Preámbulo

EL PARLAMENTO EUROPEO Y EL CONSEJO DE LA UNIÓN EUROPEA,

Visto el Tratado de Funcionamiento de la Unión Europea y, en particular, su artículo 114,
Vista la propuesta de la Comisión Europea,
Tras la transmisión del proyecto de acto legislativo a los parlamentos nacionales,
Visto el dictamen del Comité Económico y Social Europeo,
Visto el dictamen del Comité de las Regiones,
Actuar de acuerdo con el procedimiento legislativo ordinario,

Considerando que:

(1) Las entidades críticas, como proveedoras de servicios esenciales, desempeñan un papel indispensable en el mantenimiento de funciones sociales vitales o de actividades económicas en el mercado interior en una economía de la Unión cada vez más interdependiente. Por lo tanto, es esencial establecer un marco de la Unión con el objetivo tanto de aumentar la resistencia de las entidades críticas en el mercado interior mediante el establecimiento de normas mínimas armonizadas como de ayudarlas mediante medidas de apoyo y supervisión coherentes y específicas.

(2) La Directiva 2008/114/CE del Consejo (4) establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y el transporte cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 2019 puso de manifiesto que, debido a la naturaleza cada vez más interconectada y transfronteriza de las operaciones que utilizan infraestructuras críticas, las medidas de protección relativas a activos individuales por sí solas son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario cambiar el enfoque para garantizar que los riesgos se contabilicen mejor, que el papel y las obligaciones de las entidades críticas como proveedores de servicios esenciales para el funcionamiento del mercado interior estén mejor definidos y sean más coherentes, y que se adopten normas de la Unión para aumentar la resiliencia de las entidades críticas. Las entidades críticas deben estar en condiciones de reforzar su capacidad de prevenir, proteger, responder, resistir, mitigar, absorber, acomodar y recuperarse de incidentes que puedan interrumpir la prestación de servicios esenciales.

(3) Si bien una serie de medidas a escala de la Unión, como el Programa Europeo para la Protección de Infraestructuras Críticas, y a escala nacional tienen por objeto apoyar la protección de las infraestructuras críticas en la Unión, debe hacerse más para equipar mejor a las entidades que gestionan dichas infraestructuras para hacer frente a los riesgos para sus operaciones que podrían dar lugar a la interrupción de la prestación de servicios esenciales. También debe hacerse más para equipar mejor a dichas entidades porque existe un panorama dinámico de amenazas, que incluye amenazas híbridas y terroristas en evolución, y crecientes interdependencias entre infraestructuras y sectores. Además, hay un aumento de la riesgoRiesgo Se refiere al potencial de pérdida o perturbación causado por un incidente y debe expresarse como una combinación de la magnitud de dicha pérdida o perturbación y la probabilidad de que se produzca el incidente. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) debido a las catástrofes naturales y al cambio climático, que intensifica la frecuencia y la escala de los fenómenos meteorológicos extremos y provoca cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad, la eficiencia y la vida útil de determinados tipos de infraestructuras si no se aplican medidas de adaptación al clima. Además, el mercado interior se caracteriza por la fragmentación en lo que respecta a la identificación de las entidades críticas, ya que los sectores y las categorías de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. Por consiguiente, la presente Directiva debe alcanzar un sólido nivel de armonización en cuanto a los sectores y categorías de entidades que entran en su ámbito de aplicación.

(4) Si bien determinados sectores de la economía, como los de la energía y el transporte, ya están regulados por actos jurídicos sectoriales de la Unión, dichos actos jurídicos contienen disposiciones que solo se refieren a determinados aspectos de la resiliencia de las entidades que operan en esos sectores. A fin de abordar de manera global la resiliencia de las entidades críticas para el correcto funcionamiento del mercado interior, la presente Directiva crea un marco general que aborda la resiliencia de las entidades críticas con respecto a todos los peligros, ya sean naturales o de origen humano, accidentales o intencionados.

(5) Las crecientes interdependencias entre infraestructuras y sectores son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, el agua potable, las aguas residuales, la producción, transformación y distribución de alimentos, la sanidad, el espacio, las infraestructuras de los mercados financieros y las infraestructuras digitales, así como en determinados aspectos del sector de la administración pública. El sector espacial entra en el ámbito de aplicación de la presente Directiva en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras en tierra propiedad de los Estados miembros o de entidades privadas, o gestionadas y explotadas por ellos; por consiguiente, las infraestructuras propiedad de la Unión o gestionadas o explotadas por ella o en su nombre como parte de su programa espacial no entran en el ámbito de aplicación de la presente Directiva.

