Agencia Estatal Boletín Oficial del Estado
I. INTRODUCCIÓN
|
1. |
La Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo (1), relativa a la resiliencia de las entidades críticas, (en lo sucesivo, «la Directiva») tiene por objeto garantizar que los servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales se presten sin obstáculos en el mercado interior. La Directiva refuerza la resiliencia de las entidades críticas que prestan dichos servicios y crea un marco general de resiliencia de las entidades críticas con respecto a todos los peligros (naturales y provocados por el hombre, accidentales o intencionados). |
|
2. |
Con el fin de lograr un alto nivel de resiliencia, la Directiva impone ciertas obligaciones a los Estados miembros. La Comisión recibió el mandato de elaborar recomendaciones, directrices no vinculantes y un modelo común voluntario de presentación de informes para ayudarles a cumplir algunas de estas obligaciones. En concreto, la presente Comunicación da efecto al artículo 5, apartado 5, de la Directiva, relativo a la elaboración de un modelo para facilitar determinada información a la Comisión; al artículo 6, apartado 6, de la Directiva, relativo a la elaboración de recomendaciones y directrices con el fin de ayudar a los Estados miembros a identificar entidades críticas, y al artículo 7, apartado 3, de la Directiva, relativo a la adopción de directrices para facilitar la aplicación de los criterios para determinar el carácter significativo de un efecto perturbador, teniendo en cuenta la información que los Estados miembros deben presentar de conformidad con el artículo 7, apartado 2, de la Directiva. |
|
3. |
Antes de la adopción de la presente Comunicación, de conformidad con las disposiciones mencionadas, se consultó a los Estados miembros en un taller celebrado los días 3 y 4 de octubre de 2024, y al Grupo de Resiliencia de las Entidades Críticas (CERG) el 12 de febrero de 2025. En marzo de 2025 se celebraron por escrito nuevas consultas bilaterales con los delegados del CERG, y el 7 de abril de 2025 se compartió una versión actualizada con este Grupo. |
|
4. |
La presente Comunicación no es jurídicamente vinculante ni afecta a la interpretación del Derecho de la UE por parte del Tribunal de Justicia de la Unión Europea. |
II. MODELO COMÚN VOLUNTARIO DE PRESENTACIÓN DE INFORMES
|
5. |
El modelo común voluntario de presentación de informes para que los Estados miembros faciliten a la Comisión determinada información relacionada con la evaluación de riesgos, tal como se establece en el artículo 5, apartado 5, de la Directiva, figura en el anexo. |
|
6. |
Aunque este modelo de presentación de informes es de carácter voluntario, se anima a los Estados miembros a utilizarlo al facilitar información de conformidad con el artículo 5, apartado 4, de la Directiva. |
III. DIRECTRICES NO VINCULANTES PARA APOYAR LA IDENTIFICACIÓN DE LAS ENTIDADES CRÍTICAS
Figura 1
El proceso de identificación de las entidades críticas (2)
|
7. |
En relación con el apoyo a la identificación de entidades críticas, a la luz de los considerandos 3 (3) y 16 (4) de la Directiva, estas directrices no vinculantes tienen por objeto, en particular, apoyar la aplicación coherente, a escala de la UE, de los criterios para identificar las entidades críticas. |
|
8. |
De conformidad con el artículo 6, apartado 2, de la Directiva, «cuando un Estado miembro identifique entidades críticas con arreglo al apartado 1, tendrá en cuenta los resultados de su evaluación de riesgos del Estado miembro y su estrategia y aplicará todos los criterios siguientes:
a) la entidad presta uno o más servicios esenciales; b) la entidad opera en el territorio de dicho Estado miembro y su infraestructura crítica está situada en él, y c) un incidente tendría efectos perturbadores significativos, determinados de conformidad con el artículo 7, apartado 1, en la prestación por la entidad de uno o más servicios esenciales, o en la prestación de otros servicios esenciales en los sectores indicados en el anexo que dependen de dicho o dichos servicios esenciales». |
|
9. |
De lo anterior se desprende que los Estados miembros deben tener en cuenta tres elementos principales en el proceso de identificación de las entidades críticas: los resultados de la evaluación de riesgos, los resultados de la estrategia nacional y la aplicación acumulativa de los criterios mencionados en el punto 8. |
III.1. El resultado de la evaluación de riesgos
|
10. |
El considerando 15 de la Directiva precisa que «las acciones de los Estados miembros para identificar las entidades críticas y ayudarlas a asegurar su resiliencia deben seguir un enfoque basado en el riesgo que se centre en las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales». |
|
11. |
Se anima a los Estados miembros a que pongan en práctica el resultado de la evaluación de riesgos realizada de conformidad con el artículo 5 de la Directiva para identificar las entidades críticas en términos de:
a) la magnitud de la pérdida o perturbación (repercusiones altas frente a bajas) de la prestación de un servicio esencial por parte de una entidad determinada; y b) la probabilidad de la pérdida o perturbación (probabilidad alta frente a baja) de la prestación de un servicio esencial por parte de una entidad determinada. |
