Resiliencia y Seguridad / Mayo-Junio 2025 31 22301. En cualquier caso, sería altamente recomendable contar con expertos cualificados en resiliencia operativa para el desarrollo reglamentario, asegurando así que las medidas sean efectivas, proporcionales y adaptadas a la realidad de cada entidad y su cadena de suministro. Por último, aunque se están impulsando acciones para disponer de reservas estratégicas de ciertos recursos esenciales, considero que sería lógico, desde una perspectiva de continuidad del Estado y de protección de los servicios esenciales a la ciudadanía, avanzar hacia un marco de resiliencia más amplio, orientado a la continuidad de gobierno. Este enfoque ya ha sido desarrollado en otros países, como Estados Unidos, a través de su plan de continuidad de gobierno, donde las entidades críticas forman parte del ecosistema institucional de resiliencia. Quizás el futuro desarrollo de la Estrategia Nacional de Protección y Resiliencia pueda ofrecer el marco necesario para abordar estos desafíos estructurales. pios de gestión del riesgo que promueve el propio anteproyecto, al no considerar adecuadamente el riesgo inherente ni permitir valorar el impacto real de los controles sobre el riesgo residual. Por ejemplo, exigir los mismos requisitos a un centro logístico periférico y a una subestación crítica para el sistema eléctrico no refleja adecuadamente la criticidad diferencial de ambos activos. Estoy convencido de que este aspecto ya habrá sido contemplado incluso con anterioridad a la aparición de la directiva. En lugar de diseñar un sistema de certificación completamente nuevo y de aplicación exclusivamente nacional (algo especialmente problemático para entidades que operan en varios países europeos), podría haberse optado por integrar las exigencias de la Directiva CER con otros marcos ya existentes. Por ejemplo, en la transposición de NIS2 se acepta el Esquema Nacional de Seguridad (ENS), y de la misma forma para la CER se podría tener como referencia certificaciones internacionales como la ISO clave para la autonomía estratégica y la continuidad del Estado. En primer lugar, convendría aclarar qué se entiende por resiliencia desde la perspectiva del anteproyecto y su marco de referencia CER. Si atendemos a la literatura existente, se puede deducir que nos encontramos ante un enfoque centrado en la resiliencia operativa estrechamente vinculada a la continuidad de negocio, tal como ha sido normalizada internacionalmente (por ejemplo, en la ISO 22301). Como ya señalaba, la continuidad de negocio responde a una lógica táctica, orientada a planificar y ejecutar respuestas ante escenarios que puedan comprometer los procesos críticos de una organización. Sin embargo, en la práctica, los procesos que una entidad considera críticos pueden no coincidir plenamente con los definidos como esenciales desde el enfoque regulador. Por ejemplo, procesos como la facturación o la gestión del flujo de caja, que no afectan directamente al suministro físico del servicio esencial, podrían quedar fuera de la consideración normativa, a pesar de su impacto real en la viabilidad operativa de la entidad. Además, la implementación de esta ley supondrá un esfuerzo organizativo y financiero considerable, especialmente para aquellas entidades que aún no hayan desarrollado un marco maduro de seguridad y resiliencia. Por ello, sería deseable que se articularan mecanismos de apoyo económico, así como planes de transición realistas, que permitan alcanzar los niveles de madurez requeridos en un horizonte temporal razonable. Respecto al sistema de certificación propuesto, si bien representa un avance para estandarizar medidas de seguridad y resiliencia, también presenta algunas limitaciones. Su enfoque prescriptivo puede entrar en conflicto con los princi-
RkJQdWJsaXNoZXIy MTI4MzQz