Seguritecnia 499

A vista de / Enero-Febrero 2023 38 E l Diario Oficial de la Unión Europea publicó, el pasado 27 de diciembre, la Directi- va (UE) 2022/2557 del Par- lamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la res- iliencia de las entidades críticas (CER, por sus siglas en inglés). Esta Directiva viene también a derogar la 2008/114/ CE del Consejo, sobre la identificación y designación de infraestructuras crí- ticas europeas y la evaluación de la necesidad de mejorar su protección, conocida como Directiva PIC. Esta última, elaborada a raíz de los nu- merosos ataques terroristas que ponían en jaque la seguridad en Europa, consti- tuyó un primer intento de sistematizar la protección integral, física y cíber de las infraestructuras críticas, por su condi- ción de soporte para la provisión de los servicios esenciales, necesarios para el mantenimiento de las funciones sociales básicas. Si bien es cierto que solo se refería expresamente a los sectores de la Ener- gía y del Transporte, su transposición al ordenamiento jurídico español fue mucho más allá y amplió su aplicación a los 12 sectores estratégicos conoci- dos, creando el Sistema PIC como ins- trumento para la perfecta coordinación de los actores implicados, siempre bajo la dirección del Ministerio del Interior, a través del Centro Nacional de Protección de Infraestructuras Críticas (CNPIC). La propia norma europea preveía su revisión a partir de enero de 2012, lo que se llevó a cabo en 2019 poniendo de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraes- tructuras críticas, las medidas de pro- tección relativas únicamente a activos individuales no bastan para evitar que se produzcan todas las perturbaciones. En conclusión, se plantea la necesidad de modificar el enfoque para garantizar que se tengan mejor en cuenta los riesgos. Pero antes de esta revisión, ante el pa- pel crucial de las redes y sistemas de in- formación en el funcionamiento del mer- cado interior de la Unión, se promulgó la Directiva 2016/1148 (conocida como Directiva NIS), cuya transposición vino a romper la naciente integralidad de la se- guridad de las infraestructuras críticas. No pretendía tal cosa la nueva norma, que se limitaba a imponer medidas para garantizar un elevado nivel común de seguridad de las redes y sistemas de in- formación en la Unión, pero el legislador español prefirió abrir este melón promul- gando el Real Decreto-Ley 12/2018, que separó conceptualmente del Sistema PIC la protección de los servicios esen- ciales dependientes de aquellas. Ciertamente la Directiva PIC ofrecía notables lagunas, como corresponde a un primer intento de regular una mate- ria tan delicada, lo que provocó que su aplicación en los Estados Miembros de la Unión no resultara homogénea. La situación se vio agravada con la apa- rición de la Directiva NIS, que propició una excesiva discrecionalidad a la hora de identificar tanto a los servicios que se consideran esenciales como a los operadores que los gestionan, lo que Directiva CER. Nuevo enfoque en la protección de las infraestructuras críticas C ésar Á lvarez C oordinador de P royectos de la F undación B orredá La Directiva CER surge como consecuencia de la necesidad de modificar el enfoque para aumentar la resiliencia de las entidades críticas