|
12. |
Los riesgos de naturaleza intersectorial o transfronteriza deben tener especial importancia en el proceso de identificación de las entidades críticas, dado su potencial de producir efectos en cascada más amplios en la prestación de servicios esenciales por parte de otras entidades en los sectores establecidos en el anexo de la Directiva. |
III.2. La estrategia para aumentar la resiliencia de las entidades críticas
|
13. |
En el considerando 13 de la Directiva se explica que «con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro debe contar con una estrategia que mejore la resiliencia de las entidades críticas». El mismo considerando aclara lo que debe abarcar la estrategia, es decir, «los objetivos estratégicos y las medidas de actuación que hayan de aplicarse. En aras de la coherencia y la eficiencia, la estrategia debe estar diseñada para integrarse adecuadamente en las políticas vigentes, a partir, siempre que sea posible, de estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia». La estrategia debe adoptarse de conformidad con el artículo 4 de la Directiva. |
|
14. |
A fin de alcanzar un enfoque global en lo que respecta a la identificación de las entidades críticas, los Estados miembros deben garantizar que sus estrategias establezcan un marco de actuación para mejorar la coordinación entre las autoridades competentes con arreglo a la presente Directiva y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (5), en el contexto del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y en el contexto del ejercicio de las tareas de supervisión (6). Dado que esto puede afectar a la identificación de las entidades críticas en sectores especialmente expuestos a amenazas híbridas, los Estados miembros deben tener debidamente en cuenta el carácter híbrido de las amenazas para las entidades críticas a la hora de poner en marcha sus estrategias y de basarse en ellas a efectos de esta identificación. Se anima a los Estados miembros a que tengan en cuenta las normas europeas e internacionales pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas que puedan servir de base para las estrategias de los Estados miembros y, posteriormente, sus procesos y decisiones de designación. |
|
15. |
De conformidad con el artículo 4, apartado 2, de la Directiva, la estrategia debe contener determinados elementos, como los objetivos estratégicos y las prioridades con el fin de aumentar la resiliencia global de las entidades críticas y una descripción del proceso por el que estas se identifican. Los objetivos estratégicos y las prioridades podrían servir de base para el proceso de identificación de las entidades críticas. Por ejemplo, como parte del establecimiento de prioridades en la estrategia, podrían fijarse umbrales para los riesgos aceptables, tolerables e inaceptables. Esto podría apoyar el proceso de identificación de las entidades críticas por parte de las autoridades competentes e informar la determinación del carácter significativo de los efectos perturbadores. |
III.3. Los criterios de identificación de las entidades críticas
|
16. |
Del artículo 6, apartado 2, de la Directiva se desprende que los tres criterios establecidos en dicha disposición deben aplicarse de forma acumulativa, es decir, solo una entidad que cumpla los tres criterios puede ser identificada como entidad crítica con arreglo a la Directiva. |
|
17. |
Por lo tanto, y teniendo también en cuenta las excepciones a la aplicación de la Directiva previstas en el artículo 1, apartado 6, el artículo 5, apartado 1, y el artículo 7, apartado 1, de dicha Directiva, deben considerarse las cinco etapas siguientes a la hora de identificar las entidades críticas (véase la ilustración 1):
(a) ¿Pertenece la entidad a uno de los sectores o subsectores y categorías de entidades enumerados en el anexo de la Directiva? (b) ¿Presta la entidad uno o más servicios esenciales? (c) ¿Opera la entidad en el territorio de dicho Estado miembro y está su infraestructura crítica situada en él? (d) ¿Tendría un incidente efectos perturbadores significativos (7) en la prestación por la entidad de uno o más servicios esenciales, o en la prestación de otros servicios esenciales en los sectores indicados en el anexo que dependen de dicho o dichos servicios esenciales? (e) ¿Queda la entidad excluida del ámbito de aplicación de la Directiva (8)? |
|
18. |
Los Estados miembros pueden elegir el orden en el que abordan estas etapas. La Directiva no exige que se siga un orden determinado. |
|
19. |
Cuando, tras seguir estas etapas, resulte que una entidad cumple los tres criterios de forma acumulativa, de conformidad con el artículo 6, apartado 1, de la Directiva, el Estado miembro debe identificarla como entidad crítica. El considerando 16 de la Directiva precisa que «cuando en algún Estado miembro no exista ninguna entidad que cumpla dichos criterios, dicho Estado miembro no debe estar obligado a identificar una entidad crítica en el sector o subsector correspondiente». |
(a) ¿Pertenece la entidad a uno de los sectores o subsectores y categorías de entidades enumerados en el anexo de la Directiva?
