Directiva sobre la resistencia de las entidades críticas (CER)
Directiva (UE) 2022/2557 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo (Directiva CER)
La Directiva CER está estructurada para proporcionar un marco global que mejore la resiliencia de las entidades críticas dentro de la UE. Está organizada en varias secciones clave que describen los objetivos de la Directiva, su ámbito de aplicación, las obligaciones específicas de los Estados miembros y las entidades críticas, y los mecanismos de cooperación y ejecución. La estructura incluye:
Estructura y secciones principales
- La Directiva CER está estructurada para proporcionar un marco global que mejore la resiliencia de las entidades críticas dentro de la UE. Está organizada en varias secciones clave que describen los objetivos de la Directiva, su ámbito de aplicación, las obligaciones específicas de los Estados miembros y las entidades críticas, y los mecanismos de cooperación y ejecución.
- Disposiciones generales y objetivos: Esta sección define los objetivos de la Directiva, que incluyen el refuerzo de la resiliencia de las entidades críticas frente a diversos riesgos, como las catástrofes naturales, el terrorismo y los ciberataques. También establece el ámbito de aplicación de la directiva, identificando los sectores y tipos de entidades cubiertos.
- Obligaciones de los Estados miembros: La Directiva establece que cada Estado miembro de la UE es responsable de identificar las entidades críticas dentro de su jurisdicción. Los Estados miembros deben garantizar que estas entidades apliquen medidas sólidas de resiliencia. Esta sección también detalla los marcos nacionales que los Estados miembros deben establecer, incluida la designación de autoridades competentes y la creación de estrategias nacionales para la protección de infraestructuras críticas.
- Obligaciones de las entidades críticas: Las entidades críticas identificadas por los Estados miembros deben cumplir requisitos específicos en virtud de la Directiva CER. Entre ellos figuran la realización de riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de seguridad y notificar los incidentes que puedan afectar a sus operaciones. La directiva también hace hincapié en la importancia de la planificación y preparación de la resiliencia, exigiendo a las entidades que desarrollen y mantengan planes de resiliencia.
- Cooperación e intercambio de información: La Directiva promueve la cooperación entre los Estados miembros y las entidades críticas. Esboza mecanismos para compartir información, tanto a nivel nacional como de la UE, con el fin de mejorar la resiliencia colectiva. Esta sección también introduce el papel de la Comisión Europea para facilitar la cooperación y garantizar la coherencia en la aplicación de la directiva en toda la UE.
- Supervisión y ejecución: La Directiva CER incluye disposiciones para la supervisión de las entidades críticas y la imposición de su cumplimiento. Los Estados miembros deben establecer mecanismos de supervisión y ejecución para garantizar que las entidades críticas cumplan los requisitos de la directiva. En esta sección también se describen las sanciones en caso de incumplimiento.
- Disposiciones finales: Esta sección incluye medidas transitorias, plazos de aplicación y disposiciones para la revisión y modificación de la directiva.
- Secciones clave de la Directiva RCE
Secciones clave de la Directiva RCE
- Ámbito de aplicación y definiciones: Define los sectores críticos cubiertos, como la energía, el transporte, la sanidad, las finanzas y las infraestructuras digitales.
- Gestión de riesgos y requisitos de resistencia: Especifica que las entidades críticas deben realizar evaluaciones periódicas de los riesgos y aplicar medidas para garantizar la resiliencia.
- IncidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) Informes y respuesta: Esboza los requisitos que deben cumplir las entidades críticas para notificar incidentes y mantener las operaciones durante las interrupciones.
- Estrategias nacionales y autoridades competentes: Encarga a los Estados miembros que elaboren estrategias nacionales y designen autoridades responsables de supervisar la aplicación de la directiva.
- Cooperación y coordinación: Fomenta la colaboración transfronteriza y el intercambio de información para mejorar la resistencia general de las infraestructuras críticas en toda la UE.
La Directiva CER representa un importante paso adelante en los esfuerzos de la UE por salvaguardar las infraestructuras críticas frente a una amplia gama de amenazas. Al establecer obligaciones claras tanto para los Estados miembros como para las entidades críticas, la Directiva pretende crear un entorno más resistente y seguro en toda la Unión.
Lista de control de riesgos de la cadena de suministro NIS 2
Descargue nuestra lista gratuita de comprobación de riesgos en la cadena de suministro NIS2 para asegurarse de que su organización cumple las últimas normativas. ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)
"ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; normas de cumplimiento sin esfuerzo.