EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,
Visto el Tratado de Funcionamiento de la Unión Europea, y en particular su artículo 114,
Vista la propuesta de la Comisión Europea,
Previa transmisión del proyecto de acto legislativo a los Parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo (1),
Visto el dictamen del Comité de las Regiones (2),
De conformidad con el procedimiento legislativo ordinario (3),
Considerando lo siguiente:
(1) |
Por su condición de proveedoras de servicios esenciales, las entidades críticas son indispensables para mantener las funciones sociales o las actividades económicas vitales en el mercado interior, con una economía de la Unión cada vez más interdependiente. Por ello es esencial establecer un marco de la Unión con el fin de aumentar la resiliencia de las entidades críticas en el mercado interior fijando unas normas mínimas armonizadas, y de prestarles asistencia mediante un apoyo coherente y específico y medidas de supervisión. |
(2) |
La Directiva 2008/114/CE del Consejo (4) establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y el transporte cuya perturbación o destrucción tendría repercusiones transfronterizas significativas en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 2019 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas únicamente a activos individuales no bastan para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar que se tengan mejor en cuenta los riesgos, se mejore la definición y la coherencia de la función y las obligaciones de las entidades críticas que prestan servicios esenciales para el funcionamiento del mercado interior, y se adopten normas de la Unión a fin de aumentar la resiliencia de las entidades críticas. Las entidades críticas han de poder reforzar su capacidad de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante incidentes que puedan perturbar la prestación de servicios esenciales. |
(3) |
Pese a que existen diversas medidas a escala de la Unión, como el Programa Europeo de Protección de Infraestructuras Vitales, y a escala nacional destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan tales infraestructuras han de estar mejor equipadas para hacer frente a los riesgos para sus operaciones que puedan dar lugar a una perturbación en la prestación de servicios esenciales. También se debe hacer más por equipar mejor a tales entidades dada la existencia de un panorama dinámico de amenazas, entre las que figuran las amenazas híbridas y terroristas en evolución y las crecientes interdependencias entre infraestructura y sectores. Además, ha aumentado el riesgo físico derivado de las catástrofes naturales y del cambio climático, que intensifica la frecuencia y la magnitud de los fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden mermar la capacidad, la eficiencia y la vida útil de determinados tipos de infraestructuras si no existen medidas de adaptación al cambio climático. Además, el mercado interior se caracteriza por la fragmentación en lo que respecta a la identificación de las entidades críticas, pues los sectores y categorías de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. Por consiguiente, la presente Directiva debe lograr un nivel sustancial de armonización en lo que se refiere a los sectores y categorías de entidades que entran en su ámbito de aplicación. |
(4) |
Si bien determinados sectores de la economía, como los sectores de la energía y del transporte, ya están regulados mediante actos jurídicos sectoriales de la Unión, dichos actos jurídicos contienen disposiciones relativas únicamente a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son vitales para el correcto funcionamiento del mercado interior, la presente Directiva crea un marco general que aborda la resiliencia de las entidades críticas con respecto a todos los peligros, ya sean naturales, o provocados, accidental o intencionadamente, por el ser humano. |
(5) |
Las crecientes interdependencias entre infraestructuras y sectores son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, el agua potable, las aguas residuales, la producción, transformación y distribución de productos alimentarios, la sanidad, el espacio, la infraestructura de los mercados financieros y la infraestructura digital, y en ciertos aspectos del sector de la Administración pública. El sector espacial se inscribe en el ámbito de aplicación de la presente Directiva en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres cuya propiedad, gestión y explotación corresponde a Estados miembros o a entidades privadas; por consiguiente, las infraestructuras cuya propiedad, gestión y explotación corresponde a la Unión o se efectúa en su nombre como parte de su programa espacial no entran en el ámbito de la presente Directiva. Por lo que se refiere al sector energético y, en particular, a los métodos de generación y transporte de electricidad (en relación con el suministro de electricidad), se sobreentiende que, toda vez que se estime oportuno, pueden incluirse en la generación de energía eléctrica los elementos de transmisión eléctrica de las centrales nucleares, pero se excluyen los elementos específicamente nucleares regulados por tratados y por el Derecho de la Unión, incluidos los actos jurídicos pertinentes de la Unión relativos a la energía nuclear. El proceso de identificación de las entidades críticas en el sector alimentario debe reflejar adecuadamente la naturaleza del mercado interior en dicho sector y las amplias normas de la Unión relativas a los principios y requisitos generales de la legislación y la seguridad alimentarias. Por consiguiente, a fin de garantizar una estrategia proporcionada y de reflejar adecuadamente el papel y la importancia de dichas entidades a escala nacional, las entidades críticas únicamente deben incluir las empresas alimentarias, ya sean públicas o privadas, con o sin ánimo de lucro, que se dediquen exclusivamente a la logística y distribución al por mayor y la producción y transformación industrial a gran escala que registren una cuota de mercado importante a escala nacional. Dichas interdependencias suponen que cualquier perturbación de los servicios esenciales, incluso inicialmente limitada a una entidad o a un sector, puede producir efectos en cascada más amplios, lo que podría tener una repercusión negativa de gran alcance y duradera para la prestación de servicios en todo el mercado interior. Las grandes crisis, como la pandemia de COVID-19, han puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes, frente a riesgos de baja probabilidad que tengan grandes repercusiones. |
(6) |
Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por el Derecho nacional. El hecho de que algunos Estados miembros tengan unos requisitos menos estrictos para esas entidades no solo conduce a distintos niveles de resiliencia, sino que también puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión y obstaculiza el correcto funcionamiento del mercado interior. Los inversores y las empresas pueden confiar en las entidades críticas que sean resilientes y fiarse de ellas, al ser la confianza y la fiabilidad las piedras angulares de un mercado interior que funciona correctamente. Los tipos de entidades similares se consideran críticos en algunos Estados miembros pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en distintos Estados miembros. Ello da lugar a una carga administrativa adicional e innecesaria para las empresas que realizan operaciones transfronterizas, en particular en el caso de aquellas que tienen actividad en Estados miembros con unos requisitos más estrictos. Por consiguiente, un marco de la Unión también implicaría unas condiciones de competencia equitativas para las entidades críticas en toda la Unión. |
(7)
(8) |
Es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior, aumentar la resiliencia de las entidades críticas y mejorar la cooperación transfronteriza entre las autoridades competentes. Es importante que la concepción y la aplicación de estas normas estén preparadas para el futuro, al mismo tiempo que se permite la flexibilidad necesaria. También es crucial mejorar la capacidad de las entidades críticas para prestar servicios esenciales frente a distintos riesgos.
A fin de alcanzar un alto grado de resiliencia, los Estados miembros deben identificar las entidades críticas que van a estar sujetas a unos requisitos y una supervisión específicos y a las que se va a brindar apoyo y orientación específicos frente a todos los riesgos pertinentes. |
(9) |
Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, debe garantizarse, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (5). Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva (UE) 2022/2555 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva (UE) 2022/2555, las materias reguladas por dicha Directiva deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales. |
(10) |
A fin de evitar duplicidades y cargas innecesarias, las disposiciones pertinentes de la presente Directiva no deben aplicarse si las disposiciones de actos jurídicos sectoriales de la Unión obligan a las entidades críticas a adoptar medidas para aumentar su resiliencia y tales obligaciones son reconocidas por los Estados miembros como al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva. En tal caso, deben aplicarse las disposiciones pertinentes de esos otros actos jurídicos de la Unión. Cuando no sean de aplicación las disposiciones pertinentes de la presente Directiva, las disposiciones en materia de supervisión y ejecución establecidas en ella tampoco deben aplicarse. |
(11) |
La presente Directiva no afecta a las competencias de los Estados miembros y sus autoridades por lo que respecta a la autonomía administrativa ni a su responsabilidad de preservar la seguridad nacional y la defensa o de sus competencias de salvaguardar otras funcionales esenciales del Estado, en particular por lo que atañe a la seguridad pública, la integridad territorial y el mantenimiento del orden público. La exclusión de las entidades de la administración pública del ámbito de aplicación de la presente Directiva debe aplicarse a las entidades que realicen sus actividades predominantemente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales. No obstante, las entidades de la administración pública cuyas actividades estén mínimamente relacionadas con dichos ámbitos deben entrar en el ámbito de aplicación de la presente Directiva. A los efectos de la presente Directiva, se considera que las entidades con competencias reguladoras no realizan actividades en el ámbito de la aplicación de la ley y, por lo tanto, no quedan excluidas por ese motivo de su ámbito de aplicación. Las entidades de la administración pública establecidas conjuntamente con un tercer país de conformidad con un acuerdo internacional no entran en el ámbito de aplicación de la presente Directiva. La presente Directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países. Determinadas entidades críticas realizan actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales, o prestan servicios exclusivamente a entidades de la administración pública que realizan actividades predominantemente en dichos ámbitos. Habida cuenta de la responsabilidad de los Estados miembros de salvaguardar la seguridad nacional y la defensa, los Estados miembros deben poder decidir que las obligaciones de las entidades críticas establecidas en la presente Directiva no se apliquen total o parcialmente a dichas entidades críticas si los servicios que prestan o las actividades que realizan están relacionadas predominantemente con los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales. Las entidades críticas cuyos servicios o actividades solo estén mínimamente relacionados con dichos ámbitos deben seguir en el ámbito de aplicación de la presente Directiva. No se debe obligar a ningún Estado miembro a facilitar información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional. Son pertinentes las normas de la Unión o nacionales en materia de protección de la información clasificada, y los acuerdos de confidencialidad. |
(12) |
Para no poner en peligro la seguridad nacional ni la seguridad y los intereses comerciales de las entidades críticas, el acceso a información delicada así como su intercambio y tratamiento deben efectuarse con prudencia, prestando especial atención a los canales de transmisión y las capacidades de almacenamiento que se utilicen. |
(13) |
Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro debe contar con una estrategia que mejore la resiliencia de las entidades críticas (en lo sucesivo, «estrategia»). La estrategia debe establecer los objetivos estratégicos y las medidas de actuación que hayan de aplicarse. En aras de la coherencia y la eficiencia, la estrategia debe estar diseñada para integrarse adecuadamente en las políticas vigentes, a partir, siempre que sea posible, de estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia. A fin de alcanzar un enfoque global, los Estados miembros deben garantizar que sus estrategias establezcan un marco de actuación para mejorar la coordinación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555, en el contexto del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y en el contexto del ejercicio de las tareas de supervisión. Al poner en marcha sus estrategias, los Estados miembros deben tener debidamente en cuenta la naturaleza híbrida de las amenazas para las entidades críticas. |
(14) |
Los Estados miembros deben comunicar a la Comisión sus estrategias y las actualizaciones sustanciales de estas, en particular para que la Comisión pueda evaluar la correcta aplicación de la presente Directiva en lo que se refiere a los enfoques estratégicos sobre la resiliencia de las entidades críticas a escala nacional. En caso necesario, las estrategias podrían comunicarse como información clasificada. La Comisión debe elaborar un informe de síntesis de las estrategias comunicadas por los Estados miembros que sirva de base para los intercambios a fin de determinar las mejores prácticas y las cuestiones de interés común en el marco de un Grupo de Resiliencia de las Entidades Críticas. Debido al carácter delicado de la información incluida en el informe de síntesis, clasificada o no, la Comisión debe tratar el informe de síntesis con el nivel pertinente de concienciación en lo que respecta a la seguridad de las entidades críticas, los Estados miembros y la Unión. El informe de síntesis y las estrategias deben protegerse contra acciones ilícitas o malintencionadas y únicamente deben ser accesibles para las personas autorizadas con el fin de alcanzar los objetivos de la presente Directiva. La comunicación de las estrategias y las actualizaciones sustanciales de estas también deben ayudar a la Comisión a comprender la evolución de los enfoques de resiliencia de las entidades críticas y contribuir al seguimiento del impacto y el valor añadido de la presente Directiva, que la Comisión debe revisar periódicamente. |
(15) |
