El DO L 333 de 27.12.2022 publica la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo de 14 de diciembre de 2022 relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo con el objetivo de reducir las vulnerabilidades y fortalecer la resiliencia física de las infraestructuras críticas ante desastres naturales, terrorismo o emergencias sanitarias.
Las entidades críticas son aquellas entidades públicas o privadas que prestan servicios esenciales de los que dependen los medios de vida de los ciudadanos de la UE y el buen funcionamiento del mercado interior europeo. Uno de los componentes clave de una entidad crítica es su infraestructura lo que puede incluir un activo, instalación o red necesaria para la prestación de un servicio esencial. Por su condición de proveedoras de servicios esenciales, las entidades críticas son indispensables para mantener las funciones sociales o las actividades económicas vitales en el mercado interior, con una economía de la Unión cada vez más interdependiente. Por ello es esencial establecer un marco de la Unión con el fin de aumentar la resiliencia de las entidades críticas en el mercado interior fijando unas normas mínimas armonizadas, y de prestarles asistencia mediante un apoyo coherente y específico y medidas de supervisión.
Según la Unión Europea, en los últimos años han surgido diferentes desafíos entre los que se encuentran los ataques terroristas, desastres naturales o emergencias sanitarias que han demostrado la necesidad de aumentar la resiliencia de las entidades críticas europeas.
Marco general
Si bien determinados sectores de la economía, como los sectores de la energía y del transporte, ya están regulados mediante actos jurídicos sectoriales de la Unión, dichos actos jurídicos contienen disposiciones relativas únicamente a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son vitales para el correcto funcionamiento del mercado interior, la presente Directiva crea un marco general que aborda la resiliencia de las entidades críticas con respecto a todos los peligros, ya sean naturales, o provocados, accidental o intencionadamente, por el ser humano.
Es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior, aumentar la resiliencia de las entidades críticas y mejorar la cooperación transfronteriza entre las autoridades competentes. Es importante que la concepción y la aplicación de estas normas estén preparadas para el futuro, al mismo tiempo que se permite la flexibilidad necesaria. También es crucial mejorar la capacidad de las entidades críticas para prestar servicios esenciales frente a distintos riesgos.
Objeto y ámbito de aplicación
La presente Directiva:
a) obliga a los Estados miembros a adoptar medidas específicas destinadas a garantizar la prestación sin obstrucciones en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales dentro del ámbito de aplicación del art. 114 TFUE, en particular las obligaciones de identificar las entidades críticas y de apoyarlas en el cumplimiento de las obligaciones impuestas a estas últimas;
b) establece obligaciones a fin de que las entidades críticas aumenten su resiliencia y capacidad de prestar los servicios mencionados en la letra a) en el mercado interior;
c) establece normas:
- i) sobre la supervisión de las entidades críticas,
- ii) sobre la ejecución,
- iii) para la identificación de las entidades críticas de especial importancia europea y sobre misiones de asesoramiento para evaluar las medidas adoptadas por tales entidades con el fin de cumplir sus obligaciones con arreglo al capítulo III;
d) establece procedimientos comunes de cooperación e información sobre la aplicación de la presente Directiva;
e) establece medidas con vistas a lograr un alto nivel de resiliencia de las entidades críticas a fin de garantizar la prestación de servicios esenciales dentro de la Unión y mejorar el funcionamiento del mercado interior.
2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) 2022/2555, sin perjuicio de lo dispuesto en el artículo 8 de la presente Directiva. Habida cuenta de la relación entre la seguridad física y la ciberseguridad de las entidades críticas, los Estados miembros garantizarán que la presente Directiva y la Directiva (UE) 2022/2555 se apliquen de manera coordinada.
3. Las disposiciones pertinentes de la presente Directiva, incluidas las disposiciones sobre supervisión y ejecución establecidas en el capítulo VI, no serán de aplicación en caso de que las disposiciones de actos jurídicos sectoriales de la Unión obliguen a las entidades críticas a adoptar medidas para aumentar su resiliencia y cuando tales obligaciones sean reconocidas por los Estados miembros como al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva.
4. Sin perjuicio de lo dispuesto en el art. 346 TFUE, la información que se considere confidencial de acuerdo con las normas de la Unión o nacionales, como las normas sobre confidencialidad empresarial, se intercambiará con la Comisión y otras autoridades pertinentes de conformidad con la presente Directiva únicamente cuando tal intercambio sea necesario para la aplicación de la presente Directiva. La información que se intercambie se limitará a aquella que resulte pertinente y proporcionada para la finalidad del intercambio. El intercambio de información preservará la confidencialidad de esta y la seguridad y los intereses comerciales de las entidades críticas, respetando al mismo tiempo la seguridad de los Estados miembros.
5. La presente Directiva se entenderá sin perjuicio de la responsabilidad de los Estados miembros de salvaguardar la seguridad nacional y la defensa y de su competencia para salvaguardar otras funciones esenciales del Estado, como garantizar la integridad territorial del Estado y mantener el orden público.
6. La presente Directiva no se aplicará a entidades de la administración pública que realicen sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales.
7. Los Estados miembros podrán decidir que el art. 11 y los capítulos III, IV y VI, en parte o en su totalidad, no se apliquen a entidades críticas específicas que realizan actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales, o que presten servicios exclusivamente a las entidades de la administración pública a que hace referencia el apartado 6 del presente artículo.
8. Las obligaciones establecidas en la presente Directiva no implicarán el suministro de información cuya divulgación fuera contraria a los intereses esenciales de seguridad nacional, seguridad pública o defensa de los Estados miembros.
9. La presente Directiva se entiende sin perjuicio del Derecho de la Unión en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo y la Directiva 2002/58/CE del Parlamento Europeo y del Consejo.
