocupa- ción de las autoridades europeas sea buscar la resiliencia de las entidades críticas en beneficio del mercado in- terior. Todo en la Directiva apunta a la resiliencia, pero conviene recordar que la resiliencia no es sino la con- secuencia de haber adoptado las adecuadas medidas de protección y seguridad; esta debiera ser la preocu- pación de la Unión en todo momento y no solo cuando una cadena de aten- tados o sabotajes recuerda nuestra vulnerabilidad. 3.El gran avance que supuso la impo- sición de la planificación en la Direc- tiva PIC queda superado ahora por la apelación a la elaboración de una estrategia por parte del Estado, la obligación para éste y las entidades críticas de analizar los riesgos de todo tipo que les afecten y a la consiguiente adopción de medidas técnicas, orga- nizativas y de seguridad adecuadas y proporcionadas para garantizar su resiliencia. Como novedad, las auto- ridades competentes supervisarán el cumplimiento de estas obligaciones mediante inspecciones in situ o dispo- niendo auditorías externas, contando ahora con un régimen sancionador que les otorgará el necesario poder coercitivo. 4.Se confirma un cambio de sensibi- lidad a la hora de imponer obliga- adopten las medidas necesarias y pro- porcionadas para subsanar cualquier incumplimiento detectado y que les faciliten información sobre las medi- das adoptadas. Todo ello, con las sal- vaguardias adecuadas para garantizar que las facultades de supervisión se ejerzan de manera objetiva, transparen- te y proporcionada, y que los derechos e intereses legítimos de las entidades críticas interesadas, como la protección de los secretos comerciales y empresa- riales, estén debidamente protegidos. Finalmente, la Directiva impone a los Estados la obligación de definir el régi- men de sanciones aplicables a cual- quier incumplimiento de las medidas nacionales, adoptando las necesarias para garantizar su ejecución. Tales san- ciones deberán ser efectivas, proporcio- nadas y disuasorias. Ya pasó el tiempo de buscar la implicación voluntaria de las entidades, que, por cierto, han res- pondido en general con una madurez encomiable; llega el momento de dotar a las autoridades de instrumentos coer- citivos para mejorar la respuesta de los insolidarios. Reflexiones finales 1. A más tardar el 17 de octubre de 2024, esta Directiva deberá ser transpuesta a nuestro ordenamiento. Gran parte del camino ya está andado gracias a la extraordinaria labor de las autori- dades españolas, especialmente del CNPIC, que, sin régimen sancionador, fueron capaces de aunar esfuerzos con los operadores críticos y poner en marcha un Sistema PIC que no debe ser desmantelado. Habrá que tener en cuenta nuevos sectores o subsectores estratégicos, como los sistemas urba- nos de calefacción y de refrigeración o el subsector del hidrógeno, ambos en el sector de la Energía, o el nuevo sec- tor de las aguas residuales, o cuales- Esta Directiva deberá ser transpuesta a nuestro ordenamiento a más tardar el 17 de octubre de 2024, si bien gran parte del camino ya está andado / Enero-Febrero 2023 43
Made with FlippingBook
RkJQdWJsaXNoZXIy MTI4MzQz