Las acciones de los Estados miembros para identificar las entidades críticas y ayudarlas a asegurar su resiliencia deben seguir un enfoque basado en el riesgo que se centre en las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro debe realizar, en un marco armonizado, una evaluación de los riesgos naturales y de origen humano pertinentes, incluidos los de carácter transfronterizo o intersectorial, que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública como las pandemias y las amenazas híbridas u otras amenazas antagónicas, incluidos los delitos de terrorismo, la infiltración delictiva y el sabotaje (en lo sucesivo, «evaluación de riesgos del Estado miembro»). Al realizar las evaluaciones de riesgos del Estado miembro, los Estados miembros deben tener en cuenta otras evaluaciones de riesgos generales o sectoriales que se hayan realizado en virtud de otros actos jurídicos de la Unión y deben considerar hasta qué punto unos sectores dependen de otros, incluidos los sectores de otros Estados miembros y de terceros países. Los resultados de las evaluaciones de riesgos del Estado miembro deben utilizarse a fin de identificar las entidades críticas y de ayudarlas a cumplir sus requisitos de resiliencia. La presente Directiva se aplica únicamente a los Estados miembros y a las entidades críticas que actúan dentro de la Unión. No obstante, la experiencia y los conocimientos generados por las autoridades competentes, en particular mediante las evaluaciones de riesgos, así como por la Comisión, en particular a través de diversas formas de apoyo y cooperación, podrían utilizarse, cuando proceda y de conformidad con los instrumentos jurídicos aplicables, en beneficio de terceros países, en particular los de la vecindad directa de la Unión, al contribuir a la cooperación existente en materia de resiliencia. |
(16) |
A fin de garantizar que todas las entidades pertinentes estén sujetas a los requisitos de resiliencia de la presente Directiva y reducir las divergencias a ese respecto, es importante establecer normas armonizadas que posibiliten una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen adecuadamente la función y la importancia de dichas entidades a escala nacional. Al aplicar los criterios establecidos en la presente Directiva, cada Estado miembro debe identificar las entidades que presten uno o varios servicios esenciales y que operen en su territorio y tengan infraestructuras críticas situadas en él. Debe considerarse que una entidad opera en el territorio de un Estado miembro en el que realice actividades necesarias para el servicio o servicios esenciales en cuestión, y en el que se sitúe la infraestructura crítica de dicha entidad que se utilice para prestar ese servicio o servicios. Cuando en algún Estado miembro no exista ninguna entidad que cumpla dichos criterios, dicho Estado miembro no debe estar obligado a identificar una entidad crítica en el sector o subsector correspondiente. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, deben establecerse normas adecuadas en lo que respecta a la notificación a las entidades de que han sido identificadas como entidades críticas. |
(17) |
Los Estados miembros deben presentar a la Comisión, de tal manera que se cumplan los objetivos de la presente Directiva, una lista de los servicios esenciales, el número de entidades críticas identificadas en relación con cada uno de los sectores y subsectores indicados en el anexo y en relación con el servicio o los servicios esenciales que preste cada entidad y, si se aplican, los umbrales. Debe ser posible presentar umbrales como tales o en forma agregada, de forma que se pueda calcular una media de los datos por zona geográfica, año, sector, subsector u otros criterios, y entre los que puede figurar información sobre el conjunto de indicadores facilitados. |
(18) |
Deben establecerse criterios para determinar el carácter significativo de un efecto perturbador producido por un incidente. Esos criterios deben basarse en los establecidos en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (6), a fin de aprovechar los esfuerzos realizados por los Estados miembros para identificar los operadores de servicios esenciales tal como se definen en dicha Directiva y la experiencia adquirida a ese respecto. Las grandes crisis, como la pandemia de COVID-19, han puesto de manifiesto la importancia de garantizar la seguridad de la cadena de suministro y han demostrado cómo su perturbación puede tener repercusiones económicas y sociales negativas en un gran número de sectores y a través de las fronteras. Por consiguiente, los Estados miembros también deben tener en cuenta, en la medida de lo posible, los efectos en la cadena de suministro al determinar hasta qué punto otros sectores y subsectores dependen del servicio esencial prestado por una entidad crítica. |
(19) |
De conformidad con el Derecho de la Unión y nacional aplicable, incluido el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (7), que establece un marco para el control de las inversiones extranjeras directas en la Unión, debe reconocerse la amenaza potencial que plantea la propiedad extranjera de infraestructuras críticas dentro de la Unión, ya que los servicios, la economía y la libre circulación y seguridad de los ciudadanos de la Unión dependen del correcto funcionamiento de las infraestructuras críticas. |
(20) |
La Directiva (UE) 2022/2555 obliga a las entidades pertenecientes al sector de las infraestructuras digitales, las cuales podrían ser identificadas como entidades críticas con arreglo a la presente Directiva, a adoptar las medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos de seguridad de los sistemas de redes y de información, así como a notificar los incidentes significativos y ciberamenazas. Puesto que las amenazas a la seguridad de los sistemas de redes y de información pueden tener diferentes orígenes, la Directiva (UE) 2022/2555 aplica un enfoque de «todos los riesgos posibles» que incluye la resiliencia de los sistemas de redes y de información, así como los componentes físicos y el entorno de dichos sistemas. Dado que los requisitos establecidos en la Directiva (UE) 2022/2555 a ese respecto son al menos equivalentes a las correspondientes obligaciones establecidas en la presente Directiva, las obligaciones establecidas en el artículo 11 y los capítulos III, IV y VI de la presente Directiva no deben aplicarse a las entidades pertenecientes al sector de las infraestructuras digitales, a fin de evitar duplicidades y cargas administrativas innecesarias. No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades pertenecientes al sector de las infraestructuras digitales para las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, sobre la base de los criterios y utilizando el procedimiento previsto en la presente Directiva, como entidades críticas a las entidades pertenecientes al sector de las infraestructuras digitales. Deben, por consiguiente, aplicarse las estrategias, las evaluaciones de riesgos del Estado miembro y las medidas de apoyo establecidas en el capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades críticas, a condición de que dichas disposiciones sean coherentes con el Derecho de la Unión aplicable. |
(21) |
El Derecho de la Unión en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Este Derecho incluye los Reglamentos (UE) n.o 648/2012 (8), (UE) n.o 575/2013 (9) y (UE) n.o 600/2014 (10) del Parlamento Europeo y del Consejo y las Directivas 2013/36/UE (11) y 2014/65/UE (12) del Parlamento Europeo y del Consejo. Dicho marco jurídico se complementa con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (13), que establece los requisitos aplicables a las entidades financieras que gestionen riesgos relacionados con las tecnologías de la información y de las comunicaciones (TIC), incluidos los relativos a la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de dichas entidades está, por tanto, ampliamente cubierta, el artículo 11 y los capítulos III, IV y VI de la presente Directiva no deben aplicarse a dichas entidades, a fin de evitar duplicidades y cargas administrativas innecesarias. No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades en el sector financiero a las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, sobre la base de los criterios y utilizando el procedimiento previsto en la presente Directiva, a entidades del sector financiero como entidades críticas. Por consiguiente, se deben aplicar las estrategias, las evaluaciones de riesgos del Estado miembro y las medidas de apoyo establecidas en el capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades críticas, a condición de que dichas disposiciones sean coherentes con el Derecho de la Unión aplicable. |
(22) |
Los Estados miembros deben designar o establecer autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y garantizar que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales, y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión existentes y de evitar duplicidades, los Estados miembros deben poder designar o establecer más de una autoridad competente. Si designan o establecen más de una autoridad competente, los Estados miembros deben delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deben cooperar de manera más general con otras autoridades pertinentes, tanto a nivel de la Unión como nacional. |
(23) |
A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro debe designar, sin perjuicio de los requisitos de los actos jurídicos sectoriales de la Unión, un punto de contacto único encargado de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión (en lo sucesivo, «punto de contacto único»), dentro de una autoridad competente cuando proceda. Cada punto de contacto único debe servir de enlace y coordinar la comunicación, cuando proceda, con las autoridades competentes de su Estado miembro, con los puntos de contacto únicos de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas. |
(24) |
Las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 deben cooperar e intercambiar información en relación con los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella que afecten a las entidades críticas, así como en relación con las medidas pertinentes adoptadas por las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555. Es importante que los Estados miembros garanticen que los requisitos establecidos en la presente Directiva y en la Directiva (UE) 2022/2555 se apliquen de forma complementaria y que las entidades críticas no estén sujetas a una carga administrativa superior a la necesaria para alcanzar los objetivos de la presente Directiva y de dicha Directiva. |
(25) |
Los Estados miembros deben ayudar a las entidades críticas, también a las que tienen la condición de pequeñas y medianas empresas, a reforzar su resiliencia, de conformidad con las obligaciones de los Estados miembros establecidas en la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades críticas de garantizar su cumplimiento y, de este modo, evitar las cargas administrativas excesivas. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar la resiliencia de las entidades críticas y proporcionar asesoramiento y formación al personal de las entidades críticas. Cuando sea necesario y esté justificado por objetivos de interés público, los Estados miembros pueden proporcionar recursos financieros y deben facilitar el intercambio voluntario de información y de buenas prácticas entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea (TFUE). |
(26) |
Al objeto de aumentar la resiliencia de las entidades críticas identificadas por los Estados miembros y a fin de reducir las cargas administrativas de dichas entidades críticas, las autoridades competentes deben efectuar consultas entre sí, siempre que proceda, con el fin de garantizar que la presente Directiva se aplique de manera coherente. Dichas consultas deben celebrarse a instancia de cualquier autoridad competente interesada, y centrarse en garantizar un planteamiento convergente en lo relativo a las entidades críticas interconectadas que utilicen infraestructuras críticas físicamente conectadas entre dos o más Estados miembros, que pertenezcan a los mismos grupos o estructuras empresariales, o que se hayan identificado en un Estado miembro y que presten servicios esenciales a otros Estados miembros o en otros Estados miembros. |
(27) |
Cuando el Derecho nacional o de la Unión disponga que las entidades críticas deben evaluar los riesgos pertinentes a efectos de la presente Directiva y tomar medidas para garantizar su propia resiliencia, tales requisitos deben tenerse debidamente en cuenta a los efectos de supervisar el cumplimiento por las entidades críticas de la presente Directiva. |
(28) |
Las entidades críticas deben tener una comprensión cabal de los riesgos pertinentes a los que están expuestas y tener la obligación de analizar dichos riesgos. A tal fin, deben realizar evaluaciones de riesgos siempre que sea necesario, habida cuenta de sus circunstancias particulares y de la evolución de tales riesgos, y, en cualquier caso, cada cuatro años, para evaluar todos los riesgos pertinentes que puedan perturbar la prestación de sus servicios esenciales (en lo sucesivo, «evaluación de riesgos de la entidad crítica»). Cuando hayan realizado otras evaluaciones de riesgos o elaborado documentos en virtud de obligaciones establecidas en otros actos jurídicos que sean pertinentes para su evaluación de riesgos de la entidad crítica, las entidades críticas deben poder utilizar dichas evaluaciones y documentos para cumplir los requisitos establecidos en la presente Directiva en lo relativo a las evaluaciones de riesgos de la entidad crítica. Una autoridad competente debe poder declarar que una evaluación de riesgos existente realizada por una entidad crítica que aborde los riesgos y el grado de dependencia pertinentes cumple, total o parcialmente, con las obligaciones establecidas en la presente Directiva. |
(29) |
Las entidades críticas deben adoptar medidas técnicas, organizativas, y de seguridad adecuadas y proporcionadas a los riesgos a los que se enfrenten a los efectos de prevención, protección, respuesta, resistencia, mitigación, absorción, adaptación y recuperación ante un incidente. Si bien las entidades críticas deben tomar dichas medidas de conformidad con la presente Directiva, los detalles y el alcance de tales medidas deben reflejar los diferentes riesgos que cada una de las entidades críticas haya determinado como parte de su evaluación de riesgos de la entidad crítica y las características específicas de dicha entidad de manera adecuada y proporcionada. A fin de promover un enfoque coherente a escala de la Unión, la Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, debe adoptar directrices no vinculantes para especificar con más detalle dichas medidas técnicas, organizativas y de seguridad. Los Estados miembros deben garantizar que cada entidad crítica designe a un agente de enlace o equivalente como punto de contacto con las autoridades competentes. |
(30) |
En aras de la eficacia y la rendición de cuentas, las entidades críticas deben describir las medidas que adopten, con un nivel de detalle que permita alcanzar de manera suficiente los objetivos de eficacia y rendición de cuentas, teniendo en cuenta los riesgos detectados, en un plan de resiliencia, o en uno o varios documentos que sean equivalentes a un plan de resiliencia, y poner ese plan en práctica. La entidad crítica que ya haya adoptado medidas técnicas, organizativas y de seguridad y elaborado documentos en virtud de otros actos jurídicos que sean pertinentes para las medidas de aumento de la resiliencia en virtud de la presente Directiva, debe poder, a fin de evitar duplicidades, utilizar dichas medidas y documentos para cumplir los requisitos en materia de medidas de resiliencia con arreglo a la presente Directiva. A fin de evitar duplicidades, la autoridad competente debe poder declarar que las medidas de resiliencia existentes adoptadas por una entidad crítica que aborden sus obligaciones de adoptar medidas técnicas, organizativas y de seguridad con arreglo a la presente Directiva son conformes, total o parcialmente, con los requisitos de la presente Directiva. |
