INFORME sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la resiliencia de las entidades críticas

15.10.2021 - (COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)) - ***I

Comisión de Libertades Civiles, Justicia y Asuntos de Interior
Ponente: Michal Šimečka
Ponentes de opinión (*):
Nils Torvalds, Comisión de Industria, Investigación y Energía
Alex Agius Saliba, Comisión de Mercado Interior y Protección del Consumidor
(*) Comisiones asociadas – artículo 57 del Reglamento interno


Procedimiento : 2020/0365(COD)
Ciclo de vida en sesión
Ciclo relativo al documento :  
A9-0289/2021
Textos presentados :
A9-0289/2021
Textos aprobados :

PROYECTO DE RESOLUCIÓN LEGISLATIVA DEL PARLAMENTO EUROPEO

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la resiliencia de las entidades críticas

(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))

(Procedimiento legislativo ordinario: primera lectura)

El Parlamento Europeo,

 Vista la propuesta de la Comisión al Parlamento Europeo y al Consejo [COM(2020)0829],

 Vistos el artículo 294, apartado 2, y el artículo 114 del Tratado de Funcionamiento de la Unión Europea, conforme a los cuales la Comisión le ha presentado su propuesta (C9-0421/2020),

 Visto el artículo 294, apartado 3, del Tratado de Funcionamiento de la Unión Europea,

 Visto el artículo 59 de su Reglamento interno,

 Vistos los dictámenes de la Comisión de Industria, Investigación y Energía, la Comisión de Mercado Interior y Protección del Consumidor, la Comisión de Asuntos Exteriores y la Comisión de Transportes y Turismo,

 Visto el informe de la Comisión de Libertades Civiles, Justicia y Asuntos de Interior (A9-0289/2021),

1. Aprueba la Posición en primera lectura que figura a continuación;

2. Pide a la Comisión que le consulte de nuevo si sustituye su propuesta, la modifica sustancialmente o se propone modificarla sustancialmente;

3. Encarga a su presidente que transmita la Posición del Parlamento al Consejo y a la Comisión, así como a los Parlamentos nacionales.


 

Enmienda  1

Propuesta de Directiva

Considerando 1

 

Texto de la Comisión

Enmienda

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, adaptarse y recuperarse de incidentes que puedan perturbar las operaciones de la entidad crítica.

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, reaccionar, adaptarse y recuperarse de incidentes que puedan perturbar la prestación de servicios esenciales por parte de la entidad crítica, la libre circulación de servicios esenciales y el funcionamiento del mercado interior.

_________________

_________________

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

18 SWD (2019) 308.

18 SWD (2019) 308.

Enmienda  2

Propuesta de Directiva

Considerando 2

 

Texto de la Comisión

Enmienda

(2) A pesar de las medidas existentes a escala nacional y de la Unión19 destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan esas infraestructuras no están adecuadamente equipadas para hacer frente a los riesgos actuales y previstos para sus operaciones, que pueden dar lugar a perturbaciones en la prestación de servicios esenciales para el desempeño de funciones sociales o actividades económicas vitales. Esto se debe al panorama dinámico de las amenazas, con una amenaza terrorista en evolución y crecientes interdependencias entre infraestructuras y sectores, así como al aumento del riesgo físico a causa de los desastres naturales y el cambio climático, que aumenta la frecuencia y la escala de fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad y la eficiencia de determinados tipos de infraestructuras si no se aplican medidas de resiliencia o adaptación al cambio climático. Además, los sectores y tipos de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros.

(2) A pesar de las medidas existentes a escala nacional y de la Unión19 destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan esas infraestructuras no siempre están adecuadamente equipadas para hacer frente a los riesgos actuales y previstos para sus operaciones, que pueden dar lugar a perturbaciones en la prestación de servicios esenciales para el desempeño de funciones sociales o actividades económicas vitales. Esto se debe al panorama dinámico de las amenazas, con unas amenazas híbridas y terroristas en evolución y crecientes interdependencias entre infraestructuras y sectores, así como al aumento del riesgo físico a causa de los desastres naturales y el cambio climático, que aumenta la frecuencia y la escala de fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad, la eficiencia y la vida útil de determinados tipos de infraestructuras si no se aplican medidas de resiliencia o adaptación al cambio climático. Además, los sectores y tipos de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros. A escala de la Unión, no existe una lista única reconocida de sectores de infraestructuras críticas, sino que diferentes actos jurídicos regulan diferentes sectores.

