1 38 Table of Contents 40 124

Seguritecnia 499

A vista de motivó importantes diferencias entre los Estados. Quizá por ello, la Estrategia 20/25 de la Comisión Europea para una Unión de la Seguridad advierte de que “la mayor interconexión e interdepen- dencia entre las infraestructuras físicas y las digitales pone de manifiesto la ne- cesidad de un enfoque más coherente y uniforme entre las Directivas PIC y NIS”. Por si fuera poco, la transposición de la Directiva PIC se hizo al margen del bloque normativo de seguridad existente, dejan- do en “tierra de nadie” los dispositivos de seguridad exigidos, como es el caso del responsable de seguridad y enlace, establecido por la Ley 8/2011 al margen de la normativa de seguridad privada. La modificación de esta ley por la Ley Orgá- nica 9/2022, en otro ejercicio de funam- bulismo jurídico al que estamos tan acos- tumbrados, introduce la obligación para los operadores críticos de contar con un área de seguridad del operador, ente creado ex novo con olvido, una vez más, de las previsiones de la Ley de Seguridad Privada. Ante esta incapacidad del legis- lador español para proyectar una visión holística sobre la seguridad, no resulta extraño que la transposición de la Direc- tiva NIS haya incurrido flagrantemente en el mismo error. Así pues, la Directiva CER surge como consecuencia de la necesidad de modifi- car el enfoque para aumentar la resilien- cia de las entidades críticas. Con este fin, tiene en cuenta la existencia de un panorama dinámico de amenazas, entre las que figuran las híbridas y terroristas en evolución y las crecientes interdepen- dencias entre infraestructuras y secto- res. Tampoco podía faltar la referencia al cambio climático, que incrementa el riesgo físico derivado de las catástrofes naturales e intensifica la frecuencia y la magnitud de los fenómenos meteoroló- gicos extremos. Simultáneamente a la Directiva CER se promulga la Directiva 2022/2555 (NIS 2) y se hace necesario buscar la cohe- rencia entre ambas normas, según se había denunciado repetidamente. Res- pondiendo a esta necesidad, se excluye del ámbito de aplicación de la Directiva CER las materias reguladas en la NIS 2. Loable medida para salvaguardar la es- pecialidad de las normas, aunque serán los Estados Miembros los que, en fun- ción de la madurez de sus respectivos modelos de seguridad, deberán trans- poner ambas directivas en la forma que mejor contribuya a potenciar dichos mo- delos. Esa es la estrategia de la Directiva CER, que exige a los Estados un enfoque global de la resiliencia de las entidades críticas. Principales aportaciones Veamos ahora las principales aportacio- nes de esta nueva Directiva: Lo primero que llama la atención es el término de referencia, “entidades críticas” , que limita a una de las cate- gorías establecidas en propia Directiva. Habrá que entender que se trata de ir un paso más en la concepción de las infraestructuras críticas, a las que define como elemento, instalación, equipo, red o sistema, o parte de ellos, que es ne- cesario para la prestación de un servicio esencial. Parece evidente que se trata de crear un concepto más amplio que el de operador crítico que conocíamos. Como decíamos antes, las entida- des críticas del sector bancario, de las / Enero-Febrero 2023 39

RkJQdWJsaXNoZXIy MTI4MzQz