(31) |
Los Reglamentos (CE) n.o 725/2004 (14) y (CE) n.o 300/2008 (15) del Parlamento Europeo y del Consejo y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo (16) establecen requisitos aplicables a las entidades de los sectores del transporte aéreo y marítimo para prevenir incidentes causados por actos ilícitos, y para resistir y mitigar las consecuencias de tales incidentes. Si bien las medidas exigidas en virtud de la presente Directiva son más amplias en términos de riesgos y tipos de medidas que han de adoptarse, las entidades críticas de esos sectores deben reflejar en su plan de resiliencia o en los documentos equivalentes las medidas adoptadas en virtud de esos otros actos jurídicos de la Unión. Las entidades críticas también deben tener en cuenta la Directiva 2008/96/CE del Parlamento Europeo y del Consejo (17), que introduce una evaluación de las carreteras del conjunto de la red para cartografiar los riesgos de accidentes y una inspección específica de seguridad vial para detectar condiciones peligrosas, defectos y problemas que aumentan el riesgo de accidentes y lesiones, a partir de visitas in situ a carreteras o tramos de carreteras en servicio. Garantizar la protección y la resiliencia de las entidades críticas reviste la máxima importancia para el sector ferroviario y, a la hora de aplicar medidas de resiliencia en virtud de la presente Directiva, se anima a las entidades críticas a que se remitan a las directrices no vinculantes y documentos de buenas prácticas elaborados en el marco de líneas de trabajo sectoriales, como la Plataforma de la UE en materia de seguridad de los viajeros de ferrocarril establecida por la Decisión 2018/C 232/03 de la Comisión (18). |
(32) |
El riesgo de que los empleados de las entidades críticas o sus contratistas hagan un uso indebido, por ejemplo, de sus derechos de acceso dentro de la organización de la entidad crítica para causar daños y perjuicios es cada vez más preocupante. Por tanto, los Estados miembros deben especificar las condiciones en las cuales las entidades críticas están autorizadas, en casos debidamente motivados y teniendo en cuenta las evaluaciones de riesgos del Estado miembro, para presentar solicitudes de comprobación de antecedentes personales de las personas pertenecientes a categorías específicas de su personal. Debe garantizarse que las autoridades competentes evalúen dichas solicitudes en un plazo razonable, y las tramiten de conformidad con el Derecho y los procedimientos nacionales y con el Derecho de la Unión pertinente y aplicable, también en materia de protección de datos personales. A fin de corroborar la identidad de una persona objeto de una comprobación de antecedentes personales, conviene que los Estados miembros exijan una prueba de identidad, como un pasaporte, un documento nacional de identidad o formas digitales de identificación, de conformidad con el Derecho aplicable. Las comprobaciones de antecedentes personales deben incluir una comprobación de los registros de antecedentes penales de la persona de que se trate. Los Estados miembros deben utilizar información procedente del Sistema Europeo de Información de Antecedentes Penales, de conformidad con los procedimientos establecidos en la Decisión Marco 2009/315/JAI del Consejo (19) y, cuando proceda y sea aplicable, en el Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo (20), a fin de obtener información de los registros de antecedentes penales de otros Estados miembros. Los Estados miembros también podrían recurrir, cuando proceda y sea aplicable, al Sistema de Información de Schengen de segunda generación (SIS II) establecido por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (21), a la inteligencia, así como a cualquier otra información objetiva disponible que pueda ser necesaria para determinar la idoneidad de la persona de que se trate para trabajar en el puesto para el cual la entidad crítica haya solicitado una comprobación de antecedentes personales. |
(33) |
Debe establecerse un mecanismo para la notificación de determinados incidentes que permita a las autoridades competentes responder a los incidentes de forma rápida y adecuada, y tener una visión global de las repercusiones, la naturaleza, la causa y las posibles consecuencias de un incidente al que se enfrenten las entidades críticas. Las entidades críticas deben notificar sin demora indebida a las autoridades competentes los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales. A menos que sean operativamente incapaces de hacerlo, las entidades críticas deben presentar una notificación inicial a más tardar veinticuatro horas después de haber tenido conocimiento de un incidente. La notificación inicial únicamente debe incluir la información que sea estrictamente necesaria para que la autoridad competente tenga constancia del incidente y la entidad crítica pueda solicitar asistencia, en caso de que sea necesario. Dicha notificación debe indicar, en la medida de lo posible, la causa presunta del incidente. Los Estados miembros deben asegurarse de que el requisito de presentar dicha notificación inicial no desvíe los recursos de la entidad crítica de actividades relacionadas con la gestión de incidentes que deban priorizarse. La notificación inicial debe ir seguida, en su caso, de un informe detallado a más tardar un mes después del incidente. El informe detallado debe complementar la notificación inicial y ofrecer una visión más completa del incidente. |
(34) |
La normalización debe seguir siendo un proceso impulsado fundamentalmente por el mercado. Sin embargo, aún pueden darse situaciones en las que sea conveniente exigir el cumplimiento de normas específicas. Cuando resulte útil, los Estados miembros deben fomentar la aplicación de normas y especificaciones técnicas europeas e internacionales que sean pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas. |
(35) |
Si bien las entidades críticas actúan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de dichas entidades revisten especial importancia para la Unión y su mercado interior, ya que prestan servicios esenciales a o en seis o más Estados miembros y, por lo tanto, podrían beneficiarse de apoyo específico a escala de la Unión. Por consiguiente, deben establecerse normas sobre las misiones de asesoramiento con respecto de dichas entidades críticas de especial importancia europea. Dichas normas se entenderán sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva. |
(36) |
Previa solicitud motivada de la Comisión o de uno o más Estados miembros a o en los que se preste el servicio esencial, cuando se necesite información adicional para poder asesorar a una entidad crítica en el cumplimiento de sus obligaciones en virtud de la presente Directiva o para evaluar si una entidad crítica de especial importancia europea cumple las citadas obligaciones, el Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica debe entregar a la Comisión determinada información según lo dispuesto en la presente Directiva. De acuerdo con el Estado miembro que haya identificado como entidad crítica a la entidad crítica de especial importancia europea, la Comisión debe poder organizar una misión de asesoramiento para evaluar las medidas adoptadas por dicha entidad. A fin de garantizar que estas misiones de asesoramiento se lleven a cabo correctamente, deben establecerse normas complementarias, en particular sobre la organización y realización de las misiones de asesoramiento, el seguimiento que deba darse y las obligaciones de las entidades críticas de especial importancia europea de que se trate. Las misiones de asesoramiento deben llevarse a cabo, sin perjuicio de la necesidad de que el Estado miembro donde se realicen y la entidad crítica interesada cumplan las normas establecidas en la presente Directiva, de conformidad con las normas detalladas del Derecho de dicho Estado miembro, por ejemplo, sobre las condiciones precisas que deben cumplirse a fin de tener acceso a las instalaciones o documentos pertinentes y sobre las vías de recurso judicial. Los conocimientos específicos necesarios para estas misiones de asesoramiento podrían solicitarse, cuando proceda, a través del Centro de Coordinación de la Respuesta a Emergencias establecido por la Decisión n.o 1313/2013/UE del Parlamento Europeo y del Consejo (22). |
(37) |
Con el fin de apoyar a la Comisión y facilitar la cooperación entre los Estados miembros y el intercambio de información, incluidas las mejores prácticas, sobre las cuestiones relacionadas con la presente Directiva, debe establecerse un Grupo de Resiliencia de las Entidades Críticas, en calidad de grupo de expertos de la Comisión. Los Estados miembros deben procurar garantizar que los representantes designados de sus autoridades competentes en el Grupo de Resiliencia de las Entidades Críticas cooperen de manera eficaz y eficiente, también mediante el nombramiento de representantes que cuenten con la habilitación de seguridad, en su caso. El Grupo de Resiliencia de las Entidades Críticas comenzará a desempeñar sus funciones tan pronto como sea posible a fin de proporcionar medios adicionales para una cooperación adecuada durante el período de transposición de la presente Directiva. El Grupo de Resiliencia de las Entidades Críticas debe interactuar con otros grupos de expertos sectoriales pertinentes. |
(38) |
El Grupo de Resiliencia de las Entidades Críticas debe cooperar con el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 con vistas a apoyar un marco global para la resiliencia cibernética y no cibernética de las entidades críticas. El Grupo de Resiliencia de las Entidades Críticas y el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 deben entablar un diálogo periódico a fin de promover la cooperación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555, y de facilitar el intercambio de información, en particular sobre temas de interés para ambos grupos. |
(39) |
A fin de alcanzar los objetivos de la presente Directiva, y sin perjuicio de la responsabilidad jurídica de los Estados miembros y de las entidades críticas de garantizar el cumplimiento de sus respectivas obligaciones establecidas en ella, la Comisión, cuando lo considere oportuno, debe prestar apoyo a las autoridades competentes y entidades críticas con el objetivo de facilitarles el cumplimiento de sus respectivas obligaciones. Al prestar apoyo a los Estados miembros y a las entidades críticas en el cumplimiento de las obligaciones derivadas de la presente Directiva, la Comisión debe basarse en las estructuras e instrumentos existentes, como el Mecanismo de Protección Civil de la Unión, creado por la Decisión n.o 1313/2013/UE, y la Red Europea de Referencia para la Protección de Infraestructuras Críticas. Además, debe informar a los Estados miembros de los recursos disponibles a escala de la Unión, como el Fondo de Seguridad Interior, creado por el Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo (23), Horizonte Europa, creado por el Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo (24), u otros instrumentos pertinentes para la resiliencia de las entidades críticas. |
(40) |
Los Estados miembros deben garantizar que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deben incluir, en particular, la facultad de realizar inspecciones y auditorías, la facultad de supervisar, la facultad de exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, la facultad de emitir órdenes para subsanar los incumplimientos detectados. Al emitir tales órdenes, los Estados miembros no deben exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad del incumplimiento y la capacidad económica de dicha entidad crítica. En términos más generales, estas competencias deben ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones tal como se establece en la presente Directiva, las autoridades competentes con arreglo a la presente Directiva deben poder solicitar a las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 que ejerzan sus facultades de supervisión y ejecución en relación con una entidad con arreglo a dicha Directiva que haya sido identificada como entidad crítica con arreglo a la presente Directiva. Las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 deben cooperar e intercambiar información a tal efecto. |
(41) |
A fin de aplicar la presente Directiva de manera eficaz y coherente, deben delegarse en la Comisión los poderes para adoptar actos con arreglo al artículo 290 del TFUE con el fin de completar la presente Directiva mediante la elaboración de una lista de servicios esenciales. Las autoridades competentes deben utilizar dicha lista para realizar las evaluaciones de riesgos del Estado miembro e identificar las entidades críticas con arreglo a la presente Directiva. A la luz del enfoque de armonización mínima de la presente Directiva, dicha lista no es exhaustiva y los Estados miembros podrían complementarla con servicios esenciales adicionales a nivel nacional a fin de tener en cuenta las características específicas nacionales en la prestación de servicios esenciales. Reviste especial importancia que la Comisión lleve a cabo las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación (25). En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupen de la preparación de actos delegados. |
(42) |
A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo (26). |
(43) |
Dado que los objetivos de la presente Directiva, a saber, garantizar la prestación sin obstrucciones en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales y aumentar la resiliencia de las entidades críticas que prestan tales servicios, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, pueden lograrse mejor a escala de la Unión, esta puede adoptar medidas, de acuerdo con el principio de subsidiariedad establecido en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad establecido en el artículo 5, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos. |
(44)
(45) |
El Supervisor Europeo de Protección de Datos, al que se consultó de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (27), emitió su dictamen el 11 de agosto de 2021.
Por consiguiente, debe derogarse la Directiva 2008/114/CE. |
HAN ADOPTADO LA PRESENTE DIRECTIVA:
Objeto y ámbito de aplicación
1. La presente Directiva:
a) obliga a los Estados miembros a adoptar medidas específicas destinadas a garantizar la prestación sin obstrucciones en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales dentro del ámbito de aplicación del artículo 114 del TFUE, en particular las obligaciones de identificar las entidades críticas y de apoyarlas en el cumplimiento de las obligaciones impuestas a estas últimas;
b) establece obligaciones a fin de que las entidades críticas aumenten su resiliencia y capacidad de prestar los servicios mencionados en la letra a) en el mercado interior;
c) establece normas:
i) sobre la supervisión de las entidades críticas,
ii) sobre la ejecución,
iii) para la identificación de las entidades críticas de especial importancia europea y sobre misiones de asesoramiento para evaluar las medidas adoptadas por tales entidades con el fin de cumplir sus obligaciones con arreglo al capítulo III;
d) establece procedimientos comunes de cooperación e información sobre la aplicación de la presente Directiva;
e) establece medidas con vistas a lograr un alto nivel de resiliencia de las entidades críticas a fin de garantizar la prestación de servicios esenciales dentro de la Unión y mejorar el funcionamiento del mercado interior.