_________________

_________________

19 Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC).

19 Programa Europeo para la Protección de Infraestructuras Críticas (PEPIC).

Enmienda  3

Propuesta de Directiva

Considerando 2 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(2 bis) Algunas infraestructuras críticas tienen una dimensión paneuropea, como la Organización Europea para la Seguridad de la Navegación Aérea (Eurocontrol), y el Sistema Europeo Global de Navegación por Satélite (Galileo).

Enmienda  4

Propuesta de Directiva

Considerando 3

 

Texto de la Comisión

Enmienda

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la producción, la transformación y el suministro de alimentos, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación de los servicios esenciales, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

Enmienda  5

Propuesta de Directiva

Considerando 4

 

Texto de la Comisión

Enmienda

(4) Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, sino que también obstaculiza el correcto funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos.

(4) Las entidades que intervienen en la prestación de servicios esenciales están sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo crea distintos niveles de resiliencia, sino que también afecta negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión y provoca una competencia desleal que obstaculiza el correcto funcionamiento del mercado interior. Los inversores y las empresas pueden fiarse de entidades críticas que sean resilientes y confiar en ellas, siendo la fiabilidad y la confianza esenciales para el buen funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos. Un marco europeo, por lo tanto, también debe tener el efecto de crear unas condiciones de competencia equitativas para las entidades críticas en toda la Unión.

Enmienda  6

Propuesta de Directiva

Considerando 5

 

Texto de la Comisión

Enmienda

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas.

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y su libre circulación en este, aumentar la resiliencia de las entidades críticas y mejorar la cooperación transfronteriza de las autoridades competentes. Es esencial que tales normas tengan perspectivas de futuro. A tal fin, el objetivo de la presente Directiva es hacer que las entidades críticas sean resilientes, mejorando así su capacidad para garantizar la continua prestación de servicios esenciales frente a un conjunto variado de riesgos. Dado que la presente Directiva establece unas normas mínimas, los Estados miembros son libres de adoptar o mantener normas más estrictas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas.

Enmienda  7

Propuesta de Directiva

Considerando 6

 

Texto de la Comisión

Enmienda

(6) A fin de alcanzar ese objetivo, los Estados miembros tienen que identificar las entidades críticas que deben estar sujetas a unos requisitos y una supervisión específicos, pero también recibir apoyo y orientación específicos destinados a lograr un alto nivel de resiliencia frente a todos los riesgos pertinentes.

(6) A fin de alcanzar ese objetivo, los Estados miembros tienen que identificar las entidades críticas que prestan servicios esenciales en los sectores y subsectores enumerados en el anexo de la presente Directiva. Dichas entidades críticas deben estar sujetas a unos requisitos y una supervisión específicos, pero también recibir apoyo y orientación específicos destinados a lograr un alto nivel de resiliencia frente a todos los riesgos pertinentes.

Enmienda  8

Propuesta de Directiva

Considerando 7

 

Texto de la Comisión

Enmienda

(7) Algunos sectores de la economía, como la energía y el transporte, ya están regulados o pueden regularse en el futuro mediante actos sectoriales del Derecho de la Unión que contengan normas relativas a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son esenciales para el correcto funcionamiento del mercado interior, tales medidas sectoriales específicas deben complementarse con las medidas previstas en la presente Directiva, que crea un marco general regulador de la resiliencia de las entidades críticas con respecto a todos los peligros, es decir, naturales y provocados por el hombre, accidentales e intencionados.

(7) Algunos sectores de la economía, como la energía y el transporte, ya están regulados o pueden regularse en el futuro mediante actos sectoriales del Derecho de la Unión que contengan normas relativas a determinados aspectos de la resiliencia de las entidades que operan en dichos sectores. Con el fin de abordar de manera global la resiliencia de las entidades que son esenciales para el correcto funcionamiento del mercado interior, tales medidas sectoriales específicas deben considerarse lex specialis y complementarse con las medidas previstas en la presente Directiva, que crea un marco general regulador de la resiliencia de las entidades críticas con respecto a todos los peligros, es decir, naturales y provocados por el hombre, accidentales e intencionados.

