El pasado 27 de mayo, el Consejo de Ministros aprobó el anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas, que transpone al ordenamiento español la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas (CER), que a su vez deroga la Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre protección de infraestructuras críticas (PIC).
Aquella Directiva PIC supuso un cambio de paradigma en la protección de objetivos estratégicos, hasta entonces en el limbo jurídico o regulada por alguna norma sectorial o por normas genéricas y tangenciales, como la Ley de Seguridad Privada o la Ley de Seguridad Ciudadana. A partir de la publicación de la Ley 8/2011 se adoptó una visión holística sobre estos objetivos y se optó por un modelo de protección integral, basado en la corresponsabilidad y la planificación.
Hay que recordar que la Directiva PIC hacía referencia solo a los sectores estratégicos de energía y transporte, pero el acierto del legislador español de 2011 amplió el campo a los 12 sectores actualmente vigentes y creó un sistema de protección integral e integrado que ha sido referencia en Europa y en el mundo. Esta directiva, que solo era el primer intento de reforzar la protección de los servicios esenciales tras los atentados de Madrid y Londres, preveía su propia revisión a partir del año 2012 para seguir avanzando en ese objetivo.
Pero a lo largo de sus primeros años de vigencia asistimos al incremento de las ciberamenazas en cantidad e intensidad, mientras la amenaza del terrorismo cedía terreno. Así pues, lejos de unificar los esfuerzos de los Estados miembros en torno a una Directiva PIC reforzada, Europa, preocupada por la buena salud de su mercado interior, optó por promulgar la Directiva 2016/1148, que contiene las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión (NIS).
Las alegaciones elaboradas por nuestros socios protectores y entorno colaborativo representan el punto de vista de organizaciones del sector con la máxima cualificación
Para España, que ya disponía de un modelo muy avanzado de seguridad para sus servicios esenciales, eso vino a suponer, sin necesidad, una ruptura de facto del modelo integral consagrado en el Sistema PIC. En cualquier caso, ante la desigual implantación entre los Estados de la Unión de la Directiva NIS1, que dio lugar a profundas diferencias en su aplicación y a cierta descoordinación en los ámbitos de la seguridad, la Unión Europea promulga en 2022, al mismo tiempo que la CER, la Directiva 2022/2555 (NIS2) que viene a confirmar el abandono del modelo integral de seguridad que surgió de la Directiva PIC.
La transposición de estas dos directivas ofrecía al legislador español la posibilidad de proyectar de nuevo una visión holística sobre la protección de los servicios esenciales, refundiendo ambas en un solo texto legal, sin dejar de respetar las previsiones de la Unión Europea, pero diseñando un sistema integrado que respondiera a las necesidades de seguridad y resiliencia de todas las entidades de interés. Como quiera que no se está haciendo así, la Fundación Borredá planteó esta cuestión como primera observación en su escrito de alegaciones al anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas. Por decirlo, una vez más, que no quede.
Alegaciones al anteproyecto de la Ley CER
Alegaciones al anteproyecto de la Ley CEREn este escrito de alegaciones, la Fundación Borredá recogió las elaboradas por nuestros socios protectores y entorno colaborativo, que representan el punto de vista de organizaciones del sector con la máxima cualificación. Dada la trascendencia del tema para los profesionales de la seguridad, independientemente de que se compartan o no nuestras observaciones, las difundimos al sector para su conocimiento. Al margen del contenido de nuestro escrito, la reciente crisis del apagón, nos brinda una magnífica oportunidad para hacer alguna reflexión que incluimos al final de este artículo.
Las observaciones formuladas se centran en los siguientes aspectos materiales del anteproyecto:
-Ámbito de aplicación. Según el texto, quedan fuera de su ámbito de aplicación las materias reguladas en la ley por la que se transpone la Directiva (UE) 2022/2555 (NIS2), es decir, la ciberseguridad. A este respecto, entendemos que regular la resiliencia de las entidades críticas sin tener en cuenta su ciberseguridad, configura un marco normativo que puede calificarse, como mínimo, de poco operativo.
Cierto que la disposición adicional 4ª, que excluye expresamente a las entidades críticas del sector bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales, matiza la exclusión al prever la aplicación de esta ley con carácter supletorio en todo aquello que no esté regulado de forma específica y equivalente por el Reglamento DORA. Y más aún, la disposición indica que, pese a la exclusión, podrán adoptarse disposiciones destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades, siempre que resulten coherentes con el derecho comunitario que les sea aplicable. Creemos que este loable intento de flexibilización, aparte de generar alguna inseguridad, viene a confirmar nuestra posición.
-Delegado de seguridad. El artículo 7, que regula el sistema de planificación para la protección y resiliencia de las entidades críticas, establece en su apartado 4 que los Planes de Apoyo Operativo serán elaborados por las Fuerzas y Cuerpos de Seguridad (FCS) en relación con cada una de las infraestructuras críticas existentes en su demarcación territorial de competencia, operadas por las distintas entidades críticas.
El texto parece no tener en cuenta que los diferentes cuerpos policiales tienen atribuidas competencias funcionales que exceden el ámbito territorial ordinario, no solo entre FCS, sino incluso con policías autonómicas, por lo que, para evitar conflictos de competencias, bastaría hablar de «ámbito de competencias».
En todo caso, la experiencia de la aplicación de la Ley 8/2011, PIC, indica que cada infraestructura crítica debería mantener la figura del delegado de seguridad en la instalación, con el que interactuarían las FCS en los planes de apoyo operativo.
¡Sigue leyendo!
Aquí te hemos mostrado tan solo una parte de este contenido.
¿Quieres ver el contenido completo?