|
20. |
El anexo de la Directiva enumera en su tercera columna las categorías de entidades que corresponden a la lista de sectores y subsectores cubiertos por esta. Casi todas las categorías remiten a la legislación sectorial pertinente de la Unión que define dicha categoría de entidad. Dicha legislación debe considerarse cuidadosamente en el proceso de identificación, a fin de comprender la categoría de entidad cubierta en ese sector o subsector concreto. |
|
21. |
En el proceso de identificación deben tenerse en cuenta las particularidades de determinados sectores. Por lo que respecta al sector energético, el considerando 5 de la Directiva aclara que por lo que se refiere «en particular, a los métodos de generación y transporte de electricidad (en relación con el suministro de electricidad), se sobreentiende que, toda vez que se estime oportuno, pueden incluirse en la generación de energía eléctrica los elementos de transmisión eléctrica de las centrales nucleares, pero se excluyen los elementos específicamente nucleares regulados por tratados y por el Derecho de la Unión, incluidos los actos jurídicos pertinentes de la Unión relativos a la energía nuclear». |
|
22. |
En lo que respecta al sector alimentario, el mismo considerando precisa que, «a fin de garantizar una estrategia proporcionada y de reflejar adecuadamente el papel y la importancia de dichas entidades a escala nacional, las entidades críticas únicamente deben incluir las empresas alimentarias, ya sean públicas o privadas, con o sin ánimo de lucro, que se dediquen exclusivamente a la logística y distribución al por mayor y la producción y transformación industrial a gran escala que registren una cuota de mercado importante a escala nacional». |
|
23. |
A la hora de identificar las entidades críticas, los Estados miembros deben tener en cuenta la especial importancia de determinados sectores, como el transporte, en lo que respecta al papel clave de los puertos marítimos o fluviales, las carreteras, los aeropuertos y las vías férreas, en particular cuando sirven un doble uso para la movilidad militar y con fines civiles; el agua, la energía y las infraestructuras digitales para la prestación de servicios esenciales en otros sectores, por su papel estratégico a la hora de garantizar la resiliencia de la cadena de suministro y para la lucha contra el tráfico ilícito y la delincuencia organizada. |
|
24. |
Por lo que se refiere a las entidades de los sectores bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales, de conformidad con el artículo 8 de la Directiva y con las explicaciones de sus considerandos 20 y 21, los Estados miembros deben identificar, sobre la base de los mismos criterios y utilizando el mismo procedimiento previsto en la Directiva, las entidades críticas pertenecientes a estos sectores. Las autoridades competentes pertinentes deben informarse y consultarse mutuamente, según proceda, para la identificación de las entidades de estos tres sectores, en consonancia con su obligación general de cooperar eficazmente para desempeñar sus funciones con arreglo a la Directiva, a que se refiere su artículo 9, apartado 1. |
|
25. |
Al identificar las entidades críticas de conformidad con el artículo 6 de la Directiva, los Estados miembros deben tener debidamente en cuenta a las entidades que prestan servicios esenciales para las comunicaciones electrónicas submarinas y la transmisión de electricidad (9). |
(b) ¿Presta la entidad uno o más servicios esenciales?
|
26. |
Si bien el objetivo principal del Reglamento Delegado (UE) 2023/2450 de la Comisión (10) (en lo sucesivo, «Reglamento Delegado de la Comisión») es establecer una lista de servicios esenciales en los sectores y subsectores que figuran en el anexo de la Directiva, que deben utilizar las autoridades competentes para llevar a cabo evaluaciones de riesgos, la misma lista también debe utilizarse posteriormente en el proceso de identificación para decidir si la entidad cumple el primer criterio, es decir, si la entidad presta uno o varios servicios esenciales. |
|
27. |
El considerando 4 del Reglamento Delegado de la Comisión indica que «la lista de servicios esenciales debe utilizarse a la luz de todas las disposiciones pertinentes de la Directiva». Esto incluye la definición de servicios esenciales como servicios que son cruciales para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud pública y la seguridad, o el medio ambiente, así como la definición de entidad de la administración pública (11) y las disposiciones sobre el ámbito de aplicación de dicha Directiva (12), que son pertinentes, entre otras cosas, a la hora de aplicar el primer criterio mencionado anteriormente. |
|
28. |
Sin embargo, el artículo 5, apartado 1, de la Directiva establece claramente que la lista que figura en el Reglamento Delegado de la Comisión no es exhaustiva. Por lo tanto, puede haber otros servicios esenciales que estén cubiertos por la Directiva pero que no figuren en ella. Por consiguiente, aunque la lista suponga un punto de referencia importante, los servicios esenciales enumerados no son necesariamente los únicos que deben tenerse en cuenta cuando los Estados miembros aplican el artículo 6, apartado 2, letra a), de la Directiva. Esta disposición se refiere a los «servicios esenciales», tal como se definen en el artículo 2, apartado 5, de la Directiva, en general, sin limitarse necesariamente a los servicios esenciales enumerados en el Reglamento Delegado de la Comisión. |
(c) ¿Opera la entidad en el territorio de dicho Estado miembro y está su infraestructura crítica situada en él?
|
29. |
En esta etapa, los Estados miembros deben comprobar que las entidades efectivamente operan, es decir, que llevan a cabo sus actividades en su territorio y que tienen infraestructuras críticas situadas allí, esto es, que están físicamente situadas en él. Estos dos elementos (explotación por la entidad crítica y ubicación de la infraestructura crítica) se explican en el considerando 16 de la Directiva, que indica que debe considerarse que una entidad opera en el territorio de un Estado miembro si dicha entidad realiza sus actividades necesarias para el servicio o servicios esenciales en cuestión en dicho Estado miembro y si la infraestructura crítica de dicha entidad, que se utiliza para prestar dicho servicio o servicios, está físicamente situada en dicho Estado miembro. |
|
30. |
A efectos de la aplicación del artículo 6, apartado 2, letra b), de la Directiva, debe considerarse que el territorio de un Estado miembro abarca, dentro de los límites establecidos en el artículo 355 del TFUE, el territorio terrestre y las vías navegables interiores de ese Estado miembro, así como el mar territorial (y su lecho y subsuelo) establecidos por dicho Estado miembro de conformidad con la Convención de las Naciones Unidas sobre el Derecho del Mar (CNUDM). Además, abarca la zona económica exclusiva (ZEE) establecida por dicho Estado miembro y la plataforma continental, pero solo en la medida en que exista una conexión entre las infraestructuras críticas situadas en su ZEE o en la plataforma continental y los derechos soberanos o la jurisdicción que un Estado ribereño ejerce de conformidad con la CNUDM en esas partes del mar, sin interferir en los derechos y libertades de otros Estados garantizados por la CNUDM. Por lo tanto, al aplicar el artículo 6, apartado 2, letra b), de la Directiva, los Estados miembros deben realizar, cuando proceda, una evaluación caso por caso para determinar en qué medida están cubiertas las infraestructuras críticas situadas en su ZEE y en la plataforma continental. |
|
31. |
Por ejemplo, en el caso de los cables o tuberías submarinos tendidos por otros Estados, en el ejercicio de sus derechos en virtud del artículo 58, apartado 1, y el artículo 79, apartado 1, de la CNUDM, y que atraviesen la ZEE o la plataforma continental de un Estado miembro ribereño, dicho Estado miembro no estará obligado a cumplir las obligaciones que le incumben en virtud de la Directiva con respecto a dicha infraestructura crítica, en la medida en que no esté comprendida en su soberanía funcional y jurisdicción en la ZEE y en la plataforma continental en virtud de la CNUDM. En cambio, los cables o tuberías submarinos situados en la ZEE o en la plataforma continental de un Estado miembro ribereño deben estar sujetos, en dicho Estado, a las obligaciones establecidas en la Directiva cuando esta infraestructura crítica esté vinculada a las actividades por las que dicho Estado haya ejercido su soberanía o jurisdicción en la ZEE o en la plataforma continental con arreglo a los artículos 56 y 77 de la CNUDM. |
|
32. |
Dado que esto no se menciona en el artículo 6, apartado 2, letra b), de la Directiva, el lugar de establecimiento de la entidad no debe tenerse en cuenta para este criterio. Por lo tanto, este elemento debe considerarse irrelevante para el proceso de identificación de las entidades críticas con arreglo a la Directiva. |
(d) ¿Tendría un incidente efectos perturbadores significativos en la prestación por la entidad de uno o más servicios esenciales, o en la prestación de otros servicios esenciales en los sectores indicados en el anexo que dependen de dicho o dichos servicios esenciales?