Enmienda  9

Propuesta de Directiva

Considerando 8

 

Texto de la Comisión

Enmienda

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo20 [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)]. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo20 [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)]. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales. Por consiguiente, las autoridades competentes designadas en virtud de la Directiva SRI 2 serán responsables de la supervisión de las entidades clasificadas como entidades críticas o las entidades equivalentes a entidades críticas con arreglo a la presente Directiva, por lo que respecta a los asuntos comprendidos en el ámbito de aplicación de dicha Directiva.

_________________

_________________

20 [Referencia a la Directiva SRI 2, una vez adoptada.]

20 [Referencia a la Directiva SRI 2, una vez adoptada.]

Enmienda  10

Propuesta de Directiva

Considerando 10

 

Texto de la Comisión

Enmienda

(10) Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro deberá contar con una estrategia que establezca los objetivos y las medidas políticas que hayan de aplicarse. Para ello, los Estados miembros deberán velar por que sus estrategias de ciberseguridad establezcan un marco político para mejorar la coordinación entre las autoridades competentes en virtud de la presente Directiva y de la Directiva SRI 2 en el contexto del intercambio de información sobre incidentes y ciberamenazas y del ejercicio de las tareas de supervisión.

(10) Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro deberá contar con una estrategia que establezca los objetivos y las medidas políticas que hayan de aplicarse. Para ello, y teniendo en cuenta el carácter híbrido de muchas amenazas y la estrategia de resiliencia de la Unión elaborada por el Grupo de Resiliencia de Entidades Críticas, creado por la presente Directiva, los Estados miembros deberán velar por que sus estrategias establezcan un marco político para mejorar la coordinación entre las autoridades competentes de los Estados miembros en virtud de la presente Directiva y de la Directiva SRI 2, que incluya el intercambio de información sobre incidentes y amenazas, y del ejercicio de las tareas de supervisión.

Enmienda  11

Propuesta de Directiva

Considerando 11

 

Texto de la Comisión

Enmienda

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes, también los riesgos intersectoriales y transfronterizos, que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las amenazas híbridas, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo, la infiltración de la delincuencia y el sabotaje. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los Estados miembros no deberán considerar un «riesgo» los riesgos normales del negocio para las operaciones que derivan de las condiciones del mercado ni el riesgo derivado de la toma de decisiones democráticas. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva. A petición de las entidades críticas con sede en terceros países, la Comisión también debe ser capaz de apoyar a estas ofreciendo asesoramiento especializado.

Enmienda  12

Propuesta de Directiva

Considerando 12

 

Texto de la Comisión

Enmienda

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. Por lo tanto, deben establecerse criterios para identificar las entidades críticas. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer unas normas armonizadas mínimas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. Por lo tanto, deben establecerse criterios y metodologías comunes para identificar las entidades críticas de forma transparente. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

Enmienda  13

Propuesta de Directiva

Considerando 13 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(13 bis) De conformidad con la normativa aplicable nacional y de la Unión, en particular el Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo 1 bis para el control de las inversiones extranjeras directas en la Unión, ha de cobrarse conciencia de la potencial amenaza que representa la propiedad extranjera de infraestructuras críticas en el seno de la Unión, puesto que los servicios, la economía, la libre circulación y la seguridad de los ciudadanos de la Unión dependen del correcto funcionamiento de dichas infraestructuras. Es vital que los Estados miembros y la Comisión permanezcan alerta ante las inversiones financieras llevadas a cabo por países extranjeros en relación con la actividad de entidades críticas en el seno de la Unión y a las consecuencias que dichas inversiones podrían tener sobre la capacidad de evitar perturbaciones significativas.

 

_________________

 

1 bis Reglamento (UE) 2019/452 del Parlamento Europeo y del Consejo, de 19 de marzo de 2019, para el control de las inversiones extranjeras directas en la Unión (DO L 79 I de 21.3.2019, p. 1).