Por lo que respecta al sector de la energía y, en particular, a los métodos de generación y transmisión de electricidad (en relación con el suministro de electricidad), se entiende que, cuando se considere adecuado, la generación de electricidad puede incluir las partes de transmisión de electricidad de las centrales nucleares, pero excluye los elementos específicamente nucleares contemplados en los tratados y en el Derecho de la Unión, incluidos los actos jurídicos pertinentes de la Unión relativos a la energía nuclear. El proceso de identificación de entidades críticas en el sector alimentario debe reflejar adecuadamente la naturaleza del mercado interior en dicho sector y la amplia normativa de la Unión relativa a los principios y requisitos generales de la legislación alimentaria y la seguridad alimentaria. Por lo tanto, para garantizar un enfoque proporcionado y reflejar adecuadamente el papel y la importancia de dichas entidades a nivel nacional, las entidades críticas sólo deben identificarse entre las empresas alimentarias, con o sin ánimo de lucro y públicas o privadas, que se dediquen exclusivamente a la logística y la distribución al por mayor y a la producción y transformación industrial a gran escala con una cuota de mercado significativa observada a nivel nacional. Estas interdependencias hacen que cualquier perturbación de los servicios esenciales, aunque inicialmente se limite a una entidadEntidad Persona física o jurídica creada y reconocida como tal en virtud de la legislación nacional de su lugar de establecimiento, que puede, actuando en nombre propio, ejercer derechos y estar sujeta a obligaciones -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) o de un sector, puede tener efectos en cascada más amplios, lo que puede dar lugar a un impacto negativo de gran alcance y a largo plazo en la prestación de servicios en todo el mercado interior. Las grandes crisis, como la pandemia de COVID-19, han demostrado la vulnerabilidadVulnerabilidad Se refiere a una debilidad, susceptibilidad o defecto de los productos o servicios de las TIC que puede ser explotado por una ciberamenaza -. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) de nuestras sociedades cada vez más interdependientes frente a riesgos de alto impacto y baja probabilidad.

(6) Las entidades que participan en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por la legislación nacional. El hecho de que algunos Estados miembros impongan requisitos de seguridad menos estrictos a dichas entidades no solo da lugar a distintos niveles de resistencia, sino que también puede repercutir negativamente en el mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión y obstaculizar el correcto funcionamiento del mercado interior. Los inversores y las empresas pueden confiar en las entidades críticas que son resilientes, y la fiabilidad y la confianza son las piedras angulares del buen funcionamiento del mercado interior. Tipos similares de entidades se consideran críticas en algunos Estados miembros, pero no en otros, y las que se identifican como críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Ello supone una carga administrativa adicional e innecesaria para las empresas que operan a escala transfronteriza, en particular para las que operan en Estados miembros con requisitos más estrictos. Por lo tanto, un marco de la Unión también tendría el efecto de igualar las condiciones para las entidades críticas en toda la Unión.

(7) Es necesario establecer normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior, aumentar la resistencia de las entidades críticas y mejorar la cooperación transfronteriza entre las autoridades competentes. Es importante que esas normas estén preparadas para el futuro en cuanto a su diseño y aplicación, permitiendo al mismo tiempo la flexibilidad necesaria. También es crucial mejorar la capacidad de las entidades críticas para prestar servicios esenciales frente a un conjunto diverso de riesgos.

(8) A fin de alcanzar un alto nivel de resistencia, los Estados miembros deben identificar las entidades críticas que estarán sujetas a requisitos y supervisión específicos y a las que se prestará especial apoyo y orientación frente a todos los riesgos pertinentes.

(9) Dada la importancia de ciberseguridadCiberseguridad "ciberseguridad": la ciberseguridad definida en el artículo 2, punto 1, del Reglamento (UE) 2019/881; - Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) "ciberseguridad": las actividades necesarias para proteger las redes y los sistemas de información, a los usuarios de dichos sistemas y a otras personas afectadas por las ciberamenazas; - Definición según el artículo 2, punto (1), del Reglamento (UE) 2019/881; para la resiliencia de las entidades críticas y en aras de la coherencia, debe garantizarse, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo (5). Habida cuenta de la mayor frecuencia y de las características particulares de los riesgos cibernéticos, la Directiva (UE) 2022/2555 impone requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se aborda suficientemente en la Directiva (UE) 2022/2555, las materias cubiertas por dicha Directiva deben excluirse del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular para las entidades del sector de las infraestructuras digitales.

(10) Cuando las disposiciones de los actos jurídicos sectoriales específicos de la Unión exijan a las entidades críticas que tomen medidas para aumentar su resiliencia, y cuando los Estados miembros reconozcan dichos requisitos como al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva, no deben aplicarse las disposiciones pertinentes de la presente Directiva, a fin de evitar duplicaciones y cargas innecesarias. En tal caso, deben aplicarse las disposiciones pertinentes de dichos actos jurídicos de la Unión. Cuando no se apliquen las disposiciones pertinentes de la presente Directiva, tampoco deben aplicarse las disposiciones sobre supervisión y ejecución establecidas en la presente Directiva.

(11) La presente Directiva no afecta a la competencia de los Estados miembros y de sus autoridades en materia de autonomía administrativa ni a su responsabilidad de salvaguardar la seguridad y la defensa nacionales ni a su facultad de salvaguardar otras funciones esenciales del Estado, en particular en materia de seguridad pública, integridad territorial y mantenimiento del orden público. La exclusión de las entidades de la administración pública del ámbito de aplicación de la presente Directiva debe aplicarse a las entidades cuyas actividades se desarrollen predominantemente en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la investigación, la detección y el enjuiciamiento de delitos. No obstante, las entidades de la administración pública cuyas actividades estén sólo marginalmente relacionadas con esos ámbitos deben entrar en el ámbito de aplicación de la presente Directiva. A efectos de la presente Directiva, no se considera que las entidades con competencias reguladoras lleven a cabo actividades en el ámbito de la aplicación de la ley y, por lo tanto, no quedan excluidas por ese motivo del ámbito de aplicación de la presente Directiva. Las entidades de la administración pública establecidas conjuntamente con un tercer país en virtud de un acuerdo internacional quedan excluidas del ámbito de aplicación de la presente Directiva. La presente Directiva no se aplica a las misiones diplomáticas y consulares de los Estados miembros en terceros países.