2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) 2022/2555, sin perjuicio de lo dispuesto en el artículo 8 de la presente Directiva. Habida cuenta de la relación entre la seguridad física y la ciberseguridad de las entidades críticas, los Estados miembros garantizarán que la presente Directiva y la Directiva (UE) 2022/2555 se apliquen de manera coordinada.
3. Las disposiciones pertinentes de la presente Directiva, incluidas las disposiciones sobre supervisión y ejecución establecidas en el capítulo VI, no serán de aplicación en caso de que las disposiciones de actos jurídicos sectoriales de la Unión obliguen a las entidades críticas a adoptar medidas para aumentar su resiliencia y cuando tales obligaciones sean reconocidas por los Estados miembros como al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva.
4. Sin perjuicio de lo dispuesto en el artículo 346 del TFUE, la información que se considere confidencial de acuerdo con las normas de la Unión o nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades pertinentes de conformidad con la presente Directiva únicamente cuando tal intercambio sea necesario para la aplicación de la presente Directiva. La información que se intercambie se limitará a aquella que resulte pertinente y proporcionada para la finalidad del intercambio. El intercambio de información preservará la confidencialidad de esta y la seguridad y los intereses comerciales de las entidades críticas, respetando al mismo tiempo la seguridad de los Estados miembros.
5. La presente Directiva se entenderá sin perjuicio de la responsabilidad de los Estados miembros de salvaguardar la seguridad nacional y la defensa y de su competencia para salvaguardar otras funciones esenciales del Estado, como garantizar la integridad territorial del Estado y mantener el orden público.
6. La presente Directiva no se aplicará a entidades de la administración pública que realicen sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales.
7. Los Estados miembros podrán decidir que el artículo 11 y los capítulos III, IV y VI, en parte o en su totalidad, no se apliquen a entidades críticas específicas que realizan actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales, o que presten servicios exclusivamente a las entidades de la administración pública a que hace referencia el apartado 6 del presente artículo.
8. Las obligaciones establecidas en la presente Directiva no implicarán el suministro de información cuya divulgación fuera contraria a los intereses esenciales de seguridad nacional, seguridad pública o defensa de los Estados miembros.
9. La presente Directiva se entiende sin perjuicio del Derecho de la Unión en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (28) y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo (29).
Definiciones
A los efectos de la presente Directiva, se entenderá por:
1) «entidad crítica»: una entidad pública o privada identificada por un Estado miembro de conformidad con el artículo 6 como perteneciente a una de las categorías establecidas en la tercera columna del cuadro del anexo;
2) «resiliencia»: la capacidad de una entidad crítica para la prevención, la protección, la respuesta, la resistencia, la mitigación, la absorción, la adaptación y la recuperación en caso de un incidente;
3) «incidente»: un acontecimiento que tiene el potencial de perturbar significativamente, o que perturbe, la prestación de un servicio esencial, en particular cuando afecte a los sistemas nacionales que salvaguardan el Estado de Derecho;
4) «infraestructura crítica»: un elemento, instalación, equipo, red o sistema, o parte de un elemento, instalación, equipo, red o sistema, que es necesario para la prestación de un servicio esencial;
5) «servicio esencial»: un servicio que es crucial para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud pública y la seguridad, o el medio ambiente;
6) «riesgo»: la posible pérdida o perturbación causada por un incidente expresada como una combinación de la magnitud de tal pérdida o perturbación y la probabilidad de que se produzca tal incidente;
7) «evaluación de riesgos»: el proceso general dirigido a determinar la naturaleza y el alcance de un riesgo mediante la identificación y el análisis de potenciales amenazas, vulnerabilidades y peligros pertinentes que puedan dar lugar a un incidente y mediante la evaluación de las posibles pérdidas o perturbaciones en la prestación de un servicio esencial causadas por dicho incidente;
8) «norma»: una norma tal como se define en el artículo 2, apartado 1, del Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo (30);
9) «especificación técnica»: una especificación técnica tal como se define en el artículo 2, punto 4, del Reglamento (UE) n.o 1025/2012;
10) «entidad de la administración pública»: una entidad reconocida como tal en un Estado miembro de conformidad con el Derecho nacional, con excepción del poder judicial, los parlamentos o los bancos centrales, que cumple los criterios siguientes:
a) se ha creado para satisfacer necesidades de interés general y no tiene carácter industrial o mercantil;
b) está dotada de personalidad jurídica o está autorizada por la ley a actuar en nombre de otra entidad dotada de personalidad jurídica;
c) está financiada mayoritariamente por autoridades estatales u otras entidades de Derecho público a nivel central, cuya gestión se halla sometida a un control por parte de estas autoridades o entidades, o tiene órganos de administración, de dirección o de supervisión más de la mitad de cuyos miembros los nombran las autoridades estatales u otras entidades de Derecho público a nivel central;
d) esté facultada para dirigir a las personas físicas o jurídicas resoluciones administrativas o reglamentarias que afecten a sus derechos en la circulación transfronteriza de personas, mercancías, servicios o capitales.
Armonización mínima
La presente Directiva no será óbice para que los Estados miembros adopten o mantengan disposiciones de Derecho nacional con el objeto de alcanzar un mayor nivel de resiliencia de las entidades críticas, siempre y cuando tales disposiciones sean compatibles con las obligaciones que el Derecho de la Unión impone a los Estados miembros.
Estrategia para la resiliencia de las entidades críticas
1. Tras una consulta que, en la medida de lo posible, esté abierta a las partes interesadas pertinentes, cada Estado miembro adoptará a más tardar el 17 de enero de 2026 una estrategia para aumentar la resiliencia de las entidades críticas (en lo sucesivo, «estrategia»). La estrategia establecerá objetivos estratégicos y medidas de actuación, basándose en estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia, con vistas a alcanzar y mantener un alto nivel de resiliencia por parte de las entidades críticas y abarcará, como mínimo, los sectores indicados en el anexo.
2. Cada estrategia incluirá, como mínimo, los elementos siguientes:
a) los objetivos estratégicos y las prioridades con el fin de aumentar la resiliencia global de las entidades críticas, teniendo en cuenta las dependencias e interdependencias transfronterizas e intersectoriales;
b) un marco de gobernanza para alcanzar los objetivos estratégicos y las prioridades, incluida una descripción de las funciones y responsabilidades de las diferentes autoridades, entidades críticas y otras partes implicadas en la aplicación de la estrategia;
c) una descripción de las medidas necesarias para aumentar la resiliencia global de las entidades críticas, incluida una descripción de la evaluación de riesgos a que se refiere el artículo 5;
d) una descripción del proceso por el que se identifican las entidades críticas;
e) una descripción del proceso de apoyo a las entidades críticas de conformidad con el presente capítulo, incluidas las medidas para mejorar la cooperación entre el sector público, por una parte, y el sector privado y las entidades públicas y privadas, por otra;
f) una lista de las principales autoridades y partes interesadas pertinentes, distintas de las entidades críticas, que participen en la ejecución de la estrategia;
g) un marco de actuación a efectos de la coordinación entre las autoridades competentes con arreglo a la presente Directiva (en lo sucesivo, «autoridades competentes») y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 a efectos del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y el ejercicio de las tareas de supervisión;
h) una descripción de las medidas ya adoptadas con el fin de facilitar el cumplimiento de las obligaciones con arreglo al capítulo III de la presente Directiva por parte de las pequeñas y medianas empresas en el sentido del anexo de la Recomendación 2003/361/CE de la Comisión (31) identificadas como entidades críticas por el Estado miembro en cuestión.
Tras una consulta que, en la medida de lo posible, esté abierta a las partes interesadas pertinentes, los Estados miembros actualizarán sus estrategias como mínimo cada cuatro años.
3. Los Estados miembros comunicarán a la Comisión sus estrategias, así como sus actualizaciones sustanciales, en el plazo de tres meses a partir de la fecha de su adopción.
Evaluación de riesgos por los Estados miembros
1. La Comisión estará facultada para adoptar un acto delegado con arreglo al artículo 23, a más tardar el 17 de noviembre de 2023, que complete la presente Directiva mediante el establecimiento de una lista no exhaustiva de servicios esenciales en los sectores y subsectores indicados en el anexo. Las autoridades competentes recurrirán a dicha lista con el fin de realizar una evaluación de riesgos (en lo sucesivo, «evaluación de riesgos del Estado miembro») a más tardar el 17 de enero de 2026, y posteriormente siempre que sea necesario y como mínimo cada cuatro años. Las autoridades competentes utilizarán las evaluaciones de riesgos del Estado miembro con el fin de identificar las entidades críticas de conformidad con el artículo 6 y ayudar a dichas entidades críticas a adoptar medidas con arreglo al artículo 13.
Las evaluaciones de riesgos del Estado miembro tendrán en cuenta los riesgos naturales y de origen humano pertinentes, incluidos los de naturaleza intersectorial o transfronteriza, los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas híbridas u otras amenazas antagónicas, incluidos los delitos de terrorismo s según lo dispuesto en la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo (32).
2. Al realizar las evaluaciones de riesgos del Estado miembro, los Estados miembros tendrán en cuenta como mínimo lo siguiente:
a) la evaluación general de riesgos realizada de conformidad con el artículo 6, apartado 1, de la Decisión n.o 1313/2013/UE;
b) otras evaluaciones de riesgos pertinentes realizadas de conformidad con los requisitos de los actos jurídicos sectoriales de la Unión pertinentes, incluidos los Reglamentos (UE) 2017/1938 (33) y (UE) 2019/941 (34) del Parlamento Europeo y del Consejo y las Directivas 2007/60/CE (35) y 2012/18/UE (36) del Parlamento Europeo y del Consejo;
c) los riesgos pertinentes derivados del grado de interdependencia de los sectores indicados en el anexo, incluido el grado en que dependen de entidades situadas en otros Estados miembros y terceros países, y las repercusiones que una perturbación significativa en un sector pueda tener en otros sectores, incluido cualquier riesgo significativo para los ciudadanos y el mercado interior;
d) cualquier información sobre incidentes notificados de conformidad con el artículo 15.
A efectos del párrafo primero, letra c), los Estados miembros cooperarán con las autoridades competentes de otros Estados miembros y las autoridades competentes de terceros países, según proceda.
3. Los Estados miembros pondrán los elementos pertinentes de las evaluaciones de riesgos del Estado miembro a disposición de las entidades críticas que los Estados miembros hayan identificado con arreglo al artículo 6, a través, cuando proceda, de sus puntos de contacto únicos. Los Estados miembros garantizarán que la información facilitada a las entidades críticas ayude a estas en la realización de sus evaluaciones de riesgos de conformidad con el artículo 12 y en la adopción de medidas para garantizar su resiliencia de conformidad con el artículo 13.
4. En un plazo de tres meses tras la realización de la evaluación de riesgos del Estado miembro, este facilitará a la Comisión información pertinente sobre los tipos de riesgos determinados a raíz de dicha evaluación y los resultados de esta, por sectores y subsectores indicados en el anexo.
5. La Comisión, en cooperación con los Estados miembros, elaborará un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.
Identificación de las entidades críticas
1. A más tardar el 17 de julio de 2026, los Estados miembros identificarán las entidades críticas para los sectores y subsectores indicados en el anexo.
2. Cuando un Estado miembro identifique entidades críticas con arreglo al apartado 1, tendrá en cuenta los resultados de su evaluación de riesgos del Estado miembro y su estrategia y aplicará todos los criterios siguientes:
a) la entidad presta uno o más servicios esenciales;
b) la entidad opera en el territorio de dicho Estado miembro y su infraestructura crítica está situada en él, y
c) un incidente tendría efectos perturbadores significativos, determinados de conformidad con el artículo 7, apartado 1, en la prestación por la entidad de uno o más servicios esenciales, o en la prestación de otros servicios esenciales en los sectores indicados en el anexo que dependen de dicho o dichos servicios esenciales.
3. Cada Estado miembro elaborará una lista de las entidades críticas identificadas con arreglo al apartado 2 y garantizará que se les notifique, en el plazo de un mes a partir de su identificación, que han sido identificadas como entidades críticas. Los Estados miembros informarán a esas entidades críticas de las obligaciones que les incumben con arreglo a los capítulos III y IV y de la fecha a partir de la cual dichas obligaciones les son aplicables, sin perjuicio de lo dispuesto en el artículo 8. Los Estados miembros informarán a las entidades críticas en los sectores indicados en los puntos 3, 4 y 8 del cuadro del anexo de que no están sometidas a ninguna obligación con arreglo a los capítulos III y IV, a menos que las medidas nacionales dispongan otra cosa.
