Skip to main content

Analizamos la Directiva europea relativa a la resiliencia de las entidades críticas

Lo que los líderes del sector público y privado necesitan saber y deben hacer

Durante años, la resiliencia* ha sido una prioridad para los altos directivos de las organizaciones de los sectores público y privado de la Unión Europea (UE). A pesar de ello, la pandemia, la guerra en Ucrania y las incidencias meteorológicas han puesto de manifiesto las carencias que siguen presentando los planes de resiliencia. Esto ha hecho que sea imprescindible reforzar las capacidades en materia de resiliencia y que la Comisión Europea lance la Directiva de la UE relativa a la resiliencia de las entidades críticas (CER), a la que deberán adherirse los Estados miembros antes del 17 de julio de 2026.

La Directiva CER tiene como objetivo mejorar y armonizar las estrategias y planes de resiliencia de los Estados miembros y de las organizaciones, y establece los requisitos que los Estados miembros deberán incorporar a su legislación nacional. Asimismo, exige que los Estados miembros identifiquen las entidades críticas (es decir, aquellas que proporcionan servicios esenciales) antes del 17 de julio de 2026 y que definan sus estrategias nacionales de resiliencia, sus marcos de evaluación de riesgos y cualquier otro elemento de resiliencia que corresponda. Todo ello, en un ambicioso plazo de 10 meses desde dicha declaración. Las entidades críticas en los 11 sectores especificados en la Directiva (Figura 1**) tendrán que avanzar a gran velocidad para cumplir con los requisitos establecidos por sus respectivos Estados miembros en los plazos fijados.

Este artículo tiene como objetivo ayudar a un amplio abanico de stakeholders a comprender los elementos más críticos de la Directiva. En este grupo se incluyen desde altos directivos y miembros del Consejo de Administración de las entidades críticas hasta las autoridades competentes de los Estados miembros actuales o potenciales, pasando también por profesionales de gestión de riesgos, continuidad de negocio, gestión de crisis y resiliencia. Por otro lado, pretende animar a las organizaciones y stakeholders potencialmente afectados a que empiecen a comprender cuáles son los requisitos y a abordarlos de forma proactiva.

**Figura 1: Los 11 sectores cubiertos por la Directiva CER
Las evaluaciones de riesgos y las medidas/planes basados en la resiliencia para la infraestructura digital, la infraestructura de los mercados financieros y la banca están cubiertas por las normas NIS2 y DORA, respectivamente, que abordan los riesgos cibernéticos y de las tecnologías de la información y las comunicaciones.
 

¿Por qué se crea esta Directiva y por qué ahora?

La Directiva CER (Directiva EU 2022/2557) tiene como objetivo mejorar las capacidades de resiliencia para hacer frente a los riesgos que podrían tener un impacto negativo en la provisión de servicios esenciales, los cuales son indispensables para el correcto funcionamiento de la sociedad y del sistema financiero. De este modo, se conseguirá reforzar la confianza en la capacidad de las organizaciones públicas y privadas para prestar dichos servicios durante y tras una interrupción del servicio.

A modo resumen, ha habido tres aspectos principales que han impulsado a la UE a lanzar esta Directiva:

  1. A raíz de la pandemia del COVID 19, el panorama de riesgos se volvió más traicionero, con un aumento de los riesgos de cola (los que suelen desencadenar crisis de diversa índole), una mayor interconexión sectorial y la necesidad de mejorar los mecanismos de respuesta coordinada en la UE. Por ejemplo, la pandemia puso de manifiesto cómo la interrupción de las cadenas de suministro puede repercutir negativamente en las sociedades y las economías de distintos sectores y países.
  2.  La Comisión Europea se percató de la necesidad de abordar este asunto ampliando los reglamentos existentes en la UE en materia de resiliencia, que históricamente se habían centrado en sectores individuales (por ejemplo, el financiero) o en áreas específicas (por ejemplo, la ciberseguridad). La Directiva CER reconoce que el impacto que tienen las interrupciones significativas va mucho más allá del ámbito virtual, y que dichas interrupciones pueden afectar a instalaciones, carreteras, ferrocarriles, a la generación de energía y a otras infraestructuras de las que dependen los servicios esenciales.
  3. Al no haber una definición coherente de qué se considera "crítico", se corre el riesgo de que la Comisión Europea no pueda cumplir con su objetivo de preservar la igualdad de condiciones entre los Estados miembros. Las organizaciones están cada vez más sujetas a requisitos divergentes en virtud de las legislaciones nacionales. Puede darse el caso de que haya entidades que se consideren "críticas" en algunos Estados miembros pero no en otros, y que por lo tanto estén sujetas a diferentes requisitos. Esto da lugar a que se generen cargas administrativas innecesarias, a que se pongan en riesgo los servicios esenciales y a que se dificulte el funcionamiento del mercado interno. La Directiva reconoce que los stakeholders exigen coherencia para generar confianza y garantizar un mercado de la UE que funcione correctamente. Asimismo, la Directiva respalda un objetivo aun mayor: la mejora continua de la calidad de vida de los ciudadanos de la Unión.
     