Determinadas entidades críticas llevan a cabo actividades en los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la investigación, la detección y el enjuiciamiento de delitos, o prestan servicios exclusivamente a entidades de la administración pública que llevan a cabo actividades predominantemente en esos ámbitos. A la luz de la responsabilidad de los Estados miembros de salvaguardar la seguridad y la defensa nacionales, los Estados miembros deben poder decidir que las obligaciones de las entidades críticas establecidas en la presente Directiva no se apliquen, total o parcialmente, a dichas entidades críticas si los servicios que prestan o las actividades que realizan están relacionados predominantemente con los ámbitos de la seguridad nacional, la seguridad pública, la defensa o la aplicación de la ley, incluidas la investigación, la detección y el enjuiciamiento de delitos. Las entidades críticas cuyos servicios o actividades estén sólo marginalmente relacionados con esos ámbitos deben entrar en el ámbito de aplicación de la presente Directiva. No debe exigirse a ningún Estado miembro que facilite información cuya divulgación sea contraria a los intereses esenciales de su seguridad nacional. Son pertinentes las normas nacionales o de la Unión para la protección de la información clasificada y los acuerdos de no divulgación.

(12) Para no poner en peligro la seguridad nacional ni la seguridad y los intereses comerciales de las entidades críticas, el acceso a la información sensible, su intercambio y su tratamiento deben realizarse con prudencia y prestando especial atención a los canales de transmisión y a las capacidades de almacenamiento utilizadas.

(13) Con vistas a garantizar un enfoque global de la resistencia de las entidades críticas, cada Estado miembro debe disponer de una estrategia para mejorar la resistencia de las entidades críticas (la "estrategia"). La estrategia debe establecer los objetivos estratégicos y las medidas políticas que deben aplicarse. En aras de la coherencia y la eficacia, la estrategia debe diseñarse de forma que integre perfectamente las políticas existentes, basándose, siempre que sea posible, en las estrategias, planes o documentos similares nacionales y sectoriales pertinentes. Para lograr un enfoque global, los Estados miembros deben garantizar que sus estrategias establezcan un marco político para una mayor coordinación entre las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2555 en el contexto del intercambio de información sobre riesgos, amenazas e incidentes cibernéticos y riesgos, amenazas e incidentes no cibernéticos y en el contexto del ejercicio de las funciones de supervisión. Al establecer sus estrategias, los Estados miembros deben tener debidamente en cuenta la naturaleza híbrida de las amenazas a las entidades críticas.

(14) Los Estados miembros deben comunicar a la Comisión sus estrategias y las actualizaciones sustanciales de las mismas, en particular para que la Comisión pueda evaluar la correcta aplicación de la presente Directiva en lo que se refiere a los planteamientos políticos de la resistencia de las entidades críticas a escala nacional. En caso necesario, las estrategias podrían comunicarse como información clasificada. La Comisión debe elaborar un informe de síntesis de las estrategias comunicadas por los Estados miembros que sirva de base para los intercambios destinados a determinar las mejores prácticas y las cuestiones de interés común en el marco de un Grupo de Resiliencia de las Entidades Críticas. Debido a la naturaleza sensible de la información agregada incluida en el informe de síntesis, clasificada o no, la Comisión deberá gestionar el informe de síntesis con el nivel de concienciación adecuado con respecto a la seguridad de las entidades críticas, los Estados miembros y la Unión. El informe de síntesis y las estrategias deben estar protegidos contra acciones ilícitas o malintencionadas y ser accesibles únicamente a las personas autorizadas para cumplir los objetivos de la presente Directiva. La comunicación de las estrategias y de las actualizaciones sustanciales de las mismas también debe ayudar a la Comisión a comprender la evolución de los planteamientos en materia de resistencia de las entidades críticas y contribuir al seguimiento del impacto y del valor añadido de la presente Directiva, que la Comisión debe revisar periódicamente.

(15) Las acciones de los Estados miembros para identificar y ayudar a garantizar la resistencia de las entidades críticas deben seguir un planteamiento basado en el riesgo que se centre en las entidades más relevantes para el desempeño de funciones sociales o actividades económicas vitales. Para garantizar este planteamiento específico, cada Estado miembro debe llevar a cabo, en un marco armonizado, una evaluación de los riesgos naturales y antropogénicos pertinentes, incluidos los de carácter intersectorial o transfronterizo, que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública como las pandemias y las amenazas híbridas u otras amenazas antagónicas, incluidos los delitos terroristas, la infiltración delictiva y el sabotaje ("evaluación de riesgos del Estado miembro"). Al llevar a cabo las evaluaciones de riesgos de los Estados miembros, éstos deben tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas en virtud de otros actos jurídicos de la Unión y deben considerar en qué medida los sectores dependen unos de otros, incluidos los sectores de otros Estados miembros y de terceros países. El resultado de las evaluaciones de riesgos de los Estados miembros debe utilizarse para identificar las entidades críticas y ayudar a dichas entidades a cumplir sus requisitos de resistencia. La presente Directiva se aplica únicamente a los Estados miembros y a las entidades críticas que operan dentro de la Unión. No obstante, la experiencia y los conocimientos generados por las autoridades competentes, en particular a través de las evaluaciones de riesgos, y por la Comisión, en particular a través de diversas formas de apoyo y cooperación, podrían utilizarse, cuando proceda y de conformidad con los instrumentos jurídicos aplicables, en beneficio de terceros países, en particular los vecinos directos de la Unión, alimentando la cooperación existente en materia de resiliencia.