|
33. |
La cuestión de la determinación del carácter significativo de un efecto perturbador se desarrolla con más detalle en el artículo 7, apartado 1, de la Directiva, que enumera los criterios que deben tenerse en cuenta a tal efecto. Estos criterios se explican con más detalle en la sección IV de las presentes directrices. |
(e) ¿Queda la entidad excluida del ámbito de aplicación de la Directiva?
|
34. |
Si una entidad pertenece a una de las categorías de entidades a las que no se aplica la Directiva, tal como se establece en el artículo 1, apartado 6, de la Directiva, no existe obligación de identificarla como entidad crítica con arreglo a la Directiva. |
|
35. |
No obstante el requisito legal de que los Estados miembros apliquen los criterios establecidos en la Directiva, tal como se explica en la sección III.3 (A-D) de las presentes directrices, estos también podrán imponer, con arreglo al Derecho nacional y actuando de conformidad con el Derecho de la Unión, obligaciones relacionadas con las entidades críticas a entidades que operen en otros sectores considerados críticos con arreglo al Derecho nacional, que no se mencionan en el anexo de la Directiva. |
|
36. |
Como se ha explicado en el punto 28, si bien el Reglamento Delegado de la Comisión es un punto de referencia importante, los Estados miembros pueden tener que tomar en consideración otros servicios esenciales distintos de los enumerados en este Reglamento Delegado. Además, los Estados miembros podrán decidir, con arreglo al Derecho nacional y actuando de conformidad con el Derecho de la Unión, imponer obligaciones de mejora de la resiliencia a las entidades que presten servicios distintos de los servicios esenciales cubiertos por la Directiva. |
|
37. |
Así pues, los Estados miembros pueden identificar, con arreglo al Derecho nacional y actuando de conformidad con el Derecho de la Unión, otras entidades críticas distintas de las identificadas en virtud de la Directiva (13). Por consiguiente, dado que dichas entidades se identificarían sobre la base del Derecho nacional, no necesitan cumplir los criterios acumulativos mencionados en el artículo 6, apartado 2, de la Directiva y explicados anteriormente. |
IV. DIRECTRICES NO VINCULANTES PARA FACILITAR LA APLICACIÓN DE LOS CRITERIOS QUE DETERMINAN EL CARÁCTER SIGNIFICATIVO DE UN EFECTO PERTURBADOR
|
38. |
Si bien del artículo 7, apartado 1, de la Directiva se desprende que todos los criterios deben tenerse en cuenta a la hora de determinar el carácter significativo de un efecto perturbador, los Estados miembros pueden seguir evaluando la pertinencia concreta de estos criterios a la luz de las circunstancias específicas del caso de que se trate. |
IV.1. El número de usuarios que dependen del servicio esencial
|
39. |
Se anima a los Estados miembros a que, al aplicar este criterio, tengan en cuenta lo siguiente:
a) a las personas físicas y a las jurídicas como usuarios; b) a otras entidades críticas como usuarios; c) el número total de usuarios que dependen directamente del servicio esencial o, en la medida de lo posible, el número estimado de usuarios indirectos del servicio esencial, es decir, personas que no dependen directamente del servicio pero que se verían afectadas por su perturbación. |
|
40. |
Al utilizar un umbral para evaluar el número de usuarios, el umbral elegido debe tener en cuenta los elementos siguientes:
a) si los usuarios se concentran en una zona determinada o se dispersan en una región; b) si los usuarios son grupos vulnerables, por ejemplo, ancianos, personas con discapacidad o niños; c) si existe una dependencia crítica del tiempo del servicio esencial correspondiente, por ejemplo, por parte de los operadores de infraestructuras espaciales terrestres; d) si el número de usuarios del servicio esencial en cuestión no es elevado, pero estos usuarios dependen en gran medida del servicio esencial, por ejemplo, un prestador de asistencia sanitaria. |
IV.2. El grado en que otros sectores y subsectores indicados en el anexo dependen del servicio esencial en cuestión
|
41. |
Las entidades críticas a menudo están estrechamente conectadas y son mutuamente dependientes de manera compleja. Las dependencias y las interdependencias son un multiplicador de riesgo que puede aumentar el carácter significativo de un efecto perturbador. |
|
42. |
Se anima a los Estados miembros a que, al aplicar este criterio, tengan en cuenta lo siguiente:
a) si dos o más sectores dependen del servicio esencial de que se trate; b) si las entidades críticas que operan en otros sectores y subsectores distintos del que se trata disponen de alternativas a ese servicio esencial; c) si el efecto perturbador de un incidente relacionado con la prestación del servicio esencial podría propagarse rápidamente y dar lugar a efectos en cascada en los demás sectores y subsectores. |
|
43. |
Como explica el considerando 18 de la Directiva, «los Estados miembros también deben tener en cuenta, en la medida de lo posible, los efectos en la cadena de suministro al determinar hasta qué punto otros sectores y subsectores dependen del servicio esencial prestado por una entidad crítica». |
|
44. |
Para hacer frente a estos efectos en la cadena de suministro, se anima a los Estados miembros a que utilicen la cartografía existente o lleven a cabo una cartografía de las cadenas de suministro para los servicios esenciales prestados por entidades en los sectores incluidos en el ámbito de aplicación de la Directiva, como los proveedores y clientes directos, los proveedores y clientes indirectos y las dependencias intersectoriales y transfronterizas, incluidos los situados fuera de la UE. |
IV.3. Las repercusiones que los incidentes podrían tener, en términos de grado y duración, en las actividades económicas y sociales, el medio ambiente, la seguridad y la protección públicas o la salud de la población