El capítulo III se aplicará a las entidades críticas de que se trate a partir de diez meses después de la fecha de la notificación a que se refiere el párrafo primero del presente apartado.
4. Los Estados miembros garantizarán que sus autoridades competentes con arreglo a la presente Directiva notifiquen a las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 la identidad de las entidades críticas que hayan identificado con arreglo al presente artículo, en el plazo de un mes a partir de la identificación. Dicha notificación especificará, cuando proceda, que las entidades críticas de que se trate son entidades de los sectores indicados en los puntos 3, 4 y 8 del cuadro anexo de la presente Directiva y que no están sometidas a ninguna obligación con arreglo a sus capítulos III y IV.
5. Cuando sea necesario y, en cualquier caso, como mínimo cada cuatro años, los Estados miembros revisarán y, en su caso, actualizarán la lista de las entidades críticas identificadas a que se refiere el apartado 3. Cuando tales actualizaciones conduzcan a la identificación de entidades críticas adicionales, los apartados 3 y 4 se aplicarán a dichas entidades críticas adicionales. Además, los Estados miembros garantizarán que las entidades que, después de tal actualización, ya no estén identificadas como entidades críticas reciban a su debido tiempo la notificación a este respecto y de que ha dejado de estar sometidas a las obligaciones con arreglo al capítulo III desde la fecha de recepción de dicha notificación.
6. La Comisión, en cooperación con los Estados miembros, elaborará recomendaciones y directrices no vinculantes con el fin de ayudar a estos últimos a identificar entidades críticas.
Efecto perturbador significativo
1. Al determinar el carácter significativo de un efecto perturbador a que se refiere el artículo 6, apartado 2, letra c), los Estados miembros tendrán en cuenta los criterios siguientes:
a) el número de usuarios que dependen del servicio esencial prestado por la entidad de que se trate;
b) el grado en que otros sectores y subsectores indicados en el anexo dependen del servicio esencial en cuestión;
c) las repercusiones que los incidentes podrían tener, en términos de grado y duración, en las actividades económicas y sociales, el medio ambiente, la seguridad y la protección públicas o la salud de la población;
d) la cuota de mercado de la entidad en el mercado del servicio o servicios esenciales de que se trate;
e) la zona geográfica que podría verse afectada por un incidente, incluido cualquier repercusión transfronteriza, teniendo en cuenta la vulnerabilidad asociada al grado de aislamiento de ciertos tipos de zonas geográficas, como las regiones insulares, las regiones remotas o las zonas montañosas;
f) la importancia de la entidad para mantener un nivel suficiente de servicio esencial, teniendo en cuenta la disponibilidad de medios alternativos para la prestación de dicho servicio esencial.
2. Una vez identificadas las entidades críticas con arreglo al artículo 6, apartado 1, cada Estado miembro presentará a la Comisión sin demora indebida la siguiente información:
a) una lista de servicios esenciales en ese Estado miembro en caso de contar con servicios esenciales adicionales en comparación con la lista de servicios esenciales a que se refiere el artículo 5, apartado 1;
b) el número de entidades críticas identificadas para cada sector y subsector indicado en el anexo y para cada servicio esencial;
c) los umbrales aplicados para especificar uno o varios de los criterios del apartado 1.
Los umbrales a que se refiere el párrafo primero, letra c), podrán presentarse como tales o de forma agregada.
Los Estados miembros presentarán posteriormente la información indicada en el párrafo primero en caso de que sea necesario y como mínimo cada cuatro años.
3. La Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 19, adoptará directrices no vinculantes para facilitar la aplicación de los criterios a que se refiere el apartado 1 del presente artículo, teniendo en cuenta la información a que se refiere el apartado 2 del presente artículo.
Entidades críticas del sector bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales
Los Estados miembros se asegurarán de que el artículo 11 y los capítulos III, IV y VI no se apliquen a las entidades críticas que hayan identificado en los sectores indicados en los puntos 3, 4 y 8 del cuadro del anexo. Los Estados miembros podrán adoptar o mantener disposiciones de Derecho nacional a fin de alcanzar un mayor nivel de resiliencia de dichas entidades críticas, a condición de que tales disposiciones sean coherentes con el Derecho de la Unión aplicable.
Autoridades competentes y punto de contacto único
1. Cada Estado miembro designará o establecerá una o varias autoridades competentes responsables de la correcta aplicación y, en caso necesario, ejecución a escala nacional de las disposiciones establecidas en la presente Directiva.
Con respecto a las entidades críticas en los sectores indicados en los puntos 3 y 4 del cuadro del anexo de la presente Directiva, las autoridades competentes serán, en principio, las autoridades competentes a que se refiere el artículo 46 del Reglamento (UE) 2022/2554. Con respecto a las entidades críticas en el sector indicado en el punto 8 del cuadro del anexo de la presente Directiva, las autoridades competentes serán, en principio, las autoridades competentes con arreglo a la Directiva (UE) 2022/2555. Los Estados miembros podrán designar una autoridad competente diferente para los sectores indicados en los puntos 3, 4 y 8 del cuadro del anexo de la presente Directiva, de conformidad con los marcos nacionales vigentes.
Cuando designen o establezcan más de una autoridad competente, los Estados miembros fijarán claramente las tareas de cada una de las autoridades interesadas y se asegurarán de que cooperen eficazmente para desempeñar las funciones con arreglo a la presente Directiva, también en lo que se refiere a la designación y las actividades del punto de contacto único a que se refiere el apartado 2.
2. Cada Estado miembro designará o establecerá un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con los puntos de contacto únicos de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 19 (en lo sucesivo, «punto de contacto único»). Cuando proceda, el Estado miembro designará su punto de contacto único en el seno de una autoridad competente. Cuando proceda, el Estados miembro podrá disponer que su punto de contacto único también ejerza una función de enlace con la Comisión y garantice la cooperación con terceros países.
3. A más tardar el 17 de julio de 2028, y posteriormente cada dos años, los puntos de contacto únicos presentarán a la Comisión y al Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 19 un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 15, apartado 3.
La Comisión, en cooperación con el Grupo de Resiliencia de las Entidades Críticas, elaborará un modelo común para la presentación de informes. Las autoridades competentes podrán utilizar con carácter voluntario dicho modelo común para la presentación de los informes de síntesis a que se refiere el párrafo primero.
4. Cada Estado miembro garantizará que su autoridad competente y el punto de contacto único tengan las competencias y los recursos financieros, humanos y técnicos adecuados para llevar a cabo, de manera eficaz y eficiente, las tareas que se les asignen.
5. Cada Estado miembro garantizará que su autoridad competente, cuando proceda y de conformidad con el Derecho de la Unión y nacional aplicable, consulte y coopere con otras autoridades nacionales pertinentes, incluidas las encargadas de la protección civil, la aplicación de la ley y la protección de datos personales, así como con las entidades críticas y las partes interesadas pertinentes.
6. Cada Estado miembro garantizará que su autoridad competente con arreglo a la presente Directiva coopere e intercambie información con las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 en relación con los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella que afecten a entidades críticas, así como sobre las medidas pertinentes adoptadas por su autoridad competente y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555.
7. En el plazo de tres meses a partir de la designación o el establecimiento de la autoridad competente y del punto de contacto único, cada Estado miembro notificará a la Comisión su identidad y sus tareas y responsabilidades con arreglo a la presente Directiva, así como sus datos de contacto y cualquier modificación posterior de estos. Los Estados miembros informarán a la Comisión en caso de que decidan designar autoridades competentes en relación con las entidades críticas en los sectores indicados en los puntos 3, 4 y 8 del cuadro del anexo a una autoridad distinta de las autoridades competentes a que se refiere el apartado 1, párrafo segundo. Cada Estado miembro hará pública la identidad de su autoridad competente y punto de contacto único.
8. La Comisión elaborará una lista de los puntos de contacto únicos de acceso público.
Apoyo de los Estados miembros a las entidades críticas
1. Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia. Este apoyo podrá incluir el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación de asesoramiento y formación al personal de las entidades críticas. Sin perjuicio de las normas aplicables en materia de ayudas estatales, los Estados miembros podrán proporcionar recursos financieros a las entidades críticas cuando sea necesario y esté justificado por objetivos de interés público.
2. Cada Estado miembro garantizará que su autoridad competente coopere e intercambie información y buenas prácticas con las entidades críticas de los sectores indicados en el anexo.
3. Los Estados miembros facilitarán el intercambio voluntario de información entre las entidades críticas en relación con las materias reguladas por la presente Directiva, de conformidad con el Derecho de la Unión y nacional, en particular sobre información clasificada y delicada, competencia y protección de datos personales.
Cooperación entre los Estados miembros
1. Cuando proceda, los Estados miembros se consultarán mutuamente en relación con las entidades críticas con el fin de garantizar que la presente Directiva se aplique de manera coherente. Dichas consultas tendrán lugar, en particular, en relación con las entidades críticas que:
a) utilicen infraestructuras críticas que estén físicamente conectadas entre dos o más Estados miembros;
b) formen parte de estructuras corporativas que estén conectadas o vinculadas a entidades críticas de otros Estados miembros;
c) hayan sido identificadas como entidades críticas en un Estado miembro y presten servicios esenciales a otros Estados miembros o en otros Estados miembros.
2. Las consultas a que se refiere el apartado 1 tendrán como objetivo aumentar la resiliencia de las entidades críticas y, en la medida de lo posible, reducir la carga administrativa que soportan.
Evaluación de riesgos por parte de las entidades críticas
1. No obstante el plazo establecido en el artículo 6, apartado 3, párrafo segundo, los Estados miembros garantizarán que las entidades críticas realicen una evaluación de riesgos en el plazo de nueve meses a partir de la recepción de la notificación a que se refiere el artículo 6, apartado 3, y posteriormente siempre que sea necesario y como mínimo cada cuatro años, sobre la base de las evaluaciones de riesgos del Estado miembro y otras fuentes de información pertinentes, a fin de evaluar todos los riesgos pertinentes que puedan perturbar la prestación de sus servicios esenciales (en lo sucesivo, «evaluación de riesgos de la entidad crítica»).
2. La evaluación de riesgos de la entidad crítica tendrá en cuenta los riesgos naturales y de origen humano pertinentes que puedan dar lugar a un incidente, entre ellos los de naturaleza intersectorial o transfronteriza, los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas híbridas y otras amenazas antagónicas, incluidos los delitos de terrorismo establecidos en la Directiva (UE) 2017/541. La evaluación de riesgos de la entidad crítica tendrá en cuenta el grado en que otros sectores indicados en el anexo dependen del servicio esencial prestado por dicha entidad crítica y el grado en que esta depende de otros servicios esenciales prestados por otras entidades en esos otros sectores, también, cuando proceda, en Estados miembros vecinos y terceros países.
Cuando haya realizado otras evaluaciones de riesgos o elaborado documentos en virtud de obligaciones establecidas en otros actos jurídicos que sean pertinentes para su evaluación de riesgos de la entidad crítica, la entidad crítica podrá utilizar esas otras evaluaciones y documentos para cumplir los requisitos establecidos en el presente artículo. En el ejercicio de sus funciones de supervisión, la autoridad competente podrá declarar conforme, total o parcialmente, con las obligaciones en virtud del presente artículo una evaluación de riesgos existente realizada por una entidad crítica que aborde los riesgos y el grado de dependencia a que se refiere el párrafo primero del presente apartado.
Medidas de resiliencia de las entidades críticas
1. Los Estados miembros se asegurarán de que las entidades críticas adopten medidas técnicas, organizativas y de seguridad adecuadas y proporcionadas para garantizar su resiliencia, sobre la base de la información pertinente aportada por ellos en la evaluación de riesgos del Estado miembro y de los resultados de la evaluación de riesgos de la entidad crítica, incluidas las medidas necesarias para:
a) evitar que se produzcan incidentes, considerando con la debida atención medidas de reducción del riesgo de catástrofes y de adaptación al cambio climático;
b) garantizar una protección física adecuada de sus instalaciones y de la infraestructura crítica, considerando con la debida atención, a título de ejemplo, las vallas, las barreras, las herramientas y rutinas de vigilancia perimetral, los equipos de detección y los controles de acceso;
c) responder y resistir a las consecuencias de los incidentes y mitigarlas, considerando con la debida atención la aplicación de procedimientos y protocolos de gestión de riesgos y crisis y rutinas de alerta;
d) recuperarse de incidentes, considerando con la debida atención medidas de continuidad de las actividades y la identificación de cadenas de suministro alternativas, a fin de retomar la prestación del servicio esencial;
e) garantizar una gestión adecuada de la protección de los empleados, considerando con la debida atención medidas como la determinación de las categorías del personal que ejerce funciones esenciales, el establecimiento de derechos de acceso a instalaciones, infraestructuras críticas e información delicada, el establecimiento de procedimientos de comprobación de antecedentes personales de conformidad con el artículo 14 y la designación de las categorías de personas que están obligadas a someterse a dicha comprobación de antecedentes, así como el establecimiento de requisitos adecuados en materia de formación y cualificaciones;
f) concienciar al personal pertinente acerca de las medidas mencionadas en las letras a) a e), considerando con la debida atención medidas como la organización de cursos de formación y ejercicios y la elaboración de material de información.