(16) Para garantizar que todas las entidades pertinentes estén sujetas a los requisitos de resistencia de la presente Directiva y reducir las divergencias al respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo a los Estados miembros reflejar adecuadamente el papel y la importancia de dichas entidades a nivel nacional. Al aplicar los criterios establecidos en la presente Directiva, cada Estado miembro debe identificar las entidades que prestan uno o más servicios esenciales y que operan y tienen infraestructuras críticas situadas en su territorio. Debe considerarse que una entidad opera en el territorio de un Estado miembro en el que lleva a cabo las actividades necesarias para el servicio o servicios esenciales de que se trate y en el que está situada la infraestructura crítica de esa entidad, que se utiliza para prestar ese servicio o esos servicios. Cuando ninguna entidad cumpla estos criterios en un Estado miembro, éste no estará obligado a identificar una entidad crítica en el sector o subsector correspondiente. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, deben establecerse normas adecuadas por lo que respecta a la notificación a las entidades de que han sido identificadas como entidades críticas.

(17) Los Estados miembros deben presentar a la Comisión, de forma que se cumplan los objetivos de la presente Directiva, una lista de servicios esenciales, el número de entidades críticas identificadas para cada uno de los sectores y subsectores que figuran en el anexo y para el servicio o servicios esenciales que presta cada entidad y, en su caso, los umbrales. Los umbrales deben poder presentarse como tales o de forma agregada, lo que significa que la información puede promediarse por zona geográfica, por año, por sector, por subsector o por otros medios, y puede incluir información sobre la gama de los indicadores facilitados.

(18) Deben establecerse criterios para determinar la importancia de un efecto perturbador producido por una incidenteIncidente Se refiere a un suceso que compromete la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados, o de los servicios ofrecidos por los sistemas de red y de información o accesibles a través de ellos". Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2). Dichos criterios deben basarse en los establecidos en la Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo (6) a fin de aprovechar los esfuerzos realizados por los Estados miembros para identificar a los operadores de servicios esenciales definidos en dicha Directiva y la experiencia adquirida al respecto. Las grandes crisis, como la pandemia de COVID-19, han puesto de manifiesto la importancia de garantizar la seguridad de la cadena de suministro y han demostrado cómo su interrupción puede tener un impacto económico y social negativo en un gran número de sectores y a través de las fronteras. Por lo tanto, los Estados miembros también deben considerar los efectos sobre la cadena de suministro, en la medida de lo posible, a la hora de determinar en qué medida otros sectores y subsectores dependen del servicio esencial prestado por una entidad crítica.

(19) De conformidad con el Derecho de la Unión y nacional aplicable, incluido el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo (7), que establece un marco para el control de las inversiones extranjeras directas en la Unión, debe reconocerse la amenaza potencial que supone la propiedad extranjera de infraestructuras críticas en la Unión, ya que los servicios, la economía y la libre circulación y la seguridad de los ciudadanos de la Unión dependen del correcto funcionamiento de las infraestructuras críticas.

(20) La Directiva (UE) 2022/2555 exige que las entidades pertenecientes al sector de las infraestructuras digitales, que podrían identificarse como entidades críticas con arreglo a la presente Directiva, adopten medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de la red y de los sistemas de informaciónSeguridad de redes y sistemas de información la capacidad de los sistemas de red y de información de resistir, con un determinado nivel de confianza, cualquier evento que pueda comprometer la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados, transmitidos o procesados o de los servicios ofrecidos por dichos sistemas de red y de información o accesibles a través de ellos Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2) y notificar incidentes significativos y ciberamenazas. Dado que las amenazas a la seguridad de las redes y los sistemas de información pueden tener distintos orígenes, la Directiva (UE) 2022/2555 aplica un enfoque que abarca todos los riesgos e incluye la resistencia de las redes y los sistemas de información, así como los componentes físicos y el entorno de dichos sistemas.

Dado que los requisitos establecidos en la Directiva (UE) 2022/2555 a este respecto son al menos equivalentes a las obligaciones correspondientes establecidas en la presente Directiva, las obligaciones establecidas en el artículo 11 y en los capítulos III, IV y VI de la presente Directiva no deben aplicarse a las entidades pertenecientes al sector de las infraestructuras digitales para evitar duplicaciones y cargas administrativas innecesarias. No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades pertenecientes al sector de las infraestructuras digitales para las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, sobre la base de los criterios y utilizando el procedimiento previsto en la presente Directiva, las entidades pertenecientes al sector de las infraestructuras digitales como entidades críticas. En consecuencia, deben aplicarse las estrategias, las evaluaciones de riesgos de los Estados miembros y las medidas de apoyo establecidas en el capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional para lograr un mayor nivel de resiliencia de dichas entidades críticas, siempre que dichas disposiciones sean coherentes con el Derecho aplicable de la Unión.

(21) El Derecho de la Unión en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los operativos, y garanticen la continuidad de la actividad. Dicha legislación incluye los Reglamentos (UE) n.º 648/2012 (8), (UE) n.º 575/2013 (9) y (UE) n.º 600/2014 (10) del Parlamento Europeo y del Consejo y las Directivas 2013/36/UE (11) y 2014/65/UE (12) del Parlamento Europeo y del Consejo. Ese marco jurídico se complementa con el Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo (13), que establece requisitos aplicables a las entidades financieras para gestionar los riesgos de las tecnologías de la información y la comunicación (TIC), incluidos los relativos a la protección de las infraestructuras físicas de TIC. Dado que la capacidad de resistencia de estas entidades está, por tanto, cubierta de forma exhaustiva, el artículo 11 y los capítulos III, IV y VI de la presente Directiva no deben aplicarse a dichas entidades a fin de evitar duplicaciones y cargas administrativas innecesarias.