|
45. |
Para evaluar el grado y la duración de un incidente, cada uno de los elementos mencionados en el artículo 7, apartado 1, letra c), de la Directiva debe tomarse en consideración por separado. Cuanto mayor sea la duración e intensidad de un incidente, más significativo debería considerarse su impacto en las actividades económicas y sociales, el medio ambiente, la seguridad pública o la salud de la población. |
|
46. |
Se anima a los Estados miembros a que, al aplicar este criterio, tengan en cuenta los siguientes elementos: |
|
47. |
Por lo que se refiere a las repercusiones que los incidentes podrían tener en las actividades económicas, se anima a los Estados miembros a que tengan en cuenta:
a) los costes directos estimados derivados de los daños físicos causados por las perturbaciones, la amplitud y la duración de la interrupción de las actividades tras el cese de las operaciones, la pérdida de ingresos, los posibles costes derivados del cierre y de los seguros, cuando sus efectos sean lo suficientemente sustanciales como para poder afectar a la macroeconomía; b) los costes estimados causados por las perturbaciones de la cadena de suministro que provocan retrasos y escasez en la prestación de servicios esenciales, la reducción del gasto de los consumidores y la pérdida de confianza del público; c) los costes estimados causados por las repercusiones en la inversión, el comercio y el crecimiento económico a largo plazo. |
|
48. |
Por lo que se refiere a las repercusiones que los incidentes podrían tener en las actividades sociales, se anima a los Estados miembros a evaluar el carácter significativo de las perturbaciones de las actividades gubernamentales a nivel central, regional o local y de las actividades del sector privado que dificultan la capacidad general de prestar servicios esenciales, incluida la interrupción de la vida cotidiana. |
|
49. |
En cuanto a las repercusiones que los incidentes podrían tener en el medio ambiente, se anima a los Estados miembros a que tengan en cuenta:
a) los daños estimados a los ecosistemas y la disponibilidad de servicios ecosistémicos, tal como se definen en el artículo 2, apartado 14, del Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo (14), relativo al establecimiento de un marco para facilitar las inversiones sostenibles; b) las repercusiones en la calidad del aire (concentraciones de contaminantes atmosféricos, índices de calidad del aire, cambios en el ecosistema acuático), calidad del agua (cambios en las concentraciones de contaminantes hídricos y marinos, calidad del agua, impacto en la salud humana, daños a la biodiversidad), tierra (suelo, deforestación, urbanización, agricultura, cambios en la biodiversidad); c) las repercusiones en el cambio climático, incluidos los cambios en las emisiones de gases de efecto invernadero; d) la materialización de riesgos climáticos agudos o crónicos. |
|
50. |
La evaluación de las posibles repercusiones de los incidentes en el medio ambiente debe basarse en un enfoque global que tenga en cuenta tanto las directas como las indirectas, así como las consecuencias a corto y largo plazo. Se anima a los Estados miembros a basarse en las evaluaciones de impacto ambiental existentes o a llevar a cabo dichas evaluaciones o evaluaciones medioambientales estratégicas, o evaluaciones del ciclo de vida. |
|
51. |
Por lo que se refiere a las repercusiones que los incidentes podrían tener en la seguridad y la protección públicas, se anima a los Estados miembros a que tengan en cuenta:
a) los efectos de los diferentes tipos de incidentes y las consecuencias en la prestación de servicios esenciales, en términos de grado y duración, en la disponibilidad y eficacia de los servicios gubernamentales dedicados a la seguridad y la protección públicas, como los servicios policiales, los servicios de protección contra incendios, los tribunales y las prisiones; la tasa de delincuencia, el posible malestar social debido a la escasez de servicios o bienes esenciales o los cambios en la percepción comunitaria de la seguridad y la protección; b) el impacto en la disponibilidad y eficacia de las capacidades de respuesta de los servicios gubernamentales dedicados a la seguridad y la protección públicas. |
|
52. |
Con el fin de evaluar las posibles repercusiones de los incidentes en la seguridad y la protección públicas, se anima a los Estados miembros a utilizar los resultados de las evaluaciones de riesgos, amenazas y vulnerabilidades; el análisis y la cartografía de la delincuencia; la planificación y los ejercicios de gestión de emergencias y la participación de las partes interesadas. |
|
53. |
Por lo que se refiere a las posibles repercusiones de los incidentes en la salud de la población, se anima a los Estados miembros a que tengan en cuenta:
a) la pérdida de acceso a la asistencia sanitaria debido a retrasos en el tratamiento, imposibilidad de acceder a las instalaciones médicas, escasez de personal, incapacidad para hacer frente a emergencias de salud pública, presión o pérdida de fabricación de productos farmacéuticos básicos, preparados farmacéuticos básicos, contramedidas médicas y productos sanitarios que se consideren esenciales durante una emergencia de salud pública. Además de la escasez de medicamentos, las consecuencias para la salud mental, el aumento de la morbilidad y la mortalidad (mayor tasa de enfermedades crónicas, propagación de enfermedades infecciosas, lesiones, víctimas mortales); b) la interrupción de la cadena de suministro alimentario o la interrupción o contaminación del suministro de agua (potable); c) los efectos en la salud de los grupos vulnerables (personas mayores, niños, personas con bajos ingresos, pacientes con enfermedades previas). |
|
54. |