Enmienda  14

Propuesta de Directiva

Considerando 15

 

Texto de la Comisión

Enmienda

(15) El acervo de la UE en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Está integrado por el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo22, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo23 y el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo24, así como el Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo25 y la Directiva 2013/36/UE del Parlamento Europeo y del Consejo26. La Comisión ha propuesto recientemente complementar este marco con el Reglamento XX/YYYY del Parlamento Europeo y del Consejo [propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «el Reglamento DORA»)27], que establece los requisitos para que las entidades financieras gestionen los riesgos de las TIC, incluida la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de las entidades enumeradas en los puntos 3 y 4 del anexo está plenamente cubierta por el acervo de la UE en materia de servicios financieros, esas entidades también deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II de la presente Directiva. A fin de garantizar una aplicación coherente de las normas sobre el riesgo operativo y la resiliencia digital en el sector financiero, las autoridades designadas con arreglo al artículo 41 del [Reglamento DORA] deberán garantizar el apoyo de los Estados miembros al aumento de la resiliencia global de las entidades financieras equivalentes a las entidades críticas, con sujeción a los procedimientos establecidos en dicha legislación de manera plenamente armonizada.

(15) El acervo de la UE en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Está integrado por el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo22, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo23 y el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo24, así como el Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo25 y la Directiva 2013/36/UE del Parlamento Europeo y del Consejo26. La Comisión ha propuesto recientemente complementar este marco con el Reglamento XX/YYYY del Parlamento Europeo y del Consejo [propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «el Reglamento DORA»)27], que establece los requisitos para que las entidades financieras gestionen los riesgos de las TIC, incluida la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de las entidades enumeradas en los puntos 3 y 4 del anexo está plenamente cubierta por el acervo de la UE en materia de servicios financieros, esas entidades también deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II de la presente Directiva y, en consecuencia, dichas entidades no deberán estar sujetas a las obligaciones establecidas en los capítulos III a VI de la esta Directiva. A fin de garantizar una aplicación coherente de las normas sobre el riesgo operativo y la resiliencia digital en el sector financiero, las autoridades designadas con arreglo al artículo 41 del [Reglamento DORA] deberán garantizar el apoyo de los Estados miembros al aumento de la resiliencia global de las entidades financieras equivalentes a las entidades críticas, con sujeción a los procedimientos establecidos en dicha legislación de manera plenamente armonizada.

_________________

_________________

22 Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

22 Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

24 Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

24 Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

25 Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

25 Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

26 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

26 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

27 Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 [COM(2020) 595].

27 Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 [COM(2020) 595].

Enmienda  15

Propuesta de Directiva

Considerando 16

 

Texto de la Comisión

Enmienda

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz, también con las autoridades competentes de otros Estados miembros. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión, también con las autoridades competentes de otros Estados miembros.

Enmienda  16

Propuesta de Directiva

Considerando 17

 

Texto de la Comisión

Enmienda

(17) A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro deberá designar, sin perjuicio de los requisitos jurídicos sectoriales de la Unión, en el seno de una de las autoridades que haya designado como autoridad competente en virtud de la presente Directiva, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión a este respecto.

(17) A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro deberá designar, sin perjuicio de los requisitos jurídicos sectoriales de la Unión, en el seno de una de las autoridades que haya designado como autoridad competente en virtud de la presente Directiva, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión a este respecto. Cada punto de contacto único deberá servir de enlace y coordinar toda la comunicación con las autoridades competentes de su Estado miembro, con los puntos de contacto únicos de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas. Los puntos de contacto únicos deberán utilizar canales de información eficaces, seguros, estandarizados y armonizados.

Enmienda  17

Propuesta de Directiva

Considerando 18

 

Texto de la Comisión

Enmienda

(18) Dado que, en virtud de la Directiva SRI 2, las entidades identificadas como entidades críticas, así como las entidades identificadas en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades.

(18) Las entidades identificadas como entidades críticas en virtud de la presente Directiva, así como las entidades en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2. Por consiguiente, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar de manera efectiva y coherente, en particular en relación con los riesgos e incidentes que afecten a dichas entidades. Es importante que los Estados miembros tomen medidas para evitar la duplicidad de la notificación y los controles, y para garantizar que las estrategias y los requisitos previstos en la presente Directiva y en la Directiva SRI 2 sean complementarios y que las entidades críticas no estén sujetas a una carga administrativa que se exceda de lo necesario para alcanzar el objetivo de la presente Directiva.