No obstante, teniendo en cuenta la importancia de los servicios prestados por las entidades del sector financiero a las entidades críticas pertenecientes a todos los demás sectores, los Estados miembros deben identificar, basándose en los criterios y utilizando el procedimiento previsto en la presente Directiva, a las entidades del sector financiero como entidades críticas. En consecuencia, deben aplicarse las estrategias, las evaluaciones de riesgos de los Estados miembros y las medidas de apoyo establecidas en el Capítulo II de la presente Directiva. Los Estados miembros deben poder adoptar o mantener disposiciones de Derecho nacional para lograr un mayor nivel de resistencia para esas entidades críticas, siempre que dichas disposiciones sean coherentes con el Derecho aplicable de la Unión.

(22) Los Estados miembros deben designar o establecer autoridades competentes para supervisar la aplicación y, en caso necesario, hacer cumplir las normas de la presente Directiva, y garantizar que dichas autoridades dispongan de las facultades y los recursos adecuados. Habida cuenta de las diferencias en las estructuras nacionales de gobernanza, a fin de salvaguardar los acuerdos sectoriales existentes o los organismos de supervisión y regulación de la Unión, y para evitar duplicaciones, los Estados miembros deben poder designar o establecer más de una autoridad competente. Cuando los Estados miembros designen o establezcan más de una autoridad competente, deben delimitar claramente las tareas respectivas de las autoridades de que se trate y garantizar que cooperen de forma fluida y eficaz. Todas las autoridades competentes deben también cooperar de manera más general con otras autoridades pertinentes, tanto a nivel de la Unión como nacional.

(23) Para facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro debe designar, sin perjuicio de los requisitos de los actos jurídicos sectoriales de la Unión, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión ("punto de contacto único"), en su caso dentro de una autoridad competente. Cada punto de contacto único debe servir de enlace y coordinar la comunicación, cuando proceda, con las autoridades competentes de su Estado miembro, con los puntos de contacto únicos de otros Estados miembros y con el Grupo de Resiliencia de Entidades Críticas.

(24) Las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2555 deben cooperar e intercambiar información en relación con los riesgos, amenazas e incidentes cibernéticos y los riesgos, amenazas e incidentes no cibernéticos que afecten a las entidades críticas, así como en relación con las medidas pertinentes adoptadas por las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2555. Es importante que los Estados miembros garanticen que los requisitos previstos en la presente Directiva y en la Directiva (UE) 2022/2555 se apliquen de forma complementaria y que las entidades críticas no estén sujetas a una carga administrativa más allá de lo necesario para alcanzar los objetivos de la presente Directiva y de dicha Directiva.

(25) Los Estados miembros deben apoyar a las entidades críticas, incluidas las que reúnen las condiciones para ser consideradas pequeñas o medianas empresas, en el refuerzo de su capacidad de resistencia, en cumplimiento de las obligaciones de los Estados miembros establecidas en la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades críticas de garantizar dicho cumplimiento y, al hacerlo, evitar una carga administrativa excesiva. Los Estados miembros podrían, en particular, elaborar materiales de orientación y metodologías, apoyar la organización de ejercicios para poner a prueba la resistencia de las entidades críticas y proporcionar asesoramiento y formación al personal de las entidades críticas. Cuando sea necesario y esté justificado por objetivos de interés público, los Estados miembros podrían proporcionar recursos financieros y deberían facilitar la puesta en común voluntaria de información y el intercambio de buenas prácticas entre entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea (TFUE).

(26) Con el fin de aumentar la resistencia de las entidades críticas identificadas por los Estados miembros y de reducir la carga administrativa que pesa sobre dichas entidades críticas, las autoridades competentes deben consultarse entre sí, cuando proceda, para garantizar una aplicación coherente de la presente Directiva. Dichas consultas deben celebrarse a petición de cualquier autoridad competente interesada y deben centrarse en garantizar un enfoque convergente en relación con las entidades críticas interconectadas que utilicen infraestructuras críticas que estén físicamente conectadas entre dos o más Estados miembros, que pertenezcan a los mismos grupos o estructuras corporativas, o que hayan sido identificadas en un Estado miembro y que presten servicios esenciales a otros Estados miembros o en otros Estados miembros.

(27) Cuando las disposiciones del Derecho de la Unión o nacional exijan que las entidades críticas evalúen los riesgos pertinentes a efectos de la presente Directiva y adopten medidas para garantizar su propia resiliencia, dichos requisitos deben tenerse debidamente en cuenta a efectos de la supervisión del cumplimiento de la presente Directiva por parte de las entidades críticas.

(28) Las entidades críticas deben tener un conocimiento exhaustivo de los riesgos relevantes a los que están expuestas y el deber de analizar dichos riesgos. A tal fin, deben llevar a cabo evaluaciones de riesgos siempre que sea necesario a la vista de sus circunstancias particulares y de la evolución de dichos riesgos y, en cualquier caso, cada cuatro años, a fin de evaluar todos los riesgos pertinentes que puedan interrumpir la prestación de sus servicios esenciales ("evaluación de riesgos de la entidad crítica"). Cuando las entidades críticas hayan realizado otras evaluaciones de riesgos o elaborado documentos en virtud de obligaciones establecidas en otros actos jurídicos que sean pertinentes para su evaluación de riesgos de entidad crítica, deben poder utilizar dichas evaluaciones y documentos para cumplir los requisitos establecidos en la presente Directiva en relación con las evaluaciones de riesgos de entidades críticas. Una autoridad competente debe poder declarar que una evaluación de riesgos existente realizada por una entidad crítica que aborde los riesgos pertinentes y el grado de dependencia pertinente cumple, total o parcialmente, las obligaciones establecidas en la presente Directiva.