A efectos del párrafo primero, letra e), los Estados miembros se asegurarán de que las entidades críticas tengan en cuenta al personal de los proveedores de servicios externos a la hora de establecer categorías de personal que ejerza funciones esenciales.
2. Los Estados miembros se asegurarán de que las entidades críticas tengan y apliquen un plan de resiliencia o documentos equivalentes que describan las medidas adoptadas con arreglo al apartado 1. Cuando hayan elaborado documentos o tomado medidas en virtud de obligaciones establecidas en otros actos jurídicos que sean pertinentes para las medidas a que se refiere el apartado 1, las entidades críticas podrán utilizar dichos documentos y medidas para cumplir los requisitos establecidos en el presente artículo. En el ejercicio de sus funciones de supervisión, la autoridad competente podrá declarar conformes, total o parcialmente, con las obligaciones establecidas en el presente artículo las medidas existentes de mejora de la resiliencia tomadas por una entidad crítica que aborden, de forma adecuada y proporcionada, las medidas técnicas, organizativas y de seguridad y a que se refiere el apartado 1.
3. Los Estados miembros garantizarán que cada entidad crítica designe a un agente de enlace o equivalente como punto de contacto con las autoridades competentes.
4. A petición del Estado miembro que haya identificado la entidad crítica y con el acuerdo de esta, la Comisión organizará misiones de asesoramiento, de conformidad con las disposiciones establecidas en el artículo 18, apartados 6, 8 y 9, para asesorar a la entidad crítica de que se trate en el cumplimiento de sus obligaciones con arreglo al capítulo III. La misión de asesoramiento informará de sus conclusiones a la Comisión, al Estado miembro y a la entidad crítica de que se trate.
5. La Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 19, adoptará directrices no vinculantes para especificar con más detalle las medidas técnicas, organizativas y de seguridad que se pueden adoptar con arreglo al apartado 1 del presente artículo.
6. La Comisión adoptará actos de ejecución para establecer las especificaciones técnicas y metodológicas necesarias relativas a la aplicación de las medidas a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 24, apartado 2.
Comprobación de antecedentes
1. Los Estados miembros especificarán las condiciones en las cuales, en casos debidamente motivados y teniendo en cuenta la evaluación de riesgos del Estado miembro, se permita a una entidad crítica presentar solicitudes de comprobación de los antecedentes personales de quienes:
a) desempeñen tareas delicadas en la entidad crítica o para su beneficio, en particular en relación con la resiliencia de la entidad crítica;
b) estén autorizados a disponer de acceso directo o remoto a sus instalaciones, información o sistemas de control, también por lo que respecta a la seguridad de la entidad crítica;
c) estén siendo considerados para su contratación en puestos que cumplan los criterios establecidos en las letras a) o b).
2. Las solicitudes a que se refiere el apartado 1 del presente artículo se evaluarán en un plazo razonable y se tramitarán de conformidad con el Derecho y los procedimientos nacionales y con el Derecho de la Unión pertinente y aplicable, incluidos el Reglamento (UE) 2016/679 y la Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo (37). Estas comprobaciones de antecedentes serán proporcionadas y se limitarán estrictamente a lo necesario. Se realizarán con el único fin de evaluar un posible riesgo para la seguridad de la entidad crítica de que se trate.
3. La comprobación de antecedentes a que se refiere el apartado 1 incluirá, como mínimo, las siguientes tareas:
a) corroborar la identidad de la persona objeto de la comprobación de antecedentes;
b) comprobar en el registro de antecedentes penales de dicha persona la existencia de delitos que sean significativos para un puesto concreto.
Al efectuar las comprobaciones de antecedentes, los Estados miembros utilizarán el Sistema Europeo de Información de Antecedentes Penales de conformidad con los procedimientos establecidos en la Decisión Marco 2009/315/JAI y, cuando proceda y sea aplicable, en el Reglamento (UE) 2019/816 a efectos de la obtención de información del registro de antecedentes penales de otros Estados miembros. Las autoridades centrales a que se refieren el artículo 3, apartado 1, de la Decisión Marco 2009/315/JAI y el artículo 3, punto 5, del Reglamento (UE) 2019/816 responderán a las solicitudes de información en el plazo de diez días hábiles a partir de la fecha de recepción de la solicitud de conformidad con el artículo 8, apartado 1, de la Decisión Marco 2009/315/JAI.
Notificación de incidentes
1. Los Estados miembros se asegurarán de que las entidades críticas notifiquen sin demora indebida a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales. Los Estados miembros se asegurarán de que, salvo que sean incapaces de hacerlo desde el punto de vista operativo, las entidades críticas presenten, en un plazo de veinticuatro horas a partir del momento en que tengan conocimiento de un incidente, una notificación inicial seguida, en su caso, de un informe detallado en el plazo de un mes, a más tardar. A fin de determinar la magnitud de la perturbación, se tendrán en cuenta, en particular, los parámetros siguientes:
a) el número y el porcentaje de usuarios afectados por la perturbación;
b) la duración de la perturbación;
c) la zona geográfica afectada por la perturbación, teniendo en cuenta si la zona está aislada geográficamente.
Cuando un incidente tenga o pueda tener repercusiones significativas en la continuidad de la prestación de servicios esenciales en seis Estados miembros o más, las autoridades competentes de los Estados miembros afectados por el incidente lo notificarán a la Comisión.
2. Las notificaciones a que se refiere el apartado 1, párrafo primero, incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, la causa y las posibles consecuencias del incidente, incluida cualquier información disponible que sea necesaria para determinar las posibles repercusiones transfronterizas del incidente. Tales notificaciones no acarrearán una mayor responsabilidad para las entidades críticas.
3. Sobre la base de la información facilitada por una entidad crítica en una notificación a que se refiere el apartado 1, la autoridad competente correspondiente, a través del punto de contacto único, informará a los puntos de contacto únicos de los demás Estados miembros afectados en caso de que el incidente tenga o pueda tener repercusiones significativas en las entidades críticas y en la continuidad de la prestación de servicios esenciales para o en uno o varios Estados miembros.
El punto de contacto único que envíe y reciba información con arreglo al párrafo primero tratará dicha información, de conformidad con el Derecho de la Unión o nacional, de forma que se respete su confidencialidad y se protejan la seguridad y los intereses comerciales de la entidad crítica de que se trate.
4. Tan pronto como sea posible tras haber recibido la notificación a que se refiere el apartado 1, la autoridad competente correspondiente facilitará a la entidad crítica afectada información de seguimiento pertinente, incluida la información que pueda respaldar una respuesta eficaz de la entidad crítica al incidente en cuestión. Los Estados miembros informarán al público cuando consideren que sea de interés público hacerlo.
Normas
A fin de promover una aplicación convergente de la presente Directiva, los Estados miembros, cuando resulte útil y sin imponer ni favorecer el uso de un tipo específico de tecnología, fomentarán la utilización de normas y especificaciones técnicas europeas e internacionales que sean pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas.
Identificación de las entidades críticas de especial importancia europea
1. Se considerará que una entidad es una entidad crítica de especial importancia europea cuando:
a) haya sido identificada como entidad crítica de conformidad con el artículo 6, apartado 1;
b) preste los mismos o similares servicios esenciales a o en seis o más Estados miembros, y
c) haya sido notificada de conformidad con el apartado 3 del presente artículo.
2. Los Estados miembros garantizarán que, tras la notificación a que se refiere el artículo 6, apartado 3, la entidad crítica informe a su autoridad competente en caso de que preste servicios esenciales a o en seis o más Estados miembros. En ese caso, los Estados miembros garantizarán que la entidad crítica informe a su autoridad competente de los servicios esenciales que presta a y en tales Estados miembros y de los Estados miembros a o en los que presta tales servicios esenciales. Los Estados miembros comunicarán sin demora indebida a la Comisión la identidad de dichas entidades críticas y la información facilitada con arreglo al presente apartado.
La Comisión consultará a la autoridad competente del Estado miembro que haya identificado a una entidad crítica a que se refiere el párrafo primero, a la autoridad competente de los demás Estados miembros de que se trate y a la entidad crítica en cuestión. Durante dichas consultas, cada Estado miembro informará a la Comisión en caso de considerar esenciales los servicios prestados a dicho Estado miembro por la entidad crítica.
3. Cuando, a partir de las consultas mencionadas en el apartado 2 del presente artículo, la Comisión determine que la entidad crítica en cuestión presta servicios esenciales a o en seis o más Estados miembros, notificará a dicha entidad crítica, a través de su autoridad competente, que se la considera una entidad crítica de especial importancia europea y le informará de las obligaciones que le incumben en virtud del presente capítulo y de la fecha a partir de la cual le serán exigibles. Una vez que la Comisión informe a la autoridad competente de su decisión de considerar que una entidad crítica es una entidad crítica de especial importancia europea, la autoridad competente transmitirá dicha notificación a la entidad crítica sin demora indebida.
4. El presente capítulo se aplicará a la entidad crítica de especial importancia europea de que se trate a partir de la fecha de recepción de la notificación mencionada en el apartado 3 del presente artículo.
Misiones de asesoramiento
1. A petición del Estado miembro que haya identificado que una entidad crítica de especial importancia europea es una entidad crítica con arreglo al artículo 6, apartado 1, la Comisión organizará una misión de asesoramiento a fin de evaluar las medidas adoptadas por dicha entidad crítica con el fin de cumplir sus obligaciones con arreglo al capítulo III.
2. A iniciativa propia o a petición de uno o más Estados miembros a o en los que se preste el servicio esencial y siempre que cuente con el acuerdo del Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, la Comisión organizará una misión de asesoramiento a tenor del apartado 1 del presente artículo.
3. Previa solicitud motivada de la Comisión o de uno o varios de los Estados miembros a o en los que se preste el servicio esencial, el Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, facilitará a la Comisión la siguiente información:
a) las partes pertinentes de la evaluación de riesgos de la entidad crítica;
b) una lista de las medidas pertinentes tomadas de conformidad con el artículo 13;
c) las medidas de supervisión o ejecución, incluidas las evaluaciones del cumplimiento o las órdenes emitidas, que su autoridad competente haya emprendido con arreglo a los artículos 21 y 22 con respecto a dicha entidad crítica.
4. La misión de asesoramiento informará de sus conclusiones a la Comisión, al Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, a los Estados miembros a o en los que se preste el servicio esencial y a la entidad crítica en cuestión en el plazo de tres meses a partir de la conclusión de la misión de asesoramiento.
Los Estados miembros a o en los que se preste el servicio esencial analizarán el informe mencionado en el párrafo primero y, en caso necesario, informarán a la Comisión sobre el cumplimiento o no por la entidad crítica de especial importancia europea de que se trate de sus obligaciones con arreglo al capítulo III y, si ha lugar, sobre las medidas que podrían adoptarse para aumentar la resiliencia de dicha entidad crítica.
Sobre la base de la información mencionada en el párrafo segundo del presente apartado, la Comisión comunicará al Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, a los Estados miembros a o en los que se preste el servicio esencial y a dicha entidad crítica su dictamen sobre el cumplimiento o no por la entidad crítica de sus obligaciones con arreglo al capítulo III y, si ha lugar, sobre las medidas que podrían adoptarse para aumentar la resiliencia de dicha entidad crítica.
El Estado miembro que haya identificado a una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, se asegurará de que su autoridad competente y la entidad crítica de que se trate tengan debidamente en cuenta el dictamen mencionado en el párrafo tercero del presente apartado e informará a la Comisión y a los Estados miembros a o en los que se preste el servicio esencial de las medidas adoptadas de conformidad con dicho dictamen.