Enmienda  18

Propuesta de Directiva

Considerando 19

 

Texto de la Comisión

Enmienda

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, en particular las que se consideren pequeñas o medianas empresas (pymes), de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros deberán desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Cuando sea necesario y esté justificado por objetivos de interés público, los Estados miembros deben poder proporcionar recursos financieros a las entidades críticas, sin perjuicio de las normas aplicables en materia de ayudas estatales. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio de información y buenas prácticas entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

Enmienda  19

Propuesta de Directiva

Considerando 19 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(19 bis) Al aplicar la presente Directiva, es importante que los Estados miembros adopten todas las medidas necesarias para evitar toda carga administrativa excesiva, en especial para las pymes, y cualquier duplicación o cualquier obligación innecesaria. Es vital que los Estados miembros brinden el asesoramiento y el apoyo adecuado a las pymes, cuando lo soliciten, adoptando las medidas técnicas y organizativas que se exigen en la presente Directiva.

Enmienda  20

Propuesta de Directiva

Considerando 20

 

Texto de la Comisión

Enmienda

(20) Para poder garantizar su resiliencia, las entidades críticas deberán tener una comprensión cabal de todos los riesgos pertinentes a los que están expuestas y analizar dichos riesgos. A tal fin, deberán llevar a cabo evaluaciones de riesgos, siempre que sea necesario habida cuenta de sus circunstancias particulares y de la evolución de tales riesgos, pero, en cualquier caso, cada cuatro años. Las evaluaciones de riesgos realizadas por las entidades críticas deberán basarse en la evaluación de riesgos llevada a cabo por los Estados miembros.

(20) Para poder garantizar su resiliencia, las entidades críticas deberán tener una comprensión cabal de todos los riesgos pertinentes a los que están expuestas y analizar dichos riesgos. A tal fin, deberán llevar a cabo evaluaciones de riesgos, siempre que sea necesario habida cuenta de sus circunstancias particulares y de la evolución de tales riesgos, pero, en cualquier caso, cada cuatro años. Las evaluaciones de riesgos realizadas por las entidades críticas deberán basarse en la evaluación de riesgos llevada a cabo por los Estados miembros y respetar criterios y metodologías comunes.

Enmienda  21

Propuesta de Directiva

Considerando 23

 

Texto de la Comisión

Enmienda

(23) El Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo28, el Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo29 y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo30 establecen requisitos aplicables a las entidades de los sectores del transporte aéreo y marítimo para prevenir incidentes causados por actos ilícitos, y para resistir y mitigar las consecuencias de tales incidentes. Si bien las medidas exigidas en la presente Directiva son más amplias en términos de riesgos y tipos de medidas que han de adoptarse, las entidades críticas de esos sectores deberán reflejar en su plan de resiliencia o en los documentos equivalentes las medidas adoptadas en virtud de esos otros actos de la Unión. Además, si se aplican medidas de resiliencia en virtud de la presente Directiva, las entidades críticas podrán considerar la posibilidad de remitirse a directrices no vinculantes y documentos de buenas prácticas elaborados en el marco de líneas de trabajo sectoriales, como la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE31.

(23) El Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo28, el Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo29 y la Directiva 2005/65/CE del Parlamento Europeo y del Consejo30 establecen requisitos aplicables a las entidades de los sectores del transporte aéreo y marítimo para prevenir incidentes causados por actos ilícitos, y para resistir y mitigar las consecuencias de tales incidentes. Si bien las medidas exigidas en la presente Directiva son más amplias en términos de riesgos y tipos de medidas que han de adoptarse, las entidades críticas de esos sectores deberán reflejar en su plan de resiliencia o en los documentos equivalentes las medidas adoptadas en virtud de esos otros actos de la Unión. Además, las entidades críticas también deben tener en cuenta la Directiva 2008/96/CE del Parlamento Europeo y del Consejo 30 bis, que introduce una evaluación de las carreteras del conjunto de la red para cartografiar los riesgos de accidentes y una inspección específica de seguridad vial para identificar las condiciones peligrosas, los defectos y los problemas que aumentan el riesgo de accidentes y lesiones, sobre la base de una inspección sobre el terreno de una carretera o tramo de carretera existente. Garantizar la protección y la resiliencia de las entidades críticas es de suma importancia para el sector ferroviario y se anima a las entidades críticas a que se remitan a directrices no vinculantes y documentos de buenas prácticas al aplicar medidas de resiliencia en virtud de la presente Directiva en el marco de líneas de trabajo sectoriales, como la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE 31.

_________________

_________________

28 Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.º 2320/2002 (DO L 97/72 de 9.4.2008, p. 72).