(29) Las entidades críticas deben adoptar medidas técnicas, de seguridad y organizativas adecuadas y proporcionadas a los riesgos a los que se enfrentan para prevenir, proteger, responder, resistir, mitigar, absorber, acomodar y recuperarse de un incidente. Si bien las entidades críticas deben adoptar dichas medidas de conformidad con la presente Directiva, los detalles y el alcance de tales medidas deben reflejar los diferentes riesgos que cada entidad crítica haya identificado como parte de su evaluación de riesgos de entidad crítica y las especificidades de dicha entidad de manera adecuada y proporcionada. Para promover un enfoque coherente de la Unión, la Comisión, previa consulta al Grupo de Resiliencia de Entidades Críticas, debe adoptar directrices no vinculantes para especificar con mayor detalle dichas medidas técnicas, de seguridad y organizativas. Los Estados miembros deben velar por que cada entidad crítica designe a un funcionario de enlace o equivalente como punto de contacto con las autoridades competentes.

(30) En aras de la eficacia y la responsabilidad, las entidades críticas deben describir las medidas que adopten, con un nivel de detalle que permita alcanzar suficientemente los objetivos de eficacia y responsabilidad, teniendo en cuenta los riesgos identificados, en un plan de resiliencia o en un documento o documentos equivalentes a un plan de resiliencia, y aplicar dicho plan en la práctica. Cuando una entidad crítica ya haya adoptado medidas técnicas, de seguridad y organizativas y elaborado documentos con arreglo a otros actos jurídicos que sean pertinentes para las medidas de refuerzo de la resiliencia con arreglo a la presente Directiva, debe poder, para evitar duplicaciones, utilizar dichas medidas y documentos para cumplir los requisitos relativos a las medidas de resiliencia con arreglo a la presente Directiva. Para evitar duplicaciones, una autoridad competente debe poder declarar que las medidas de resiliencia existentes adoptadas por una entidad crítica que aborden su obligación de adoptar medidas técnicas, de seguridad y organizativas con arreglo a la presente Directiva cumplen, total o parcialmente, los requisitos de la presente Directiva.

(31) Los Reglamentos (CE) nº 725/2004 (14) y (CE) nº 300/2008 (15) del Parlamento Europeo y del Consejo y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo (16) establecen requisitos aplicables a las entidades de los sectores de la aviación y el transporte marítimo para prevenir incidentes causados por actos ilícitos y resistir y mitigar las consecuencias de tales incidentes. Aunque las medidas exigidas en virtud de la presente Directiva son más amplias en cuanto a los riesgos abordados y los tipos de medidas que deben adoptarse, las entidades críticas de esos sectores deben reflejar en su plan de resiliencia o documentos equivalentes las medidas adoptadas en virtud de esos otros actos jurídicos de la Unión. Las entidades críticas también deben tener en cuenta la Directiva 2008/96/CE del Parlamento Europeo y del Consejo (17), que introduce una evaluación de las carreteras de toda la red para cartografiar el riesgo de accidentes y una inspección específica de la seguridad vial para determinar las condiciones peligrosas, los defectos y los problemas que aumentan el riesgo de accidentes y lesiones, sobre la base de visitas a las carreteras o tramos de carreteras existentes. Garantizar la protección y la resiliencia de las entidades críticas es de suma importancia para el sector ferroviario y, al aplicar medidas de resiliencia en virtud de la presente Directiva, se anima a las entidades críticas a remitirse a directrices no vinculantes y documentos de buenas prácticas elaborados en el marco de flujos de trabajo sectoriales, como la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE creada por la Decisión 2018/C 232/03 de la Comisión (18).

(32) El riesgo de que los empleados de entidades críticas o sus contratistas utilicen indebidamente, por ejemplo, sus derechos de acceso dentro de la organización de la entidad crítica para perjudicar y causar daños es cada vez más preocupante. Por consiguiente, los Estados miembros deben especificar las condiciones en las que se permite a las entidades críticas, en casos debidamente motivados y teniendo en cuenta las evaluaciones de riesgo de los Estados miembros, presentar solicitudes de verificación de antecedentes de personas pertenecientes a categorías específicas de su personal. Debe garantizarse que las autoridades competentes evalúen dichas solicitudes en un plazo razonable y las tramiten de conformidad con la legislación y los procedimientos nacionales y con el Derecho de la Unión pertinente y aplicable, incluido el relativo a la protección de datos personales. A fin de corroborar la identidad de una persona que sea objeto de una verificación de antecedentes, es conveniente que los Estados miembros exijan una prueba de identidad, como un pasaporte, un documento nacional de identidad o una forma digital de identificación, de conformidad con la legislación aplicable.

Las comprobaciones de antecedentes deben incluir una comprobación de los antecedentes penales de la persona en cuestión. Los Estados miembros deben utilizar el Sistema Europeo de Información de Antecedentes Penales de conformidad con los procedimientos establecidos en la Decisión Marco 2009/315/JAI del Consejo (19) y, cuando sea pertinente y aplicable, en el Reglamento (UE) 2019/816 del Parlamento Europeo y del Consejo (20) con el fin de obtener información de los antecedentes penales que obren en poder de otros Estados miembros. Los Estados miembros también podrían, cuando sea pertinente y aplicable, recurrir al Sistema de Información de Schengen de Segunda Generación (SIS II) establecido por el Reglamento (UE) 2018/1862 del Parlamento Europeo y del Consejo (21), a inteligencia y a cualquier otra información objetiva disponible que pueda ser necesaria para determinar la idoneidad de la persona en cuestión para trabajar en el puesto en relación con el cual la entidad crítica ha solicitado una verificación de antecedentes.

