Seguritecnia 499

A vista de / Enero-Febrero 2023 40 particular, la llamada a facilitar el inter- cambio voluntario de información entre ellas. Medidas de resiliencia En el capítulo III, la Directiva entra de lleno en la resiliencia de las entidades críticas y establece las obligaciones correspondientes, la primera de las cua- les es llevar a cabo una evaluación de riesgos sobre la base de la evaluación del Estado y otras fuentes de informa- ción pertinentes. Evaluación que, como ya habíamos dicho, deberá tomar en consideración los riesgos naturales y de origen humano que procedan, así como el grado en que otros sectores depen- den del servicio esencial prestado por la entidad crítica y el grado en que ésta depende de otros servicios esenciales prestados por otras entidades. Fija a continuación las medidas de re- siliencia para las entidades críticas: Primero, adoptar medidas técnicas, organizativas y de seguridad adecua- das y proporcionadas para garantizar su resiliencia y evitar que se produzcan incidentes, garantizar una protección fí- sica adecuada de sus instalaciones, res- ponder y resistir a las consecuencias de los incidentes y mitigarlas, recuperarse de incidentes y garantizar una gestión adecuada de la protección de los em- pleados. Respecto a este último inciso, hay que destacar la especial atención que le dedica la Directiva, que recomienda considerar medidas como la determina- ción de las categorías del personal (in- cluido el de proveedores externos) que ejerce funciones esenciales, el estable- cimiento de derechos de acceso a las instalaciones, infraestructuras críticas e información delicada, el establecimien- to de procedimientos de comprobación de antecedentes personales y la desig- nación de las categorías de personas Para completar esta Directiva, la Co- misión Europea establecerá, antes del 17 de noviembre de 2023, una lista no exhaustiva de servicios esenciales en los sectores y subsectores que contem- pla, en base a la cual los Estados rea- lizarán una evaluación de riesgos que les permitirá identificar y apoyar a las entidades críticas. Esta evaluación ten- drá en cuenta los riesgos naturales y de origen humano pertinentes, incluidos los de naturaleza intersectorial o trans- fronteriza, los accidentes, las catástro- fes naturales, las emergencias de salud pública y las amenazas híbridas u otras amenazas antagónicas, incluidos los de- litos de terrorismo. Se viene a completar así el escudo protector frente a riesgos de cualquier naturaleza, que echábamos de menos en el Sistema PIC. Naturalmente, los Es- tados deberán poner los elementos per- tinentes de las evaluaciones de riesgos a disposición de las entidades críticas para que éstas lleven a cabo sus propias evaluaciones. Respecto a la identificación de las en- tidades críticas , cuya lista deberá estar concluida antes del 18 de julio de 2026, se tendrán en cuenta criterios perfecta- mente alineados con los actuales para las infraestructuras críticas, e igualmen- te se revisará cada cuatro años. Cabe destacar el requerimiento a los Estados Miembros para apoyar a las entidades críticas a aumentar su resiliencia; en infraestructuras de los mercados finan- cieros y de las infraestructuras digitales salen del ámbito de aplicación de esta Directiva en lo que se refiere a su ciber- seguridad, sin perjuicio de que el Estado pueda adoptar o mantener disposicio- nes de Derecho nacional para mejorar su nivel de resiliencia, a condición de que tales disposiciones sean coherentes con el Derecho de la Unión aplicable. No obstante, dado que la seguridad física y la ciberseguridad no son espacios in- dependientes, los Estados deben aplicar coordinadamente ambas normas (CER y NIS 2). Algo vamos avanzando. Un hecho destacable a señalar es que, lejos de aplicar normas de derecho positivo surgidas al impulso de las nece- sidades del momento, la Directiva exige a los Estados la adopción de una estra- tegia para aumentar la resiliencia de las entidades críticas , que se elaborará previa consulta abierta a las partes inte- resadas pertinentes y que habrá de in- cluir, entre otros aspectos, los objetivos estratégicos y las prioridades, un marco de gobernanza, una descripción de las medidas necesarias, una descripción del proceso por el que se identifican las entidades críticas y una descripción del proceso por el que el Estado les dará su apoyo. Solo cabe aplaudir esta medida, que debería obligar a elevar su visión al legislador nacional. Lástima que el plazo para su elaboración finalice tan tarde: el 17 de enero de 2026. La Directiva CER viene a completar el escudo protector frente a riesgos de cualquier naturaleza, que echábamos de menos en el Sistema PIC