28 Reglamento (CE) n.º 300/2008 del Parlamento Europeo y del Consejo, de 11 de marzo de 2008, sobre normas comunes para la seguridad de la aviación civil y por el que se deroga el Reglamento (CE) n.º 2320/2002 (DO L 97/72 de 9.4.2008, p. 72).

29 Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).

29 Reglamento (CE) n.º 725/2004 del Parlamento Europeo y del Consejo, de 31 de marzo de 2004, relativo a la mejora de la protección de los buques y las instalaciones portuarias (DO L 129 de 29.4.2004, p. 6).

30 Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).

30 Directiva 2005/65/CE del Parlamento Europeo y del Consejo, de 26 de octubre de 2005, sobre mejora de la protección portuaria (DO L 310 de 25.11.2005, p. 28).

 

30 bis Directiva 2008/96/CE del Parlamento Europeo y del Consejo, de 19 de noviembre de 2008, sobre gestión de la seguridad de las infraestructuras viarias (DO L 319 de 29.11.2008, p. 59).

31 Decisión de la Comisión, de 29 de junio de 2018, por la que se crea la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE C/2018/4014.

31 Decisión de la Comisión, de 29 de junio de 2018, por la que se crea la Plataforma de Seguridad de los Pasajeros Ferroviarios de la UE C/2018/4014.

Enmienda  22

Propuesta de Directiva

Considerando 24

 

Texto de la Comisión

Enmienda

(24) El riesgo de que los empleados de las entidades críticas hagan un uso indebido, por ejemplo, de sus derechos de acceso dentro de la organización de la entidad para causar daños y perjuicios es cada vez más preocupante. Este riesgo se ve agravado por el creciente fenómeno de la radicalización que conduce al extremismo violento y al terrorismo. Por tanto, es necesario permitir que las entidades críticas soliciten controles de los antecedentes personales de las personas pertenecientes a categorías específicas de su personal y garantizar que dichas solicitudes sean evaluadas rápidamente por las autoridades competentes, de conformidad con las normas aplicables del Derecho de la Unión y nacional, incluida la protección de datos personales.

(24) El riesgo de que los empleados de las entidades críticas hagan un uso indebido, por ejemplo, de sus derechos de acceso dentro de la organización de la entidad para causar daños y perjuicios es cada vez más preocupante. Este riesgo se ve agravado por el creciente fenómeno de la radicalización que conduce al extremismo violento y al terrorismo. Por tanto, es necesario permitir que las entidades críticas soliciten controles de los antecedentes personales de las personas pertenecientes a categorías específicas de su personal y garantizar que dichas solicitudes sean evaluadas rápidamente por las autoridades competentes, de conformidad con las normas aplicables del Derecho de la Unión y nacional, incluida la protección de datos personales, en particular, el Reglamento (UE) 2016/679.

Enmienda  23

Propuesta de Directiva

Considerando 25

 

Texto de la Comisión

Enmienda

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos.

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, y, en cualquier caso, a más tardar veinticuatro horas después de tener conocimiento del incidente en cuestión, a las autoridades competentes de los Estados miembros todo incidente que perturbe o pueda perturbar de forma significativa sus operaciones. La autoridad competente deberá informar al público de dicho incidente en caso de que determine que hacerlo redundaría en el interés público. La autoridad competente deberá velar por que la entidad crítica de que se trate informe del incidente a los usuarios de sus servicios que pudieran verse afectados por dicho incidente y, si procede, de las posibles medidas de seguridad o soluciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos, sin demoras injustificadas. La información sobre los incidentes deberá ser tratada de forma que se respete su confidencialidad y se proteja la seguridad y los intereses comerciales de la entidad crítica de que se trate.

Enmienda  24

Propuesta de Directiva

Considerando 26

 

Texto de la Comisión

Enmienda

(26) Si bien las entidades críticas operan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de ellas revisten especial importancia para la Unión, ya que prestan servicios esenciales a un gran número de Estados miembros y, por lo tanto, requieren una supervisión específica a escala de la Unión. Por consiguiente, deberán establecerse normas sobre la supervisión específica de las entidades críticas de particular importancia europea. Dichas normas se entenderán sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva.

(26) Si bien las entidades críticas operan generalmente como parte de una red cada vez más interconectada de prestación de servicios e infraestructuras y a menudo prestan servicios esenciales en más de un Estado miembro, algunas de ellas revisten especial importancia para la Unión y el mercado interior, ya que prestan servicios esenciales a varios Estados miembros y, por lo tanto, requieren una supervisión específica a escala de la Unión. Por consiguiente, deberán establecerse normas sobre la supervisión específica de las entidades críticas de particular importancia europea. Dichas normas se entenderán sin perjuicio de las normas sobre supervisión y ejecución establecidas en la presente Directiva.

Enmienda  25

Propuesta de Directiva

Considerando 27 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

(27 bis) La normalización debe seguir siendo un proceso impulsado fundamentalmente por el mercado. No obstante, puede haber situaciones en las que sea conveniente exigir el cumplimiento de normas específicas a nivel de la Unión. La Comisión y los Estados miembros apoyarán y promoverán el desarrollo y la aplicación de normas y especificaciones pertinentes para la resiliencia de las entidades críticas, tal como establecen las organizaciones europeas de normalización, para la adopción de medidas técnicas y organizativas destinadas a garantizar la resiliencia de las entidades críticas. Los Estados miembros también deberán fomentar el uso de normas y especificaciones aceptadas internacionalmente que sean pertinentes para las medidas de resiliencia aplicables a las entidades críticas.

Enmienda  26

Propuesta de Directiva

Considerando 30

 

Texto de la Comisión

Enmienda

(30) Los Estados miembros deberán velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deberán incluir, en particular, la facultad de llevar a cabo inspecciones, actividades de supervisión y auditorías; exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, emitir órdenes para subsanar las infracciones detectadas. Al emitir tales órdenes, los Estados miembros no deberán exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica. En términos más generales, estas competencias deberán ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional, de conformidad con los requisitos derivados de la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones en virtud de la presente Directiva, las autoridades competentes designadas en virtud de la presente Directiva deberán poder solicitar a las autoridades competentes designadas en virtud de la Directiva SRI 2 que evalúen la ciberseguridad de esa entidad. Dichas autoridades competentes deberán cooperar e intercambiar información a tal efecto.

(30) Los Estados miembros deberán velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deberán incluir, en particular, la facultad de llevar a cabo inspecciones, actividades de supervisión y auditorías; exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, emitir órdenes para subsanar las infracciones detectadas. Al emitir tales órdenes, los Estados miembros no deberán exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica. En términos más generales, estas competencias deberán ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional, de conformidad con los requisitos derivados de la Carta de los Derechos Fundamentales de la Unión Europea. La evaluación de las entidades críticas en el marco de la presente Directiva, en asuntos que entran en el ámbito de aplicación de la Directiva SRI 2, como la ciberseguridad física y no física, es responsabilidad de las autoridades competentes designadas en virtud de la Directiva SRI 2. Además, al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones en virtud de la presente Directiva, las autoridades competentes designadas en virtud de la presente Directiva deberán poder solicitar a las autoridades competentes designadas en virtud de la Directiva SRI 2 que evalúen la ciberseguridad de esa entidad. Dichas autoridades competentes deberán cooperar e intercambiar información a tal efecto.

Enmienda  27

Propuesta de Directiva

Considerando 31

 

Texto de la Comisión

Enmienda

(31) A fin de tener en cuenta los nuevos riesgos, los avances tecnológicos o las especificidades de uno o varios sectores, deberán delegarse en la Comisión las competencias necesarias para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de complementar las medidas de resiliencia que deban adoptar las entidades críticas, especificando en mayor medida algunas o todas ellas. Reviste especial importancia que la Comisión evacúe las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación32. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus propios expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de los actos delegados.

(31) A fin de tener en cuenta los nuevos riesgos, los avances tecnológicos o las especificidades de uno o varios sectores, deberán delegarse en la Comisión las competencias necesarias para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea con el fin de complementar las medidas de resiliencia que deban adoptar las entidades críticas, especificando en mayor medida algunas o todas ellas. Con el fin de evitar divergencias en la aplicación de la presente Directiva y de mejorar el funcionamiento del mercado interior, las competencias para adoptar actos con arreglo al artículo 290 del Tratado de Funcionamiento de la Unión Europea deberán delegarse en la Comisión para que complemente la presente Directiva con la elaboración de una lista común de servicios esenciales. Reviste especial importancia que la Comisión evacúe las consultas oportunas durante la fase preparatoria, en particular con expertos, y que esas consultas se realicen de conformidad con los principios establecidos en el Acuerdo interinstitucional de 13 de abril de 2016 sobre la mejora de la legislación32. En particular, a fin de garantizar una participación equitativa en la preparación de los actos delegados, el Parlamento Europeo y el Consejo reciben toda la documentación al mismo tiempo que los expertos de los Estados miembros, y sus propios expertos tienen acceso sistemáticamente a las reuniones de los grupos de expertos de la Comisión que se ocupan de la preparación de los actos delegados.