(33) Debe establecerse un mecanismo de notificación de determinados incidentes que permita a las autoridades competentes responder a los incidentes de forma rápida y adecuada y tener una visión global del impacto, la naturaleza, la causa y las posibles consecuencias de los incidentes de los que se ocupan las entidades críticas. Las entidades críticas deberán notificar, sin demora injustificada, a las autoridades competentes los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales. A menos que les resulte operativamente imposible hacerlo, las entidades críticas deberán presentar una notificación inicial a más tardar 24 horas después de tener conocimiento de un incidente. La notificación inicial sólo deberá incluir la información estrictamente necesaria para poner el incidente en conocimiento de la autoridad competente y permitir a la entidad crítica solicitar asistencia, en caso necesario. Dicha notificación deberá indicar, en la medida de lo posible, la presunta causa del incidente. Los Estados miembros deberán garantizar que la obligación de presentar esa notificación inicial no desvíe los recursos de la entidad crítica de las actividades relacionadas con gestión de incidentesGestión de incidentes Se refiere a todas las acciones y procedimientos destinados a prevenir, detectar, analizar y contener un incidente, o a responder a él y recuperarse de él. Definición según el artículo 6 de la Directiva (UE) 2022/2555 (Directiva NIS2)que deben priorizarse. La notificación inicial debe ir seguida, en su caso, de un informe detallado a más tardar un mes después del incidente. El informe detallado debe complementar la notificación inicial y ofrecer una visión más completa del incidente.

(34) La normalización debe seguir siendo principalmente un proceso impulsado por el mercado. No obstante, puede haber situaciones en las que sea conveniente exigir el cumplimiento de normas específicas. Cuando sea útil, los Estados miembros deben fomentar el uso de normas y especificaciones técnicas europeas e internacionales pertinentes para las medidas de seguridad y resistencia aplicables a las entidades críticas.

(35) Aunque las entidades críticas operan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de esas entidades críticas revisten especial importancia para la Unión y su mercado interior porque prestan servicios esenciales a seis o más Estados miembros o en seis o más de ellos y, por lo tanto, podrían beneficiarse de un apoyo específico a nivel de la Unión. Por consiguiente, deben establecerse normas sobre las misiones consultivas respecto de dichas entidades críticas de especial importancia europea. Dichas normas se entienden sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva.

(36) Previa solicitud motivada de la Comisión o de uno o varios Estados miembros a los que o en los que se preste el servicio esencial, cuando sea necesaria información adicional para poder asesorar a una entidad crítica en el cumplimiento de sus obligaciones con arreglo a la presente Directiva o para evaluar el cumplimiento de dichas obligaciones por parte de una entidad crítica de especial importancia europea, el Estado miembro que haya identificado a una entidad crítica de especial importancia europea como entidad crítica debe facilitar a la Comisión determinada información con arreglo a lo dispuesto en la presente Directiva. De acuerdo con el Estado miembro que haya identificado a la entidad crítica de especial importancia europea como entidad crítica, la Comisión debe poder organizar una misión consultiva para evaluar las medidas aplicadas por dicha entidad. Para garantizar que dichas misiones consultivas se lleven a cabo adecuadamente, deben establecerse normas complementarias, en particular sobre la organización y realización de las misiones consultivas, las medidas de seguimiento que deben adoptarse y las obligaciones de las entidades críticas de especial importancia europea afectadas. Sin perjuicio de la necesidad de que el Estado miembro en el que se lleve a cabo la misión de asesoramiento y la entidad crítica de que se trate cumplan las normas establecidas en la presente Directiva, la misión de asesoramiento debe realizarse con sujeción a las normas detalladas de la legislación de dicho Estado miembro, por ejemplo sobre las condiciones precisas que deben cumplirse para obtener acceso a los locales o documentos pertinentes y sobre las vías de recurso judicial. Los conocimientos específicos necesarios para dichas misiones de asesoramiento podrían solicitarse, en su caso, a través del Centro de Coordinación de la Respuesta a Emergencias creado por la Decisión n.º 1313/2013/UE del Parlamento Europeo y del Consejo (22).

(37) Para apoyar a la Comisión y facilitar la cooperación entre los Estados miembros y el intercambio de información, incluidas las mejores prácticas, sobre cuestiones relacionadas con la presente Directiva, debe crearse un Grupo de Resiliencia de Entidades Críticas como grupo de expertos de la Comisión. Los Estados miembros deben esforzarse por garantizar que los representantes designados de sus autoridades competentes en el Grupo de Resiliencia de Entidades Críticas cooperen de manera efectiva y eficiente, incluso designando representantes que dispongan de habilitación de seguridad, cuando proceda. El Grupo de Resiliencia de Entidades Críticas debe empezar a desempeñar sus funciones lo antes posible, a fin de proporcionar medios adicionales para una cooperación adecuada durante el período de transposición de la presente Directiva. El Grupo de Resiliencia de Entidades Críticas debe interactuar con otros grupos de trabajo de expertos sectoriales pertinentes.