Con el fin de evaluar las posibles repercusiones de los incidentes en la salud de la población, se anima a los Estados miembros a utilizar la vigilancia tanto de la salud pública, para monitorear los brotes de enfermedades y los cambios en la mortalidad, como del medio ambiente; encuestas y entrevistas destinadas a recopilar datos sobre el acceso a la asistencia sanitaria y la experiencia adquirida antes y después de las perturbaciones; y análisis geoespaciales destinados a cartografiar los grupos vulnerables y las zonas con acceso limitado a la asistencia sanitaria. |
IV.4. La cuota de mercado de la entidad en el mercado del servicio o servicios esenciales de que se trate
|
55. |
La cuota de mercado refleja la posición relativa de los proveedores en el mercado y se basa generalmente en las ventas o compras de los productos de referencia en la zona geográfica de referencia. En general, tanto el valor de las ventas o compras como el volumen de ventas o compras proporcionan información útil (15). Se anima a los Estados miembros a que consulten también datos estadísticos sectoriales o realicen estudios de mercado para determinar la cuota de mercado de una entidad. |
|
56. |
El criterio de la cuota de mercado debe considerarse siempre junto con otros criterios, ya que un bajo grado de dependencia del servicio esencial o la disponibilidad de proveedores de servicios alternativos puede reducir considerablemente el carácter significativo de un efecto perturbador. La dependencia podría ser un factor clave para evaluar el impacto de la cuota de mercado, ya que puede explicar en qué medida la sociedad, los sectores específicos u otras entidades dependen de un servicio esencial concreto. Al evaluar la cuota de mercado, la dependencia proporciona información sobre la importancia sistémica relativa y el carácter esencial del papel de la entidad en el mercado del servicio o servicios esenciales en cuestión. |
|
57. |
Es probable que la perturbación de los servicios esenciales prestados por una entidad con una elevada cuota de mercado presente un mayor riesgo de efectos en cascada sobre la prestación de otros servicios esenciales, en particular si el servicio esencial en cuestión se presta en un sector que presenta muchas interdependencias con otros, como el energético o el del transporte. Los efectos perturbadores de un incidente que afecte a la prestación de un servicio esencial por parte de una entidad con baja cuota de mercado también podrían ser significativos si proporciona un servicio esencial único o insustituible del que depende un sector. |
|
58. |
En cuanto a modelos o metodologías para evaluar el mercado, se pueden utilizar varias técnicas de análisis empresarial, como los análisis de las cinco fuerzas de Porter (16), FODA (17), o PESTLE (18), la estrategia de segmentación de mercado (19), el mapeo del recorrido del cliente (20) y el lienzo de modelo de negocio (21). |
IV.5. La zona geográfica que podría verse afectada por un incidente, incluida cualquier repercusión transfronteriza
|
59. |
Se anima a los Estados miembros a tener en cuenta la vulnerabilidad asociada al grado de aislamiento de determinados tipos de zonas geográficas, como las regiones insulares o remotas o las zonas montañosas, de conformidad con el artículo 7, apartado 1, letra e), de la Directiva. Estos tipos de zonas geográficas tienden a tener necesidades específicas en términos de servicios esenciales y capacidades limitadas para hacer frente a las perturbaciones. |
|
60. |
Además, otros elementos pueden ser pertinentes para la aplicación de este criterio:
a) las repercusiones directas o indirectas del incidente en una zona geográfica expresada en términos de superficie; b) las repercusiones directas o indirectas del incidente en la zona afectada, es decir, que afecten al ámbito local, regional, nacional o transfronterizo; c) las características de la zona geográfica, como la tierra, el espacio aéreo, el agua, las zonas urbanas, las zonas rurales o los bosques. |
|
61. |
Para evaluar la zona geográfica que podría verse afectada por un incidente, se anima a los Estados miembros a realizar observaciones sobre el terreno, recopilar datos de imágenes satelitales y aéreas, utilizar datos del censo, mapas de infraestructuras de transmisión de energía, mapas de infraestructuras de transporte, redes de supervisión medioambiental y bases de datos SIG (22). |
IV.6. La importancia de la entidad para mantener un nivel suficiente de servicio esencial, teniendo en cuenta la disponibilidad de medios alternativos para la prestación de dicho servicio esencial
|
62. |
Este criterio es pertinente, entre otras cosas, en relación con la prestación de servicios de soporte vital, como el agua potable, las aguas residuales, la energía, la salud, la producción y distribución de alimentos, y el transporte, incluidos los servicios de gestión del tráfico, ya que, sin estos servicios, la economía y la sociedad se derrumbarían. Al evaluar la importancia de la entidad para mantener un nivel suficiente de servicio esencial, los Estados miembros deben tener en cuenta, con arreglo al artículo 7, apartado 1, letra f), de la Directiva, la disponibilidad de posibles medios alternativos para la prestación de dicho servicio esencial. En este contexto, se les anima a considerar tales alternativas en términos de accesibilidad, rapidez con la que puede utilizarse la alternativa, calidad del servicio alternativo y costes adicionales en que se incurra. Si los usuarios no tienen una alternativa viable para el servicio esencial, las repercusiones del efecto perturbador suelen ser más significativas, independientemente del número de usuarios afectados por la perturbación. Además, debe tenerse en cuenta la naturaleza del servicio esencial en cuanto a su carácter fundamental, sus características y su finalidad principal. |
(1) Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (DO L 333 de 27.12.2022, p. 164, ELI: http://data.europa.eu/eli/dir/2022/2557/oj).