5. Cada misión de asesoramiento estará compuesta por expertos del Estado miembro en el que esté situada la entidad crítica de especial importancia europea, expertos de los Estados miembros a o en los que se preste el servicio esencial y por representantes de la Comisión. Dichos Estados miembros podrán proponer candidatos a formar parte de una misión de asesoramiento. La Comisión, tras consultar al Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1, seleccionará y nombrará a los miembros de cada misión de asesoramiento en función de su capacidad profesional y garantizando, cuando sea posible, una representación geográficamente equilibrada de todos esos Estados miembros. Cuando sea necesario, los miembros de la misión de asesoramiento deberán disponer de una habilitación de seguridad adecuada y en vigor. La Comisión sufragará los gastos relacionados con la participación en la misión de asesoramiento.
La Comisión organizará el programa de cada misión de asesoramiento, en consulta con los miembros de la misión de asesoramiento en cuestión y de acuerdo con el Estado miembro que haya identificado una entidad crítica de especial importancia europea como entidad crítica con arreglo al artículo 6, apartado 1.
6. La Comisión adoptará un acto de ejecución por el que se establezcan normas sobre las disposiciones de procedimiento aplicables a las solicitudes de organización de misiones de asesoramiento, a la tramitación de tales solicitudes, a la realización de las misiones de asesoramiento y la elaboración de sus informes y al tratamiento de la comunicación del dictamen de la Comisión a que se refiere el apartado 4, párrafo tercero, del presente artículo y a las medidas adoptadas, teniendo debidamente en cuenta la confidencialidad y la sensibilidad comercial de la información en cuestión. Dicho acto de ejecución se adoptará de conformidad con el procedimiento de examen a que se refiere el artículo 24, apartado 2.
7. Los Estados miembros se asegurarán de que las entidades críticas de especial importancia europea proporcionen a la misión de asesoramiento acceso a la información, los sistemas y las instalaciones relacionados con la prestación de sus servicios esenciales necesarios para llevar a cabo la misión de asesoramiento de que se trate.
8. Las misiones de asesoramiento se llevarán a cabo de conformidad con el Derecho nacional aplicable del Estado miembro en el que tengan lugar, con respecto a la responsabilidad del Estado miembro en materia de seguridad nacional y la protección de sus intereses de seguridad.
9. Al organizar las misiones de asesoramiento, la Comisión tendrá en cuenta los informes de todas las inspecciones realizadas por la Comisión con arreglo a los Reglamentos (CE) n.o 725/2004 y (CE) n.o 300/2008, así como los informes de cualquier supervisión efectuada por la Comisión en virtud de la Directiva 2005/65/CE en relación con la entidad crítica de que se trate.
10. La Comisión informará al Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 19 cada vez que se organice una misión de asesoramiento. Además, el Estado miembro en el que tuvo lugar la misión de asesoramiento y la Comisión informarán al Grupo de Resiliencia de las Entidades Críticas acerca de las conclusiones principales de la misión de asesoramiento y de la experiencia adquirida, con vistas a fomentar el aprendizaje mutuo.
Grupo de Resiliencia de las Entidades Críticas
1. Se establece un Grupo de Resiliencia de las Entidades Críticas. El Grupo de Resiliencia de las Entidades Críticas apoyará a la Comisión y facilitará la cooperación entre los Estados miembros y el intercambio de información sobre cuestiones relacionadas con la presente Directiva.
2. El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión que dispongan de habilitación de seguridad, cuando proceda. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas podrá invitar a partes interesadas pertinentes a participar en su trabajo. Si así lo solicita el Parlamento Europeo, la Comisión también podrá invitar a expertos del Parlamento Europeo a asistir a las reuniones del Grupo de Resiliencia de las Entidades Críticas.
El representante de la Comisión presidirá el Grupo de Resiliencia de las Entidades Críticas.
3. El Grupo de Resiliencia de las Entidades Críticas desempeñará las siguientes funciones:
a) asistir a la Comisión en la prestación de ayuda a los Estados miembros para que refuercen su capacidad de contribuir a garantizar la resiliencia de las entidades críticas de conformidad con la presente Directiva;
b) analizar las estrategias para determinar las mejores prácticas con respecto a ellas;
c) facilitar el intercambio de mejores prácticas en lo que respecta a la identificación de las entidades críticas por parte de los Estados miembros con arreglo al artículo 6, apartado 1, también en relación con las dependencias transfronterizas e intersectoriales y en lo referente a los riesgos e incidentes;
d) cuando proceda, realizar contribuciones, en torno a cuestiones relacionadas con la presente Directiva, a documentos relativos a la resiliencia a escala de la Unión;
e) contribuir a la preparación de las directrices a que se refieren el artículo 7, apartado 3, y el artículo 13, apartado 5, y, previa solicitud, de cualquier acto delegado o de ejecución adoptado en virtud de la presente Directiva;
f) analizar los informes de síntesis a que se refiere el artículo 9, apartado 3, con vistas a promover el intercambio de mejores prácticas sobre las medidas adoptadas de conformidad con el artículo 15, apartado 3;
g) intercambiar información sobre las mejores prácticas relacionadas con la notificación de incidentes a que se refiere el artículo 15;
h) debatir los informes de síntesis de las misiones de asesoramiento y la experiencia adquirida de conformidad con el artículo 18, apartado 10;
i) intercambiar información sobre las actividades y las mejores prácticas en materia de innovación, investigación y desarrollo en relación con la resiliencia de las entidades críticas de conformidad con la presente Directiva;
j) cuando proceda, intercambiar información sobre cuestiones relativas a la resiliencia de las entidades críticas con las instituciones, órganos y organismos pertinentes de la Unión.
4. A más tardar el 17 de enero de 2025, y posteriormente cada dos años, el Grupo de Resiliencia de las Entidades Críticas establecerá un programa de trabajo en el que exponga las acciones que deban emprenderse para cumplir sus objetivos y tareas. Dicho programa de trabajo deberá ser coherente con los requisitos y objetivos de la presente Directiva.
5. El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente, y como mínimo una vez al año, con el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 a fin de fomentar y facilitar la cooperación y el intercambio de información.
6. La Comisión podrá adoptar actos de ejecución que establezcan las disposiciones de procedimiento necesarias para el funcionamiento del Grupo de Resiliencia de las Entidades Críticas, de conformidad con el artículo 1, apartado 4. Dichos actos de ejecución se adoptarán de conformidad con el procedimiento de examen a que se refiere el artículo 24, apartado 2.
7. La Comisión presentará al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis de la información facilitada por los Estados miembros de conformidad con el artículo 4, apartado 3, y el artículo 5, apartado 4, a más tardar el 17 de enero de 2027, y posteriormente siempre que sea necesario y como mínimo cada cuatro años.
Apoyo de la Comisión a las autoridades competentes y a las entidades críticas
1. La Comisión apoyará, cuando proceda, a los Estados miembros y a las entidades críticas en el cumplimiento de sus obligaciones en virtud de la presente Directiva. La Comisión elaborará una visión de conjunto a escala de la Unión de los riesgos transfronterizos e intersectoriales para la prestación de servicios esenciales, organizará las misiones de asesoramiento a que se refieren el artículo 13, apartado 4, y el artículo 18, y facilitará el intercambio de información entre Estados miembros y expertos en toda la Unión.
2. La Comisión complementará las actividades de los Estados miembros a que se refiere el artículo 10 mediante el desarrollo de mejores prácticas, materiales y metodologías de orientación, y actividades y ejercicios de formación transfronterizos para poner a prueba la resiliencia de las entidades críticas.
3. La Comisión informará a los Estados miembros sobre los recursos financieros a escala de la Unión puestos a disposición de los Estados miembros para aumentar la resiliencia de las entidades críticas.
Supervisión y ejecución
1. A fin de evaluar el cumplimiento de las obligaciones establecidas en la presente Directiva por parte de las entidades identificadas por los Estados miembros como entidades críticas con arreglo al artículo 6, apartado 1, los Estados miembros garantizarán que las autoridades competentes dispongan de las facultades y medios necesarios para:
a) realizar inspecciones in situ de las infraestructuras críticas y de las instalaciones que utilice la entidad crítica para prestar sus servicios esenciales y actividades de supervisión externa de las medidas adoptadas por las entidades críticas con arreglo al artículo 13;
b) realizar u ordenar auditorías con respecto a entidades críticas.
2. Los Estados miembros garantizarán que las autoridades competentes dispongan de las facultades y medios necesarios para exigir, cuando sea necesario para el desempeño de sus funciones con arreglo a la presente Directiva, que las entidades con arreglo a la Directiva (UE) 2022/2555 que los Estados miembros hayan identificado como entidades críticas con arreglo a la presente Directiva faciliten, en un plazo razonable fijado por dichas autoridades:
a) la información necesaria para evaluar si las medidas adoptadas por las citadas entidades para garantizar su resiliencia cumplen los requisitos establecidos en el artículo 13;
b) pruebas de la aplicación efectiva de dichas medidas, incluidos los resultados de una auditoría realizada por un auditor cualificado e independiente seleccionado por la entidad y a expensas de esta.
Cuando exijan dicha información, las autoridades competentes indicarán con qué objeto la piden y especificarán la información requerida.
3. Sin perjuicio de la posibilidad de imponer sanciones de conformidad con el artículo 22, las autoridades competentes, tras las medidas de supervisión a que se refiere el apartado 1 del presente artículo o la evaluación de la información a que se refiere su apartado 2, podrán requerir a las entidades críticas correspondientes que adopten las medidas necesarias y proporcionadas para subsanar cualquier incumplimiento detectado de la presente Directiva, en un plazo razonable fijado por tales autoridades, y que les faciliten información sobre las medidas adoptadas. Dichos requerimientos tendrán en cuenta, en particular, la gravedad del incumplimiento.
4. Los Estados miembros garantizarán que las facultades establecidas en los apartados 1, 2 y 3 únicamente puedan ejercerse con las salvaguardias adecuadas. Dichas salvaguardias garantizarán, en particular, que dichas facultades se ejerzan de manera objetiva, transparente y proporcionada, y que los derechos e intereses legítimos de las entidades críticas interesadas, como la protección de los secretos comerciales y empresariales, estén debidamente protegidos, incluidos su derecho a ser oídas y su derecho de defensa y de tutela judicial efectiva ante un órgano jurisdiccional independiente.
5. Los Estados miembros garantizarán que, cuando una autoridad competente con arreglo a la presente Directiva evalúe el cumplimiento de las obligaciones de una entidad crítica con arreglo al presente artículo, dicha autoridad competente informe a las autoridades competentes de los Estados miembros de que se trate con arreglo a la Directiva (UE) 2022/2555. A tal fin, los Estados miembros garantizarán que las autoridades competentes con arreglo a la presente Directiva puedan solicitar a las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 que ejerzan sus facultades de supervisión y ejecución en relación con una entidad con arreglo a dicha Directiva que haya sido identificada como entidad crítica con arreglo a la presente Directiva. A tal efecto, los Estados miembros garantizarán que las autoridades competentes con arreglo a la presente Directiva cooperen e intercambien información con las autoridades competentes con arreglo a la Directiva (UE) 2022/2555.
Sanciones
Los Estados establecerán el régimen de sanciones aplicables a cualquier incumplimiento de las medidas nacionales adoptadas al amparo de la presente Directiva y adoptarán todas las medidas necesarias para garantizar su ejecución. Tales sanciones serán efectivas, proporcionadas y disuasorias. Los Estados miembros comunicarán a la Comisión el régimen establecido y las medidas adoptadas, a más tardar el 17 de octubre de 2024, y le notificarán sin demora toda modificación posterior.
Ejercicio de la delegación
1. Se otorgan a la Comisión los poderes para adoptar actos delegados en las condiciones establecidas en el presente artículo.
2. Los poderes para adoptar actos delegados mencionados en el artículo 5, apartado 1, se otorgan a la Comisión por un período de dos años a partir del 16 de enero de 2023.
3. La delegación de poderes mencionada en el artículo 5, apartado 1, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá término a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. No afectará a la validez de los actos delegados que ya estén en vigor.
4. Antes de la adopción de un acto delegado, la Comisión consultará a los expertos designados por cada Estado miembro de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación.
5. Tan pronto como la Comisión adopte un acto delegado lo notificará simultáneamente al Parlamento Europeo y al Consejo.
6. Los actos delegados adoptados en virtud del artículo 5, apartado 1, entrarán en vigor únicamente si, en un plazo de dos meses a partir de su notificación al Parlamento Europeo y al Consejo, ninguna de estas instituciones formula objeciones o si, antes del vencimiento de dicho plazo, ambas informan a la Comisión de que no las formularán. El plazo se prorrogará dos meses a iniciativa del Parlamento Europeo o del Consejo.
Procedimiento de comité
1. La Comisión estará asistida por un comité. Dicho comité será un comité en el sentido del Reglamento (UE) n.o 182/2011.
2. En los casos en que se haga referencia al presente apartado, se aplicará el artículo 5 del Reglamento (UE) n.o 182/2011.