Lo que necesitas saber sobre la Directiva CER y las medidas que deberías tomar a la mayor brevedad

Hemos identificado ocho disposiciones clave en la Directiva CER, las cuales deberán conocer los líderes de las organizaciones de los sectores público y privado, así como las acciones necesarias para comenzar a abordarlas.


1. Artículo 4: Estrategia para la resiliencia de las entidades críticas
Los Estados miembros serán los responsables de adoptar una estrategia para reforzar la resiliencia de las entidades críticas. Dicha estrategia deberá incluir: objetivos estratégicos y prioridades (teniendo en cuenta las dependencias transfronterizas y transectoriales); un marco de gobierno para alcanzar dichos objetivos estratégicos y prioridades; una descripción de las medidas necesarias para mejorar la resiliencia general de las entidades críticas; y una lista de las principales autoridades y stakeholders correspondientes involucrados en la implementación de la estrategia. Los Estados miembros necesitarán contar con marcos prácticos para desarrollar estrategias de armonización, así como evaluaciones de riesgo. Estos marcos pueden basarse en marcos ya existentes, como el Marco de ERM del Comité de Organizaciones Patrocinadoras de la Comisión Treadway (COSO) y el Marco del Consorcio Internacional para la Resiliencia Organizacional (ICOR).

Acción requerida: Las organizaciones deberán anticiparse a esta "armonización" y utilizar marcos ya existentes como punto de partida para identificar áreas en las que enfocarse y necesidades organizativas para iniciar el proceso de mejora de las capacidades de resiliencia.
 

2. Artículo 5: Evaluación de riesgos por los Estados miembros

Las autoridades competentes deberán evaluar todos aquellos riesgos naturales y provocados por el ser humano que podrían afectar a la prestación de servicios esenciales. Entre estos riesgos, se incluyen por ejemplo aquellos que se produzcan como consecuencia de las interdependencias entre sectores, incluidos los de otros Estados miembros y países externos a la UE. Estos últimos son de especial relevancia para grupos transfronterizos, incluidas filiales dentro y fuera de la UE, así como sus dependencias actuales y potenciales desde el punto de vista de la gestión de la cadena de suministro. Los elementos relevantes de las evaluaciones de riesgos de los Estados miembros serán comunicados a las entidades críticas y, en un plazo de tres meses, los datos y la información relevante de los resultados de la evaluación de riesgos deberán ser comunicados a la Comisión Europea. Las evaluaciones de riesgos de los Estados miembros requerirán un marco coherente y metodologías específicas para determinar los impactos, las probabilidades, y las dependencias sectoriales y de la cadena de suministro. Esta evaluación deberá poder utilizarse como una herramienta fundamental para mejorar la resiliencia y presentar informes.

Acción requerida: Las organizaciones no deberán esperar a recibir este comunicado a nivel nacional para empezar a analizar cómo podrían alinear mejor su enfoque con respecto a las iniciativas de riesgo empresarial y resiliencia. El momento de revisar las metodologías y promover la coherencia es ahora.


3. Artículo 6: Identificación de las entidades críticas

La Directiva incluye fechas y plazos para hitos significativos (Figura 2). Los Estados miembros tienen hasta el 17 de julio de 2026 para identificar entidades críticas en cada uno de los 11 sectores. Una vez que una entidad haya sido designada como "crítica", la autoridad competente notificará a la entidad en el plazo de un mes, y los requisitos de resiliencia se aplicarán diez meses después de la notificación. Durante el proceso de identificación de las entidades críticas, los Estados miembros tendrán en cuenta su estrategia de resiliencia y los resultados de su evaluación de riesgos. El Estado miembro también tendrá en cuenta si la entidad proporciona uno o más servicios esenciales, dónde opera y dónde se encuentra su infraestructura crítica. Los Estados miembros necesitarán una metodología y un proceso rigorosos – basados en su estrategia para la armonización de la resiliencia y en su marco para la evaluación de riesgos – para determinar que una entidad es crítica. También deberán establecer una comunicación clara y continua entre sus autoridades competentes y las entidades críticas.
Acción requerida: Aquellas organizaciones que probablemente vayan a ser clasificadas como entidades críticas deberán tener en cuenta lo que implicarán para ellas el plazo y los hitos, y llevar a cabo las acciones correspondientes de forma proactiva para anticiparse a los requisitos. No será posible cumplir con los requisitos en tan solo diez meses.
 