(38) El Grupo de Resiliencia de Entidades Críticas debe cooperar con el Grupo de Cooperación creado en virtud de la Directiva (UE) 2022/2555 con vistas a apoyar un marco global para la resiliencia cibernética y no cibernética de las entidades críticas. El Grupo de Resiliencia de Entidades Críticas y el Grupo de Cooperación establecido en virtud de la Directiva (UE) 2022/2555 deben entablar un diálogo periódico para promover la cooperación entre las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2555 y facilitar el intercambio de información, en particular sobre temas de interés para ambos grupos.

(39) Para alcanzar los objetivos de la presente Directiva y sin perjuicio de la responsabilidad jurídica de los Estados miembros y las entidades críticas de garantizar el cumplimiento de sus respectivas obligaciones establecidas en ella, la Comisión debe, cuando lo considere oportuno, apoyar a las autoridades competentes y a las entidades críticas con el fin de facilitarles el cumplimiento de sus respectivas obligaciones. Al prestar apoyo a los Estados miembros y a las entidades críticas en el cumplimiento de las obligaciones establecidas en la presente Directiva, la Comisión debe basarse en las estructuras y herramientas existentes, como las del Mecanismo de Protección Civil de la Unión, establecido por la Decisión n.o 1313/2013/UE, y la Red Europea de Referencia para la Protección de Infraestructuras Críticas. Además, debe informar a los Estados miembros sobre los recursos disponibles a escala de la Unión, como en el marco del Fondo de Seguridad Interior, establecido por el Reglamento (UE) 2021/1149 del Parlamento Europeo y del Consejo (23), Horizonte Europa, establecido por el Reglamento (UE) 2021/695 del Parlamento Europeo y del Consejo (24), u otros instrumentos pertinentes para la resiliencia de las entidades críticas.

(40) Los Estados miembros deben velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y cumplimiento de la presente Directiva en relación con las entidades críticas, cuando dichas entidades entren dentro de su jurisdicción, tal como se especifica en la presente Directiva. Dichos poderes deben incluir, en particular, la facultad de realizar inspecciones y auditorías, la facultad de supervisar, la facultad de exigir a las entidades críticas que faciliten información y pruebas relativas a las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, la facultad de dictar órdenes para subsanar las infracciones detectadas. Al dictar dichas órdenes, los Estados miembros no deben exigir medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica de que se trate. En términos más generales, estos poderes deben ir acompañados de salvaguardias adecuadas y efectivas que se especificarán en la legislación nacional de conformidad con la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de las obligaciones establecidas en la presente Directiva, las autoridades competentes en virtud de la presente Directiva deben poder solicitar a las autoridades competentes en virtud de la Directiva (UE) 2022/2555 que ejerzan sus facultades de supervisión y ejecución en relación con una entidad en virtud de dicha Directiva que haya sido identificada como entidad crítica en virtud de la presente Directiva. Las autoridades competentes en virtud de la presente Directiva y las autoridades competentes en virtud de la Directiva (UE) 2022/2555 deben cooperar e intercambiar información a tal efecto.

(41) A fin de aplicar la presente Directiva de manera eficaz y coherente, deben delegarse en la Comisión los poderes para adoptar actos de conformidad con el artículo 290 del TFUE para completar la presente Directiva mediante la elaboración de una lista de servicios esenciales. Dicha lista debe ser utilizada por las autoridades competentes para llevar a cabo las evaluaciones de riesgo de los Estados miembros e identificar las entidades críticas con arreglo a la presente Directiva. A la luz del enfoque de armonización mínima de la presente Directiva, dicha lista no es exhaustiva, y los Estados miembros podrían completarla con servicios esenciales adicionales a nivel nacional para tener en cuenta las especificidades nacionales en la prestación de servicios esenciales. Reviste especial importancia que la Comisión lleve a cabo las consultas apropiadas durante sus trabajos preparatorios, incluso a nivel de expertos, y que dichas consultas se realicen de conformidad con los principios establecidos en el Acuerdo Interinstitucional de 13 de abril de 2016 "Legislar mejor" (25). En particular, para garantizar la igualdad de participación en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben todos los documentos al mismo tiempo que los expertos de los Estados miembros, y sus expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de los actos delegados.

(42) A fin de garantizar condiciones uniformes de ejecución de la presente Directiva, deben conferirse a la Comisión competencias de ejecución. Dichas competencias deben ejercerse de conformidad con el Reglamento (UE) nº 182/2011 del Parlamento Europeo y del Consejo (26).

(43) Dado que los objetivos de la presente Directiva, a saber, garantizar que los servicios esenciales para el mantenimiento de las funciones vitales de la sociedad o de las actividades económicas se presten sin obstáculos en el mercado interior y reforzar la resistencia de las entidades críticas que prestan dichos servicios, no pueden ser alcanzados de manera suficiente por los Estados miembros, sino que, debido a los efectos de la acción, pueden lograrse mejor a escala de la Unión, ésta puede adoptar medidas, de acuerdo con el principio de subsidiariedad consagrado en el artículo 5 del Tratado de la Unión Europea. De conformidad con el principio de proporcionalidad enunciado en dicho artículo 5, la presente Directiva no excede de lo necesario para alcanzar dichos objetivos.

(44) El Supervisor Europeo de Protección de Datos fue consultado de conformidad con el artículo 42, apartado 1, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo (27) y emitió un dictamen el 11 de agosto de 2021.

(45) Procede, por tanto, derogar la Directiva 2008/114/CE,

HAN ADOPTADO ESTA DIRECTIVA: