Directiva CER, la nueva ruta de la resiliencia y la protección de los servicios esenciales en Europa Ha sido salvado
Artículo
Directiva CER, la nueva ruta de la resiliencia y la protección de los servicios esenciales en Europa
Directiva (UE) 2022/2557relativa a la resiliencia de las entidades críticas.
El pasado 27 de diciembre de 2022 se publicó la nueva “Directiva (UE) 2022/2557 del parlamento europeo y del consejo relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo” (en adelante, Directiva CER) en el Diario Oficial de la Unión Europea (DOUE), cuyo objetivo es aumentar la resiliencia de las entidades críticas y su capacidad para prestar sus servicios esenciales.
Directiva CER
¿Qué relación existe entre las Directivas NIS 2 y CER?
Si bien la Directiva NIS 2 (Directiva (UE) 2022/2555 del parlamento europeo y del consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión) impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar unos niveles adecuados de ciberseguridad, la Directiva CER se centra en garantizar unas medidas específicas que garanticen la prestación, sin obstrucciones, de servicios esenciales para el mantenimiento de las funciones sociales o actividades económicas vitales en los Estados miembros.
¿A quién aplica la Directiva CER?
La Directiva CER aplica a las entidades críticas, es decir, aquellas entidades identificadas por los Estados miembros que cumplan con alguno de los siguientes criterios:
- Si la entidad presta uno o más servicios esenciales;
- Si la entidad opera en el territorio de dicho Estado miembro y su infraestructura crítica está situada en él, y
- Si un incidente tuviese efectos perturbadores significativos en la prestación, por parte de la entidad, de uno o más servicios esenciales, o en la prestación de otros servicios esenciales que dependen de dicho servicio.
Además, la entidad debe pertenecer a alguno de los siguientes 11 sectores: banca, infraestructura de mercados financieros, infraestructura digital, transporte, energía, sanidad, agua potable, aguas residuales, administración pública, espacio y producción, transformación y distribución de alimentos.
Requerimientos de notificación de incidentes
Las entidades críticas deberán notificar todos los incidentes que puedan perturbar de forma significativa la prestación de servicios esenciales. En este sentido, las entidades críticas deberán incluir toda la información que esté disponible y sea necesaria para que la autoridad competente pueda comprender la naturaleza, la causa y las posibles consecuencias del incidente, incluyendo cualquier tipo de información que ayude a determinar las posibles repercusiones transfronterizas del mismo.
El flujo de notificación que propone la Directiva CER para los incidentes que perturben o puedan perturbar de forma significativa la prestación de servicios esenciales es:
- Notificación inicial: en un plazo de 24 horas tras el conocimiento del incidente.
- Notificación final – Informe detallado: a más tardar, un mes tras la detección del incidente, debiendo presentar un informe que detalle el número y el porcentaje de usuarios afectados, la duración de la perturbación y la zona geográfica afectada por la misma.
Sanciones por el incumplimiento de la Directiva CER
Los Estados miembros tendrán de plazo hasta el 17 de octubre para establecer el régimen sancionador, las cuales serán proporcionales y disuasorias. A diferencia de la Directiva NIS 2, la Directiva CER no indica unas multas administrativas de referencia a tener en cuenta por los estados miembros.
Próximos pasos
A fecha de 17 de enero de 2023 ha comenzado el periodo de transposición de la Directiva CER por los Estados miembro de la UE, el cual finalizará el 17 de octubre de 2024.
Los Estados miembro tendrán como máximo hasta el 17 de julio de 2026 para identificar las entidades críticas.