Presentación de informes y revisión
A más tardar el 17 de julio de 2027, la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúe en qué medida cada Estado miembro ha adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva.
La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. En dicho informe se evaluará, en particular, el valor añadido de la presente Directiva, su impacto a la hora de garantizar la resiliencia de las entidades críticas y la conveniencia de modificar el anexo de la presente Directiva. La Comisión presentará el primer informe a más tardar el 17 de junio de 2029. A efectos de la presentación de informes con arreglo al presente artículo, la Comisión tendrá en cuenta los documentos pertinentes del Grupo de Resiliencia de las Entidades Críticas.
Transposición
1. Los Estados miembros adoptarán y publicarán a más tardar el 17 de octubre de 2024 las disposiciones necesarias para dar cumplimiento a lo establecido en la presente Directiva. Informarán de ello inmediatamente a la Comisión.
Aplicarán dichas disposiciones a partir del 18 de octubre de 2024.
2. Cuando los Estados miembros adopten las disposiciones a que se refiere el apartado 1, estas incluirán una referencia a la presente Directiva o irán acompañadas de dicha referencia en su publicación oficial. Los Estados miembros establecerán las modalidades de la mencionada referencia.
Derogación de la Directiva 2008/114/CE
Queda derogada la Directiva 2008/114/CE con efecto a partir del 18 de octubre de 2024.
Las referencias a la Directiva derogada se entenderán hechas a la presente Directiva.
Entrada en vigor
La presente Directiva entrará en vigor a los veinte días de su publicación en el Diario Oficial de la Unión Europea.
Destinatarios
Los destinatarios de la presente Directiva son los Estados miembros.
Hecho en Estrasburgo, el 14 de diciembre de 2022.
Por el Parlamento Europeo
La Presidenta
R. METSOLA
Por el Consejo
El Presidente
M. BEK
(1) DO C 286 de 16.7.2021, p. 170.
(2) DO C 440 de 29.10.2021, p. 99.
(3) Posición del Parlamento Europeo de 22 de noviembre de 2022 (pendiente de publicación en el Diario Oficial) y Decisión del Consejo de 8 de diciembre de 2022.
(4) Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).
(5) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (véase la página 80 del presente Diario Oficial).
(6) Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo, de 6 de julio de 2016, relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (DO L 194 de 19.7.2016, p. 1).
(7) Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, por el que se establece un marco para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).
(8) Reglamento (UE) n.o 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).
(9) Reglamento (UE) n.o 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito, y por el que se modifica el Reglamento (UE) n.o 648/2012 (DO L 176 de 27.6.2013, p. 1).
(10) Reglamento (UE) n.o 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.o 648/2012 (DO L 173 de 12.6.2014, p. 84).
(11) Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).
(12) Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).
(13) Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 y (UE) 2016/1011 (véase la página 1 del presente Diario Oficial).
(14) Reglamento (CE) n.o 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).
(15) Reglamento (CE) n.o 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.o 2320/2002 (DO L 97 de 9.4.2008, p. 72).
(16) Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).
(17) Directiva 2008/96/CE del Parlamento Europeo y del Consejo, de 19 de noviembre de 2008, sobre gestión de la seguridad de las infraestructuras viarias (DO L 319 de 29.11.2008, p. 59).
(18) Decisión de la Comisión, de 29 de junio de 2018, por la que se establece la Plataforma de la UE en materia de seguridad de los viajeros de ferrocarril 2018/C 232/03 (DO C 232 de 3.7.2018, p. 10).
(19) Decisión Marco 2009/315/JAI del Consejo, de 26 de febrero de 2009, relativa a la organización y al contenido del intercambio de información de los registros de antecedentes penales entre los Estados miembros (DO L 93 de 7.4.2009, p. 23).
(20) Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo, de 17 de abril de 2019, por el que se establece un sistema centralizado para la identificación de los Estados miembros que poseen información sobre condenas de nacionales de terceros países y apátridas (ECRIS-NTP) a fin de complementar el Sistema Europeo de Información de Antecedentes Penales y por el que se modifica el Reglamento (UE) 2018/1726 (DO L 135 de 22.5.2019, p. 1).
(21) Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo, de 28 de noviembre de 2018, relativo al establecimiento, funcionamiento y utilización del Sistema de Información de Schengen (SIS) en el ámbito de la cooperación policial y de la cooperación judicial en materia penal, por el que se modifica y deroga la Decisión 2007/533/JAI del Consejo, y se derogan el Reglamento (CE) n.o 1986/2006 del Parlamento Europeo y del Consejo y la Decisión 2010/261/UE de la Comisión (DO L 312 de 7.12.2018, p. 56).
(22) Decisión n.o 1313/2013/UE del Parlamento Europeo y del Consejo, de 17 de diciembre de 2013, relativa a un Mecanismo de Protección Civil de la Unión (DO L 347 de 20.12.2013, p. 924).
(23) Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo, de 7 de julio de 2021, por el que se crea el Fondo de Seguridad Interior (DO L 251 de 15.7.2021, p. 94).
(24) Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo, de 28 de abril de 2021, por el que se crea el Programa Marco de Investigación e Innovación «Horizonte Europa», se establecen sus normas de participación y difusión, y se derogan los Reglamentos (UE) n.o 1290/2013 y (UE) n.o 1291/2013 (DO L 170 de 12.5.2021, p. 1).
(25) DO L 123 de 12.5.2016, p. 1.
(26) Reglamento (UE) n.o 182/2011 del Parlamento Europeo y del Consejo, de 16 de febrero de 2011, por el que se establecen las normas y los principios generales relativos a las modalidades de control por parte de los Estados miembros del ejercicio de las competencias de ejecución por la Comisión (DO L 55 de 28.2.2011, p. 13).
(27) Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones, órganos y organismos de la Unión, y a la libre circulación de esos datos, y por el que se derogan el Reglamento (CE) n.o 45/2001 y la Decisión n.o 1247/2002/CE (DO L 295 de 21.11.2018, p. 39).
(28) Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO L 119 de 4.5.2016, p. 1).
(29) Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO L 201 de 31.7.2002, p. 37).
(30) Reglamento (UE) n.o 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.o 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).
(31) Recomendación 2003/361/CE de la Comisión, de 6 de mayo de 2003, sobre la definición de microempresas, pequeñas y medianas empresas (DO L 124 de 20.5.2003, p. 36).
(32) Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).
(33) Reglamento (UE) 2017/1938 del Parlamento Europeo y del Consejo, de 25 de octubre de 2017, sobre medidas para garantizar la seguridad del suministro de gas y por el que se deroga el Reglamento (UE) n.o 994/2010 (DO L 280 de 28.10.2017, p. 1).
(34) Reglamento (UE) 2019/941 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre la preparación frente a los riesgos en el sector de la electricidad y por el que se deroga la Directiva 2005/89/CE (DO L 158 de 14.6.2019, p. 1).
(35) Directiva 2007/60/CE del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, relativa a la evaluación y gestión de los riesgos de inundación (DO L 288 de 6.11.2007, p. 27).
(36) Directiva 2012/18/UE del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativa al control de los riesgos inherentes a los accidentes graves en los que intervengan sustancias peligrosas y por la que se modifica y ulteriormente deroga la Directiva 96/82/CE (DO L 197 de 24.7.2012, p. 1).
(37) Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo (DO L 119 de 4.5.2016, p. 89).
Sectores |
Subsectores |
Categorías de entidades |
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|||||||
|
|
|||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
||||||||
|
||||||||
|
||||||||
|
|
|
||||||
|
|
|
||||||
|
|
|
(1) Directiva (UE) 2019/944 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, sobre normas comunes para el mercado interior de la electricidad y por la que se modifica la Directiva 2012/27/UE (DO L 158 de 14.6.2019, p. 125).
(2) Reglamento (UE) 2019/943 del Parlamento Europeo y del Consejo, de 5 de junio de 2019, relativo al mercado interior de la electricidad (DO L 158 de 14.6.2019, p. 54).
(3) Directiva (UE) 2018/2001 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, relativa al fomento del uso de energía procedente de fuentes renovables (DO L 328 de 21.12.2018, p. 82).
(4) Directiva 2009/119/CE del Consejo, de 14 de septiembre de 2009, por la que se obliga a los Estados miembros a mantener un nivel mínimo de reservas de petróleo crudo o productos petrolíferos (DO L 265 de 9.10.2009, p. 9).
(5) Directiva 2009/73/CE del Parlamento Europeo y del Consejo, de 13 de julio de 2009, sobre normas comunes para el mercado interior del gas natural y por la que se deroga la Directiva 2003/55/CE (DO L 211 de 14.8.2009, p. 94).
(6) Directiva 2009/12/CE del Parlamento Europeo y del Consejo, de 11 de marzo de 2009, relativa a las tasas aeroportuarias (DO L 70 de 14.3.2009, p. 11).
(7) Reglamento (UE) n.o 1315/2013 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2013, sobre las orientaciones de la Unión para el desarrollo de la Red Transeuropea de Transporte, y por el que se deroga la Decisión n.o 661/2010/UE (DO L 348 de 20.12.2013, p. 1).
(8) Reglamento (CE) n.o 549/2004 del Parlamento Europeo y del Consejo, de 10 de marzo de 2004, por el que se fija el marco para la creación del cielo único europeo (Reglamento marco) (DO L 96 de 31.3.2004, p. 1).
(9) Directiva 2012/34/UE del Parlamento Europeo y del Consejo, de 21 de noviembre de 2012, por la que se establece un espacio ferroviario europeo único (DO L 343 de 14.12.2012, p. 32).
(10) Directiva 2002/59/CE del Parlamento Europeo y del Consejo, de 27 de junio de 2002, relativa al establecimiento de un sistema comunitario de seguimiento y de información sobre el tráfico marítimo y por la que se deroga la Directiva 93/75/CEE del Consejo (DO L 208 de 5.8.2002, p. 10).
(11) Reglamento Delegado (UE) 2015/962 de la Comisión, de 18 de diciembre de 2014, por el que se complementa la Directiva 2010/40/UE del Parlamento Europeo y del Consejo en lo que se refiere al suministro de servicios de información de tráfico en tiempo real en toda la Unión Europea (DO L 157 de 23.6.2015, p. 21).
(12) Directiva 2010/40/UE del Parlamento Europeo y del Consejo, de 7 de julio de 2010, por la que se establece el marco para la implantación de los sistemas de transporte inteligentes en el sector del transporte por carretera y para las interfaces con otros modos de transporte (DO L 207 de 6.8.2010, p. 1).
(13) Reglamento (CE) n.o 1370/2007 del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, sobre los servicios públicos de transporte de viajeros por ferrocarril y carretera y por el que se derogan los Reglamentos (CEE) n.o 1191/69 y (CEE) n.o 1107/70 del Consejo (DO L 315 de 3.12.2007, p. 1).
(14) Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza (DO L 88 de 4.4.2011, p. 45).
(15) Reglamento (UE) 2022/2371 del Parlamento Europeo y del Consejo, de 23 de noviembre de 2022, sobre las amenazas transfronterizas graves para la salud y por el que se deroga la Decisión n.o 1082/2013/UE (DO L 314 de 6.12.2022, p. 26).
(16) Directiva 2001/83/CE del Parlamento Europeo y del Consejo, de 6 de noviembre de 2001, por la que se establece un código comunitario sobre medicamentos para uso humano (DO L 311 de 28.11.2001, p. 67).
(17) Reglamento (UE) 2022/123 del Parlamento Europeo y del Consejo, de 25 de enero de 2022, relativo al papel reforzado de la Agencia Europea de Medicamentos en la preparación y gestión de crisis con respecto a los medicamentos y los productos sanitarios (DO L 20 de 31.1.2022, p. 1).
(18) Directiva (UE) 2020/2184 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2020, relativa a la calidad de las aguas destinadas al consumo humano (DO L 435 de 23.12.2020, p. 1).
(19) Directiva 91/271/CEE del Consejo, de 21 de mayo de 1991, sobre el tratamiento de las aguas residuales urbanas (DO L 135 de 30.5.1991, p. 40).
(20) Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE (DO L 257 de 28.8.2014, p. 73).
(21) Directiva (UE) 2018/1972 del Parlamento Europeo y del Consejo, de 11 de diciembre de 2018, por la que se establece el Código Europeo de las Comunicaciones Electrónicas (DO L 321 de 17.12.2018, p. 36).
(22) Reglamento (CE) n.o 178/2002 del Parlamento Europeo y del Consejo, de 28 de enero de 2002, por el que se establecen los principios y los requisitos generales de la legislación alimentaria, se crea la Autoridad Europea de Seguridad Alimentaria y se fijan procedimientos relativos a la seguridad alimentaria (DO L 31 de 1.2.2002, p. 1).
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid