Resiliencia y Seguridad ropea promulga en 2022, al mismo tiempo que la CER, la Directiva 2022/2555 (NIS2) que viene a confirmar el abandono del modelo integral de seguridad que surgió de la Directiva PIC. La transposición de estas dos directivas ofrecía al legislador español la posibilidad de proyectar de nuevo una visión holística sobre la protección de los servicios esenciales, refundiendo ambas en un solo texto legal, sin dejar de respetar las previsiones de la Unión Europea, pero diseñando un sistema integrado que respondiera a las necesidades de seguridad y resiliencia de todas las entidades de interés. Como quiera que no se está haciendo así, la Fundación Borredá planteó esta cuestión como primera observación en su escrito de alegaciones al anteproyecto de Ley de Protección y Resiliencia de Entidades Críticas. Por decirlo, una vez más, que no quede. Alegaciones recogidas En este escrito de alegaciones, la Fundación Borredá recogió las elaboradas por nuestros socios protectores y entorno colaborativo, que representan el punto de vista de organizaciones del sector con la máxima cualificación. Dada la trascendencia del tema para los profesionales de la seguridad, independientemente de que se compartan o no nuestras observaciones, las difundimos al sector para su conocimiento. Al margen del contenido de nuestro escrito, la reciente crisis del apagón, nos brinda una magnífica oportunidad para hacer alguna reflexión que incluimos al final de este artículo. Las observaciones formuladas se centran en los siguientes aspectos materiales del anteproyecto: Ámbito de aplicación. Según el texto, quedan fuera de su ámbito de aplicación las materias reguladas en la ley por la que se transpone la Directiva (UE) 2022/2555 (NIS2), es decir, la ciberseguridad. A este respecto, entendemos que regular la resiliencia de las entidades críticas sin tener en cuenta su ciberseguridad, configura un marco normativo que puede calificarse, como mínimo, de poco operativo. Cierto que la disposición adicional 4ª, que excluye expresamente a las entidades críticas del sector bancario, de las infraestructuras de los mercados financieros y de las infraestructuras digitales, matiza la exclusión al prever la aplicación de esta ley con carácter supletorio en todo aquello que no esté regulado de forma específica y equivalente por el Reglamento DORA. Y más aún, la disposición indica que, pese a la exclusión, podrán adoptarse disposiciones destinadas a alcanzar un mayor nivel de resiliencia de dichas entidades, siempre que resulten coherentes con el derecho comunitario que les sea aplicable. Creemos que este loable intento de flexibilización, aparte de generar alguna inseguridad, viene a confirmar nuestra posición. Delegado de seguridad. El artículo 7, que regula el sistema de planificación para la protección y resiliencia de las entidades críticas, establece en su apartado 4 que los Planes de Apoyo Operativo serán elaborados por las Fuerzas y Cuerpos de Seguridad (FCS) en relación con cada una de las infraestructuras críticas existentes en su demarcación territorial de competencia, operadas por las distintas entidades críticas. El texto parece no tener en cuenta que los diferentes cuerpos policiales tienen atribuidas competencias funcionales que exceden el ámbito territorial ordinario, no solo entre FCS, sino incluso con policías autonómicas, por lo que, para evitar conflictos de competencias, bastaría hablar de “ámbito de competencias”. En todo caso, la experiencia de la aplicación de la Ley 8/2011, PIC, indica que cada infraestructura crítica debería mantener la figura del delegado de seguridad en la instalación, con el que interactuarían las FCS en los planes de apoyo operativo. / Mayo-Junio 2025 35
RkJQdWJsaXNoZXIy MTI4MzQz