Hitos de la Directiva CER

4. Artículo 10: Apoyo de los Estados miembros a las entidades críticas

Es responsabilidad de los Estados miembros ofrecer el apoyo necesario a las entidades críticas para que estas puedan mejorar sus capacidades de resiliencia. Para ello, podrán proporcionarles directrices, metodologías y formación (como, por ejemplo, la realización de ejercicios para poner a prueba su resiliencia), así como promover la implementación de mecanismos para fomentar el intercambio voluntario de información entre entidades críticas. Asimismo, siempre que sea para alcanzar objetivos de interés público y de conformidad con las normas sobre Ayudas Estatales en la UE, los Estados miembros tendrán la facultad de asignar recursos financieros a las entidades críticas.

Acción requerida: Es poco probable que los Estados miembros puedan ofrecer un respaldo integral a todas las entidades críticas identificadas y que se encuentran en diferentes niveles de madurez en materia de resiliencia. Las entidades críticas deberán priorizar el llevar a cabo una autoevaluación de su nivel de madurez y su capacidad para cumplir con los requisitos dispuestos en la Directiva, las respectivas leyes nacionales en desarrollo en los Estados miembros y los correspondientes estándares internacionales. Este análisis de brechas deberá servir como eje fundamental para un ambicioso roadmap de hitos clave por alcanzar e identificará dónde deberán ofrecer mayor apoyo los Estados miembros.


5. Artículo 13: Medidas de resiliencia de las entidades críticas

Los Estados miembros deberán garantizar que las entidades críticas implementan las medidas adecuadas, las cuales estarán descritas en un plan de resiliencia o similar. De esta forma, se conseguirá evitar que se produzcan incidentes, se garantizará la seguridad de las infraestructuras críticas, se abordarán el impacto y recuperación de los incidentes, y se garantizará la adecuada gestión de la seguridad laboral. Las entidades críticas tendrán que desarrollar iniciativas para cumplir con los nuevos mandatos para la resiliencia. Por ejemplo, es posible que tengan que adaptar sus propios marcos de gestión de riesgos y resiliencia para que estén alineados con los generados a raíz de la Directiva y ajustar los roles, responsabilidades y procesos de presentación de informes a los mandatos regulatorios de sus Estados miembros.


Acción requerida: Las entidades críticas deberán considerar la posibilidad de designar personal específico para que gestione aquellas tareas relacionadas con el cumplimiento de los requisitos establecidos en el mandato. Esta idea podría también resultar en la creación de un puesto más senior, por ejemplo, un Chief Resilience Officer (CRO) o similar, para que se encargue de dirigir y vigilar el enfoque general de la organización.


6. Artículo 15: Notificación de incidentes

En un plazo de 24 horas tras la detección del incidente que cause o pueda causar una interrupción en la prestación de servicios esenciales, se solicitará a la entidad crítica que haga llegar una notificación inicial a la autoridad competente (a no ser que sea imposible a nivel operativo). Dicha notificación deberá incluir información sobre la naturaleza, causa origen y posibles consecuencias del incidente, así como posibles impactos transfronterizos. Una vez haya transcurrido un mes tras la detección, la entidad crítica deberá hacer entrega de un informe detallado que incluya el número y porcentaje de usuarios afectados, la duración de la interrupción y el área geográfica afectada.

Acción requerida: Las entidades críticas deberán revisar y renovar sus métodos y herramientas para la detección de incidentes, medición de impacto y presentación de informes, para así poder cumplir con los plazos y requisitos establecidos. Es probable que este requisito implique el uso de tecnología, hecho que deberá tenerse en cuenta con suficiente antelación de cara a cumplir con el plazo fijado en julio de 2026.
 

7. Artículo 20: Apoyo de la Comisión a las autoridades competentes y a las entidades críticas

Con el objetivo de apoyar a los Estados miembros y a las entidades críticas, la Comisión Europea preparará un resumen a nivel Unión de los riesgos transfronterizos y transectoriales, organizará misiones de asesoramiento, y facilitará el intercambio de información. Asimismo, la Comisión Europea, con el asesoramiento del Grupo de Resiliencia de las Entidades Críticas, desarrollará un conjunto de buenas prácticas, directrices y metodologías, y ejercicios de formación transfronterizos para dar apoyo y poner a prueba la resiliencia de las entidades críticas.

