Los Estados miembro de la Unión Europea han llegado a un acuerdo político sobre la directiva relativa a la resiliencia de las entidades críticas con el objetivo de reducir las vulnerabilidades y fortalecer la resiliencia física de las infraestructuras críticas ante desastres naturales, terrorismo o emergencias sanitarias.
Las entidades críticas son aquellas entidades públicas o privadas que prestan servicios esenciales de los que dependen los medios de vida de los ciudadanos de la UE y el buen funcionamiento del mercado interior europeo. Uno de los componentes clave de una entidad crítica es su infraestructura lo que puede incluir un activo, instalación o red necesaria para la prestación de un servicio esencial.
Según la Unión Europea, en los últimos años han surgido diferentes desafíos entre los que se encuentran los ataques terroristas, desastres naturales o emergencias sanitarias que han demostrado la necesidad de aumentar la resiliencia de las entidades críticas europeas.
Te puede interesar: “Infraestructuras críticas: definición, planes, riesgos, amenazas y legislación”
Por ello, este 28 de junio, la Presidencia del Consejo y el Parlamento Europeo llegaron a un acuerdo político sobre la directiva relativa a la resiliencia de las entidades críticas. En resumen, entre las nuevas normas, las entidades críticas deben informar de los “incidentes perturbadores” a las autoridades nacionales y los Estados miembros de la UE deben: tener una estrategia para mejorar la resiliencia de las entidades críticas, llevar a cabo evaluaciones nacionales de los riesgos e identificar entidades críticas. Las entidades críticas identificadas en la directiva también estarían sujetas a las obligaciones de ciberresiliencia definidas en la directiva NIS2.
El texto acordado cubre entidades críticas en una serie de sectores, como la energía, el transporte, la salud, el agua potable, las aguas residuales y el espacio. Las administraciones públicas centrales también estarán cubiertas por algunas de las disposiciones del proyecto de directiva para finalizar el acuerdo provisional sobre el texto legal completo. Este acuerdo está sujeto a la aprobación del Consejo y del Parlamento Europeo antes de pasar por el procedimiento formal de adopción.
Te puede interesar: Curso de Director de Ciberseguridad
Como ya se ha mencionado, esta directiva tiene como objetivo reducir las vulnerabilidades y fortalecer la resiliencia física de las entidades críticas. Se trata de entidades que prestan servicios vitales de las que dependen los medios de vida de los ciudadanos de la UE y el buen funcionamiento del mercado interior. “Deben ser capaces de prepararse, hacer frente, proteger, responder y recuperarse de desastres naturales, amenazas terroristas, emergencias sanitarias o ataques híbridos”, aseguran en comunicado de prensa.
De esta forma los Estados miembros tendrán que tener una estrategia nacional para mejorar la resiliencia de las entidades críticas, llevar a cabo una evaluación de riesgos al menos cada cuatro años e identificar las entidades críticas que prestan servicios esenciales.
Las entidades críticas tendrán que identificar los riesgos relevantes que pueden perturbar significativamente la prestación de servicios esenciales, tomar las medidas adecuadas para garantizar su resiliencia y notificar los incidentes perturbadores a las autoridades competentes.
La propuesta de directiva también establece normas para la identificación de entidades críticas de especial importancia europea. Una entidad crítica se considera de especial importancia europea si presta un servicio esencial a seis o más Estados miembros.
En este caso, los Estados miembros pueden solicitar a la Comisión que organice una misión consultiva o ella misma puede proponer, con el acuerdo del Estado miembro interesado, evaluar las medidas que la entidad interesada ha puesto en marcha para cumplir con las obligaciones relacionadas con la directiva.
Según declaraba el pasado diciembre de 2021 el ministro esloveno del Interior, Ales Hojs, entonces al frente de la presidencia semestral del Consejo, “una serie de crisis en los últimos años, incluidos los ataques terroristas, la COVID-19 y los fenómenos meteorológicos extremos, han desafiado la preparación de nuestros sistemas e infraestructuras”.
Hojs advertía también de la importancia de estar más preparados para las crisis del futuro, “sea cual sea su naturaleza”. La Unión Europea se ha enfrentado a numerosas crisis a lo largo de su historia y ha implementaos gradualmente cambios políticos e institucionales para mejorar su capacidad de hacer frente a futuras emergencias.
“Como muestra la pandemia de COVID-19, las crisis son cada vez más complejas y no se detienen en las fronteras (…). Sin embargo, la respuesta de la UE a las crisis debe evolucionar. En el futuro, la UE debe estar preparada para hacer frente a crisis agudas de naturaleza diferente, que podrían ser multifacéticas o híbridas, tener efectos en cascada u ocurrir simultáneamente”, aseguran fuentes comunitarias.
En relación a los antecedentes de este acuerdo sobre la directiva relativa a la resiliencia de las entidades críticas fue el pasado diciembre de 2020 cuando la Comisión Europea presentó la propuesta de directiva sobre la resiliencia de las entidades críticas. Una vez adoptada, la directiva propuesta sustituía a la anterior sobre la identificación y designación de infraestructuras críticas europeas, adoptada en 2008.
Te puede interesar: “Infraestructuras críticas: definición, planes, riesgos, amenazas y legislación”
Una evaluación de 2019 de esa directiva fue el contexto en el que puso de relieve la necesidad de actualizar y fortalecer aún más las normas existentes a la luz de los nuevos desafíos a los que se enfrenta la UE, como el auge de la economía digital, los crecientes impactos del cambio climático y las amenazas terroristas.
La pandemia de COVID-19 terminó de demostrar, en particular, cómo pueden estar las infraestructuras y sociedades críticas expuestas a una pandemia y el alto nivel de interdependencia que existe entre los Estados miembros de la UE, así como a nivel mundial.
Junto con la directiva propuesta sobre entidades críticas, la Comisión también presentó una propuesta de directiva sobre medidas para un alto nivel común de ciberseguridad en toda la UE (NEI 2), que tiene como objetivo responder a las mismas preocupaciones para la dimensión cibernética. El Consejo y el Parlamento llegaron a un acuerdo sobre esta propuesta en mayo de 2022.
Te puede interesar: ¿Cómo impacta la invasión de Ucrania a la industria de la Ciberseguridad?
En septiembre de 2020, la Comisión presentó una propuesta de Ley de Resiliencia Operacional Digital (DORA), que reforzará la seguridad informática de entidades financieras como bancos, compañías de seguros y empresas de inversión.
Su objetivo es garantizar que el sector financiero en Europa pueda mantener operaciones resilientes a través de una grave interrupción operativa. El Consejo y el Parlamento llegaron a un acuerdo sobre esta propuesta en mayo de 2022. Los Estados miembros tendrán que garantizar una aplicación coordinada de los tres textos legislativos.
