El Diario Oficial de la Unión Europea publicó, el pasado 27 de diciembre, la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas (CER, por sus siglas en inglés). Esta Directiva viene también a derogar la 2008/114/CE del Consejo, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección, conocida como Directiva PIC.
Esta última, elaborada a raíz de los numerosos ataques terroristas que ponían en jaque la seguridad en Europa, constituyó un primer intento de sistematizar la protección integral, física y cíber de las infraestructuras críticas, por su condición de soporte para la provisión de los servicios esenciales, necesarios para el mantenimiento de las funciones sociales básicas.
Si bien es cierto que solo se refería expresamente a los sectores de la Energía y del Transporte, su transposición al ordenamiento jurídico español fue mucho más allá y amplió su aplicación a los 12 sectores estratégicos conocidos, creando el Sistema PIC como instrumento para la perfecta coordinación de los actores implicados, siempre bajo la dirección del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC).
La propia norma europea preveía su revisión a partir de enero de 2012, lo que se llevó a cabo en 2019 poniendo de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas únicamente a activos individuales no bastan para evitar que se produzcan todas las perturbaciones. En conclusión, se plantea la necesidad de modificar el enfoque para garantizar que se tengan mejor en cuenta los riesgos.
La Directiva CER surge como consecuencia de la necesidad de modificar el enfoque para aumentar la resiliencia de las entidades críticas
Pero antes de esta revisión, ante el papel crucial de las redes y sistemas de información en el funcionamiento del mercado interior de la Unión, se promulgó la Directiva 2016/1148 (conocida como Directiva NIS), cuya transposición vino a romper la naciente integralidad de la seguridad de las infraestructuras críticas. No pretendía tal cosa la nueva norma, que se limitaba a imponer medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión, pero el legislador español prefirió abrir este melón promulgando el Real Decreto-Ley 12/2018, que separó conceptualmente del Sistema PIC la protección de los servicios esenciales dependientes de aquellas.
Ciertamente la Directiva PIC ofrecía notables lagunas, como corresponde a un primer intento de regular una materia tan delicada, lo que provocó que su aplicación en los Estados Miembros de la Unión no resultara homogénea. La situación se vio agravada con la aparición de la Directiva NIS, que propició una excesiva discrecionalidad a la hora de identificar tanto a los servicios que se consideran esenciales como a los operadores que los gestionan, lo que motivó importantes diferencias entre los Estados. Quizá por ello, la Estrategia 20/25 de la Comisión Europea para una Unión de la Seguridad advierte de que «la mayor interconexión e interdependencia entre las infraestructuras físicas y las digitales pone de manifiesto la necesidad de un enfoque más coherente y uniforme entre las Directivas PIC y NIS».
Por si fuera poco, la transposición de la Directiva PIC se hizo al margen del bloque normativo de seguridad existente, dejando en «tierra de nadie» los dispositivos de seguridad exigidos, como es el caso del responsable de seguridad y enlace, establecido por la Ley 8/2011 al margen de la normativa de seguridad privada. La modificación de esta ley por la Ley Orgánica 9/2022, en otro ejercicio de funambulismo jurídico al que estamos tan acostumbrados, introduce la obligación para los operadores críticos de contar con un área de seguridad del operador, ente creado ex novo con olvido, una vez más, de las previsiones de la Ley de Seguridad Privada. Ante esta incapacidad del legislador español para proyectar una visión holística sobre la seguridad, no resulta extraño que la transposición de la Directiva NIS haya incurrido flagrantemente en el mismo error.
Así pues, la Directiva CER surge como consecuencia de la necesidad de modificar el enfoque para aumentar la resiliencia de las entidades críticas. Con este fin, tiene en cuenta la existencia de un panorama dinámico de amenazas, entre las que figuran las híbridas y terroristas en evolución y las crecientes interdependencias entre infraestructuras y sectores. Tampoco podía faltar la referencia al cambio climático, que incrementa el riesgo físico derivado de las catástrofes naturales e intensifica la frecuencia y la magnitud de los fenómenos meteorológicos extremos.
Simultáneamente a la Directiva CER se promulga la Directiva 2022/2555 (NIS 2) y se hace necesario buscar la coherencia entre ambas normas, según se había denunciado repetidamente. Respondiendo a esta necesidad, se excluye del ámbito de aplicación de la Directiva CER las materias reguladas en la NIS 2. Loable medida para salvaguardar la especialidad de las normas, aunque serán los Estados Miembros los que, en función de la madurez de sus respectivos modelos de seguridad, deberán transponer ambas directivas en la forma que mejor contribuya a potenciar dichos modelos. Esa es la estrategia de la Directiva CER, que exige a los Estados un enfoque global de la resiliencia de las entidades críticas.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este artículo.
¿Quieres leer el contenido completo?