La UE da un paso adelante para identificar las entidades críticas de los sectores clave

La Comisión ha adoptado una lista de servicios esenciales en los once sectores cubiertos por la Directiva sobre la resiliencia de las entidades críticas (RCE), que entró en vigor el 16 de enero de 2023. Las entidades críticas prestan servicios esenciales para mantener funciones sociales clave, apoyar la economía, garantizar la salud y la seguridad públicas y preservar el medio ambiente.

Los Estados miembros tendrán que identificar las entidades críticas para los sectores establecidos en la Directiva RCE antes del 17 de julio de 2026. Utilizarán esta lista de servicios esenciales para llevar a cabo evaluaciones de riesgos e identificar a continuación las entidades críticas. Una vez identificadas, las entidades críticas tendrán que tomar medidas para mejorar su resiliencia.

Lista de servicios esenciales

La Comisión ha propuesto la siguiente lista no exhaustiva de servicios esenciales para el mantenimiento de las funciones vitales de la sociedad, las actividades económicas, la salud y la seguridad públicas o el medio ambiente, para los once sectores y subsectores cubiertos por la Directiva:

1. Sector energético, con servicios como la producción de electricidad y el almacenamiento de energía;
2. Sector del transporte, con servicios como la gestión y el mantenimiento de infraestructuras aeroportuarias o ferroviarias;
3. Sector bancario, con servicios esenciales como la captación de depósitos y la concesión de préstamos;
4. Sector de infraestructuras de mercados financieros, con servicios como la explotación de centros de negociación y de sistemas de compensación;
5. Sector sanitario, con distribución, fabricación, prestación de asistencia sanitaria y servicios médicos;
6. Sector del agua potable, con suministro y distribución de agua potable;
7. Sector de aguas residuales, con servicios de recogida, tratamiento y eliminación de aguas residuales;
8. Sector de las infraestructuras digitales, con servicios como la prestación y explotación del servicio de punto de intercambio de Internet, sistema de nombres de dominio, dominio de nivel superior, computación en nube y centro de datos;
9. Servicios del sector de la administración pública;
10. Sector espacial, con la explotación de servicios de infraestructuras terrestres;
11. Sector de la producción, transformación y distribución de alimentos, con la producción y transformación industrial de alimentos a gran escala, servicios de la cadena de suministro de alimentos y servicios de distribución mayorista de alimentos.

Próximos pasos

El acto delegado adoptado por la Comisión entrará en vigor únicamente si, en un plazo de dos meses desde su notificación, ni el Parlamento Europeo ni el Consejo formulan objeciones o si, antes del vencimiento de dicho plazo, tanto el Parlamento Europeo como el Consejo informan a la Comisión de que no las formularán. Este plazo puede prorrogarse dos meses a iniciativa del Parlamento Europeo o del Consejo.

Contexto

En 2020, la Comisión propuso una importante actualización de las normas de la UE sobre la resistencia de las entidades críticas y la seguridad de las redes y los sistemas de información. El 16 de enero entraron en vigor dos directivas clave sobre infraestructuras críticas y digitales con el fin de reforzar la resiliencia de la UE frente a las amenazas en línea y fuera de línea, desde los ciberataques a la delincuencia, los riesgos para la salud pública o las catástrofes naturales: la Directiva sobre la resiliencia de las entidades críticas (Directiva CER) y la Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión (Directiva NIS 2), que entraron en vigor el 16 de enero de 2023.

Más información: Comisión Europea