Seguritecnia 502

/ Julio-Agosto 2023 16 A vista de A través de las Directivas 2022/2557 y 2022/2555, CER y NIS 2 respectiva- mente, por sus siglas en inglés, el legislador europeo trata de ordenar algunas cuestiones referidas a la seguridad de los servicios esenciales afrontándola desde dos puntos de vista distintos, incluso diferenciando los suje- tos pasivos a los que se dirigen. Aparecen así en nuestro vocabulario de términos de seguridad tres nuevos conceptos: entidades críticas, entidades esenciales y entidades importantes. Por cierto, no sé si el creador de estas eti- quetas es consciente de que acaba de mandar al limbo de la intrascendencia a todas aquellas entidades, muy notables desde el punto de vista de la seguridad, no incluidas entre las importantes. Pero, como muchos de los problemas son co- munes, la realidad supera a la ficción una vez más, de modo que una misma entidad puede verse adornada por dos atributos y ser considerada al mismo tiempo crítica y esencial. En cuanto al enfoque, la tentación de hablar de seguridad física y de ciberse- guridad es fuerte, pero no es esa la pre- ocupación aparente del legislador. En realidad, su objetivo es la resiliencia de las entidades críticas en el primer caso y garantizar un elevado nivel común de ciberseguridad en toda la Unión en el segundo, a cuyo fin crea las categorías de entidades esenciales e importantes. Podría parecer a primera vista que a Europa la cuestión de la resiliencia sólo le interesa para las entidades críticas, mientras que orienta la ciberseguridad sólo hacia las entidades esenciales e im- portantes. Pero lo segundo no es cierto, toda vez que la Directiva NIS 2 se aplica también expresamente a las entidades críticas; por contra, no hay previsiones para la resiliencia de las entidades esen- ciales e importantes. Diferenciación Por eso resulta incongruente que la Di- rectiva NIS 2 aplique a la gestión de los riesgos de ciberseguridad de las entida- des críticas y, al mismo tiempo, a la pro- tección del entorno físico de los sistemas y redes de información de las entidades esenciales e importantes. Es como si se pretendiera diferenciar dos mundos inconexos, resiliencia y seguridad, con claro predominio de la seguridad. A este respecto, conviene tener en cuenta que la resiliencia no aparece de la nada, sino que es consecuencia de la aplicación de los adecuados planes y medidas de seguridad, y que el objetivo último de la seguridad es proteger la continuidad de la actividad. Por otra parte, la Unión Europea venía ya advirtiendo de que la mayor interco- nexión e interdependencia entre las in- fraestructuras físicas y las digitales exige un enfoque más coherente y uniforme entre las Directivas PIC y NIS, antece- dentes inmediatos de las CER y NIS 2. De ahí que la propia Directiva NIS 2 reclame este enfoque para mejorar la coordina- ción entre autoridades competentes y el intercambio de información sobre ries- gos e incidentes de cualquier tipo. En definitiva, podríamos resumir así el planteamiento de la Unión Europea: uno, garanticemos la continuidad de los servicios esenciales estableciendo obli- gaciones para que las entidades críticas mejoren su resiliencia; y dos, imponga- mos medidas para conseguir un elevado El problema de las entidades C ésar Á lvarez C oordinador de P royectos de la F undación B orredá España ha dado muestras de su capacidad para establecer elevados marcos de seguridad en beneficio de sus ciudadanos, de sus servicios esenciales y de los mercados