(2) No existe un orden obligatorio de las etapas de identificación.
(3) «Además, el mercado interior se caracteriza por la fragmentación en lo que respecta a la identificación de las entidades críticas, pues los sectores y categorías de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. Por consiguiente, la presente Directiva debe lograr un nivel sustancial de armonización en lo que se refiere a los sectores y categorías de entidades que entran en su ámbito de aplicación.».
(4) «A fin de garantizar que todas las entidades pertinentes estén sujetas a los requisitos de resiliencia de la presente Directiva y reducir las divergencias a ese respecto, es importante establecer normas armonizadas que posibiliten una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen adecuadamente la función y la importancia de dichas entidades a escala nacional».
(5) Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.o 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva SRI 2) (DO L 333 de 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj).
(6) Las estrategias deben coordinarse y ser coherentes con las estrategias y los planes nacionales de adaptación al cambio climático en virtud del artículo 5, apartado 4, del Reglamento (UE) 2021/1119 del Parlamento Europeo y del Consejo, de 30 de junio de 2021, por el que se establece el marco para lograr la neutralidad climática y se modifican los Reglamentos (CE) n.o 401/2009 y (UE) 2018/1999 («Legislación europea sobre el clima») (DO L 243 de 9.7.2021, p. 1, ELI: http://data.europa.eu/eli/reg/2021/1119/oj).
(7) Tal como se determina conforme al artículo 7, apartado 1, de la presente Directiva.
(8) El artículo 1, apartado 6, de la presente Directiva establece que esta no se aplicará a entidades de la administración pública que realicen sus actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, con inclusión de la investigación, la detección y el enjuiciamiento de infracciones penales.
(9) Véase también la Comunicación conjunta al Parlamento Europeo y al Consejo titulada «Plan de acción de la UE sobre la seguridad de los cables» [JOIN (2025) 9 final].
(10) Reglamento Delegado (UE) 2023/2450 de la Comisión, de 25 de julio de 2023, por el que se completa la Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo estableciendo una lista de servicios esenciales (DO L, 2023/2450, 30.10.2023, ELI: http://data.europa.eu/eli/reg_del/2023/2450/oj). Este acto delegado se adoptó de conformidad con el artículo 5, apartado 1, de la Directiva.
(11) Artículo 2, apartado 10, de la Directiva.
(12) Artículo 1, apartados 6 y 7, de la Directiva.
(13) Véase el artículo 3 de la Directiva, que establece que «esta no será óbice para que los Estados miembros adopten o mantengan disposiciones de Derecho nacional con el objeto de alcanzar un mayor nivel de resiliencia de las entidades críticas, siempre y cuando tales disposiciones sean compatibles con las obligaciones que el Derecho de la Unión impone a los Estados miembros».
(14) Reglamento (UE) 2020/852 del Parlamento Europeo y del Consejo, de 18 de junio de 2020, relativo al establecimiento de un marco para facilitar las inversiones sostenibles y por el que se modifica el Reglamento (UE) 2019/2088 (DO L 198 de 22.6.2020, p. 13, ELI: http://data.europa.eu/eli/reg/2020/852/oj).
(15) Comunicación de la Comisión — Comunicación de la Comisión relativa a la definición de mercado de referencia a efectos de la normativa de la Unión en materia de competencia (DO C, C/2024/1645, 22.2.2024, ELI: http://data.europa.eu/eli/C/2024/1645/oj), p. 105-107.
(16) Un enfoque para analizar el panorama competitivo de una industria basado en cinco factores: rivalidad, nuevos competidores entrantes, proveedores, clientes y productos sustitutos.
(17) Un enfoque para caracterizar las fuerzas internas y externas que pueden crear oportunidades o riesgos para una organización. Considera los puntos fuertes y débiles de la organización, así como las oportunidades y amenazas externas.
(18) El análisis PESTLE tiene en cuenta los factores políticos, económicos, sociales, tecnológicos, jurídicos y medioambientales y evalúa el impacto de estos factores externos en la rentabilidad de una organización.
(19) Técnica para dividir el mercado en segmentos específicos en función de las características y preferencias de los clientes.
(20) Técnica para comprender y visualizar las características y preferencias de los clientes.
(21) Técnica para evaluar y visualizar diversos elementos esenciales de una empresa.
(22) Las capacidades del Sistema de Información Geográfica (SIG) pueden utilizarse para detectar peligros y visualizar las posibles repercusiones que se derivarían de la ocurrencia de un incidente. También son útiles para diseñar medidas de mitigación y capacidades de resiliencia para hacer frente a los posibles efectos.
