/ Mayo-Junio 2025 36 Resiliencia y Seguridad cuando en la disposición adicional 7ª dispone que las entidades críticas establecerán sistemas de reconocimiento biométrico de identificación o autenticación en todas o algunas de sus instalaciones. Igualmente, la disposición adicional 8ª dispone que las entidades críticas establecerán sistemas antidrones de detección en todas o algunas de sus instalaciones con objeto de garantizar su protección. Estas tecnologías estaban restringidas hasta ahora en el ámbito de la seguridad de instalaciones civiles, pero, por fin, el legislador deposita su confianza en las entidades, críticas en este caso, y abre la puerta a su uso. No obstante, nos parece excesivo exigir a todas las entidades críticas la instalación de estos sistemas, no siempre necesarios. En este sentido, debería simplemente autorizárseles a su instalación según su propio análisis de riesgos: “podrán establecer...”. En cuanto a los sistemas antidrones, las especiales necesidades de protección que caracterizan a estas entidades no solo aconsejan su habilitación para permitir la detección de estos artefactos, sino incluso para proceder a su neutralización. Cuentan para ello con personal de reconocida fiabilidad, que actúa en el marco de los planes de seguridad pública (Planes de Apoyo Operativo) bajo la dirección y coordinación de las FCS. continuidad, que actuarían apoyados por el área de seguridad y por otras. A este efecto, el responsable de resiliencia no debería precisar ningún tipo de habilitación administrativa. No obstante, podría crearse en esta ley una habilitación específica para esta figura, administrada por el Centro Nacional para la Protección y Resiliencia de las Entidades Críticas (CNPREC), remitiendo al desarrollo reglamentario su concreción. Criterios de graduación de las sanciones. El artículo 29. d) establece como uno de los criterios para la graduación de las sanciones la solidez financiera de la entidad crítica. A este respecto, creemos que la solidez financiera de la entidad no debería influir a la hora de establecer la cuantía económica de la sanción; habrá que tener en cuenta otros criterios subjetivos que configuren el perfil del infractor, pero este no debería ser uno de ellos, máxime cuando ya se contemplan sanciones del dos por ciento del volumen de negocio anual. Por otra parte, no resultará fácil evaluar la solidez financiera del infractor y se generaría por ello inseguridad jurídica si no se define claramente cómo se mide y aplica ese criterio, o aún peor, podría dar pie a la arbitrariedad. Nuevas tecnologías. Hemos de felicitarnos por el espíritu práctico y aperturista que muestra el legislador Responsable de seguridad y resiliencia. En su artículo 8, que regula el Plan de Resiliencia, el anteproyecto habla de garantizar una protección física adecuada de las instalaciones e infraestructuras críticas de la entidad. Pero, como ya hemos expuesto, entendemos que con vistas a la resiliencia no debe atenderse únicamente a la protección física de las entidades, toda vez que los ataques cibernéticos pueden producir consecuencias en la infraestructura física y viceversa. Por otra parte, la ley debería exigir que el plan de resiliencia incluya la obligación de realizar simulacros de incidencias, junto con las Fuerzas y Cuerpos de Seguridad competentes. La experiencia del último apagón eléctrico ratifica esta necesidad. Se establece también en este artículo que las entidades críticas deben designar a una persona, unidad u órgano como responsable de seguridad y resiliencia de la entidad, a efectos del cumplimiento de las obligaciones previstas en esta ley, que deberá contar con la habilitación de director de Seguridad expedida por el Ministerio del Interior, según lo previsto en la normativa de seguridad privada. Conviene recordar que la habilitación de director de Seguridad solo faculta para asumir la responsabilidad del cumplimiento de las disposiciones de la Ley de Seguridad Privada, pero este responsable lo es del cumplimiento de esta ley, no de la de seguridad privada. Por otra parte, la resiliencia de una entidad crítica implica a más áreas que a la de seguridad, por cuyo motivo las entidades podrían asignar esta función a departamentos de la empresa relacionados directamente con el negocio, más capacitados para la toma de decisiones relativas a su Las alegaciones elaboradas por nuestros socios protectores y entorno colaborativo representan el punto de vista de organizaciones del sector con la máxima cualificación
RkJQdWJsaXNoZXIy MTI4MzQz