Acción requerida: Las entidades críticas no deberán permanecer a la espera de recibir directrices para comenzar a construir o mejorar sus relaciones con los stakeholders dentro de su sector y a nivel transfronterizo. Esto podría conseguirse mediante ejercicios transectoriales, colaboraciones transfronterizas, foros e intercambios de información.


8. Artículo 21: Supervisión y ejecución
Los Estados miembros garantizarán que las autoridades competentes puedan realizar inspecciones in situ de la infraestructura e instalaciones de la entidad crítica, realizar o solicitar las auditorías pertinentes, y recopilar cualquier otra información necesaria para verificar que se hayan implementado las medidas establecidas de conformidad con la legislación nacional derivada de esta Directiva. Además, el Artículo 22 otorga a los Estados miembros la facultad de establecer sanciones "efectivas, proporcionadas y disuasorias" por infracciones de las disposiciones nacionales adoptadas en virtud de la Directiva. Aunque la Directiva CER carece de la naturaleza vinculante que tendría un Reglamento de la UE, establece objetivos que los Estados miembros deberán alcanzar, dejándoles la tarea de elaborar sus propias leyes, que determinarán cómo alcanzar esos objetivos. Por lo tanto, los Estados miembros deberán desarrollar sus propias políticas (en línea con cualquier directriz y acto de ejecución emitido por la Comisión Europea) y formular leyes nacionales que internalicen y se basen en los requisitos mínimos establecidos a nivel de la UE.

Acción requerida: Las entidades críticas deberán revisar sus capacidades de cumplimiento y presentación de informes en previsión de mayores expectativas que surgirán como resultado de las tareas de supervisión y ejecución exigidas por de la Directiva CER.


Además de los artículos específicos y las acciones que las organizaciones deberán tener en cuenta, este esfuerzo requerirá el respaldo de todos los altos ejecutivos y miembros del Consejo en las entidades críticas. Esto garantizará que las iniciativas se implementen plenamente sin vulnerabilidades que puedan evidenciar un incumplimiento. Lograr esta participación ahora será crucial para lograr el éxito general.
 

Cada minuto cuenta

Los Estados miembros y las entidades críticas se enfrentan a un ambicioso calendario para implementar las disposiciones de la Directiva CER, que requerirá también importantes recursos por parte de muchos Estados miembros y entidades críticas. Consideramos que todas aquellas organizaciones que se vean o puedan llegar a verse afectadas por esta Directiva deberán comenzar de forma inmediata a determinar cuál será el impacto específico, qué recursos se necesitan y cómo proceder para cumplir con los requisitos establecidos en la Directiva.

Cómo puede ayudar Deloitte

Deloitte cuenta con una comunidad global de Crisis y Resiliencia de más de 1000 profesionales a nivel internacional, y más de 300 se encuentran en Europa. Trabajamos en diferentes industrias para identificar y establecer buenas prácticas y nuevos enfoques para abordar las crisis y la resiliencia.

Hemos diseñado, implementado, integrado y ofrecido nuestro apoyo en programas de resiliencia para una amplia gama de clientes a nivel global, muchos de los cuales se encuentran en un proceso de cumplimiento de las regulaciones y directrices legislativas.

Ayudamos a las organizaciones a estar preparadas ante posibles interrupciones del servicio, pero también les ofrecemos servicios de asistencia cuando se producen interrupciones con un alto impacto. Sabemos lo que funciona y lo que no, así como la mejor manera de atraer el éxito mediante el diseño de enfoques y el desarrollo de capacidades que sean adecuadas y se adapten a nuestros clientes, la industria y el ecosistema en el que trabajan, sin olvidar los riesgos a los que se enfrentan. Nuestros servicios específicos incluyen:

  • Evaluaciones de madurez de la resiliencia
  • Evaluaciones y controles del riesgo empresarial
  • Diseño de una estrategia de resiliencia y de un modelo operativo objetivo
  • Planificación de escenarios y escaneo de horizontes
  • Desarrollo de capacidades mediante formación y coaching
  • Pruebas de estrés
  • Ejercicios en diferentes escenarios, incluidos ejercicios de simulación tabletop y simulaciones en vivo
  • Reporte, datos e información sobre capacidades de resiliencia

Para más información puedes contactar con:

Jose Maria Fernandez
jfernandezlachica@deloitte.es


Did you find this useful?

Thanks for your feedback