I. CONSIDERACIONES GENERALES
El artículo 5 de la Directiva prevé que los Estados miembros lleven a cabo una evaluación de riesgos que utilizarán para identificar las entidades críticas con arreglo a esta Directiva.
De conformidad con el artículo 5, apartado 4, de la Directiva, los Estados miembros deben facilitar a la Comisión información pertinente sobre los tipos de riesgos determinados tras la evaluación de riesgos de dicho Estado miembro y los resultados de esta, por sectores y subsectores indicados en su anexo.
El artículo 5, apartado 5, de la Directiva prevé que la Comisión, en cooperación con los Estados miembros, elabore un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el artículo 5, apartado 4, de esta.
Aunque este modelo de presentación de informes es de carácter voluntario, se anima a los Estados miembros a utilizarlo al facilitar información de conformidad con el artículo 5, apartado 4, de la Directiva. El modelo de presentación de informes está destinado a ser utilizado sobre cada sector por separado y, en los sectores con subsectores, también sobre una base sectorial. Por ejemplo, en el sector energético con cinco subsectores, el modelo de presentación de informes se utilizaría cinco veces.
Este modelo está diseñado para recopilar, de manera armonizada, una visión general de la información que se considere pertinente facilitar a la Comisión, ya sea no clasificada o clasificada. No obstante, si los Estados miembros optan por utilizarlo como base para compartir información más detallada o clasificada, esto debe ocurrir siempre a través de los canales de comunicación adecuados.
El modelo no debe considerarse un documento de orientación ni un sustituto de las evaluaciones de riesgos que deben llevar a cabo los Estados miembros con arreglo al artículo 5 de la Directiva.
II. CONSIDERACIONES AL CUMPLIMENTAR EL MODELO
En la primera sección, los Estados miembros deben comprobar los tipos de riesgos detectados que podrían afectar a la prestación de servicios esenciales para el sector y subsector sobre el que se informa. Si se detectan, pueden comprobarse varios tipos de riesgos, y los Estados miembros deben considerar la posibilidad de profundizar en el tipo de riesgo pertinente.
En la segunda sección, los Estados miembros deben comprobar la lista de vulnerabilidades y posibles repercusiones consideradas pertinentes para calificar el resultado de la evaluación de riesgos. A continuación, al informar sobre los resultados, los Estados miembros también deben proporcionar una evaluación global de las repercusiones de la perturbación de la prestación de servicios esenciales para el sector y subsector sobre el que se informa. Por último, los Estados miembros deben considerar la posibilidad de detallar la respuesta relativa al resultado de la evaluación de riesgos agregando una observación por escrito.
En la tercera sección, es conveniente que los Estados miembros compartan información adicional sobre los tipos de riesgos detectados tras la evaluación de riesgos y sus resultados, mediante una contribución escrita sobre el enfoque metodológico, las mejores prácticas o las lecciones aprendidas del proceso de evaluación de riesgos. En este contexto, se entiende por evaluación de riesgos «el proceso general dirigido a determinar la naturaleza y el alcance de un riesgo mediante la identificación y el análisis de potenciales amenazas, vulnerabilidades y peligros pertinentes que puedan dar lugar a un incidente y mediante la evaluación de las posibles pérdidas o perturbaciones en la prestación de un servicio esencial causadas por dicho incidente», tal como se define en el artículo 2, apartado 7, de la Directiva.
En la cuarta y última sección, los Estados miembros deben considerar la necesidad de información complementaria relacionada con su obligación de facilitar información con arreglo al artículo 5, apartado 4, de la Directiva mediante una contribución escrita adicional.
|
PARÁMETROS DE IDENTIFICACIÓN |
|||||||||||||
|
Estado miembro: |
|
||||||||||||
|
Autoridad competente: |
|
||||||||||||
|
Periodo cubierto: |
|
||||||||||||
|
Sector: |
Subsector: |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
_______________________ |
______________________________________________ |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
1.1. |
Riesgos naturales
Riesgos provocados por el hombre
Riesgos técnicos/tecnológicos
Riesgos agravados
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Contribución escrita... |
|
|||||||||||||||||||||||||||
|
2.1. |
Vulnerabilidades
|
||||||||||||||||||||||||||
|
Contribución escrita... |
|||||||||||||||||||||||||||
|
2.2. |
Posibles repercusiones de un incidente perturbador significativo
|
||||||||||||||||||||||||||
|
Contribución escrita... |
|||||||||||||||||||||||||||
|
2.3. |
Gravedad de las repercusiones de un incidente perturbador
|
||||||||||||||||||||||||||
|
Contribución escrita... |
|
||
|
3.1. |
Enfoque metodológico |
|
|
Contribución escrita... |
||
|
3.2. |
Mejores prácticas |
|
|
Contribución escrita... |
||
|
3.3. |
Lecciones aprendidas |
|
|
Contribución escrita... |
|
||
|
4.1. |
Contribución escrita... |
(1) El término «amenazas híbridas» se refiere a los supuestos en que agentes de amenaza, estatales o no, intentan aprovechar las vulnerabilidades de la UE en su propio beneficio utilizando una combinación de medidas (es decir, diplomáticas, militares, económicas o tecnológicas) de manera coordinada, manteniéndose al mismo tiempo por debajo del umbral de la guerra formal. Esta categoría, por definición, suele referirse a más de un riesgo y, por tanto, debe seleccionarse junto con los demás riesgos, según proceda.
(2) Efectos tecnológicos de segundo orden causados por peligros naturales.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