_________________

_________________

32 DO L 123 de 12.5.2016, p. 1.

32 DO L 123 de 12.5.2016, p. 1.

Enmienda  28

Propuesta de Directiva

Artículo 1 – apartado 1 – parte introductoria

 

Texto de la Comisión

Enmienda

1. La presente Directiva:

1. La presente Directiva establece medidas destinadas a alcanzar un elevado nivel de resiliencia de las entidades críticas con el fin de garantizar la prestación de servicios esenciales en el seno de la Unión y de mejorar el funcionamiento del mercado interior. A tal fin, la presente Directiva:

Enmienda  29

Propuesta de Directiva

Artículo 1 – párrafo 1 – letra a

 

Texto de la Comisión

Enmienda

a) establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades y entidades críticas que deberán considerarse equivalentes en determinados aspectos y para permitirles cumplir sus obligaciones;

a) establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación continua en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades y entidades críticas que deberán considerarse equivalentes en determinados aspectos y para permitirles cumplir sus obligaciones;

Enmienda  30

Propuesta de Directiva

Artículo 1, apartado 2

 

Texto de la Comisión

Enmienda

2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) XX/AA [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión; (en lo sucesivo, «la Directiva SRI 2»), sin perjuicio de lo dispuesto en el artículo 7.

2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) XX/AA [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión; (en lo sucesivo, «la Directiva SRI 2»), sin perjuicio de lo dispuesto en el artículo 7. Habida cuenta de las interrelaciones entre la ciberseguridad y la seguridad física de las entidades, los Estados miembros garantizarán una aplicación coherente de la presente Directiva y la Directiva SRI 2.

Enmienda  31

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 3

 

Texto de la Comisión

Enmienda

3) cualquier acontecimiento que pueda perturbar o que perturbe las operaciones de la entidad crítica; «infraestructura»:

3) cualquier acontecimiento que pueda perturbar o que perturbe la prestación de un servicio esencial por una entidad crítica; «infraestructura»:

Enmienda  32

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 4

 

Texto de la Comisión

Enmienda

4) un activo, sistema o parte del mismo, necesario para la prestación de un servicio esencial; «servicio esencial»:

4) activos, incluidas instalaciones, sistemas y equipos, o partes de los mismos, necesarios para la prestación de un servicio esencial; «servicio esencial»:

Enmienda  33

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 5

 

Texto de la Comisión

Enmienda

5) un servicio que sea esencial para el mantenimiento de funciones sociales o actividades económicas vitales; «riesgo»:

5) un servicio que sea esencial para el mantenimiento de funciones sociales, actividades económicas vitales, la seguridad y la salud públicas, el medio ambiente o el Estado de Derecho;

Enmienda  34

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 6

 

Texto de la Comisión

Enmienda

6) cualquier circunstancia o hecho que pueda tener un efecto adverso potencial en la resiliencia de las entidades críticas;

6) cualquier circunstancia o hecho que pueda tener un efecto adverso potencial en la capacidad de una entidad crítica para prestar un servicio esencial;

Enmienda  35

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 7

 

Texto de la Comisión

Enmienda

7) «evaluación de riesgos»: una metodología para determinar la naturaleza y el alcance de un riesgo mediante el análisis de amenazas y peligros potenciales, y la evaluación de las condiciones de vulnerabilidad existentes que podrían perturbar las operaciones de la entidad crítica.

7) «evaluación de riesgos»: una metodología para determinar la naturaleza y el alcance de un riesgo mediante la evaluación de amenazas y peligros potenciales contra la resiliencia de una entidad crítica, analizando las condiciones de vulnerabilidad existentes que podrían dar lugar a una perturbación de las operaciones de una entidad crítica y evaluando el potencial efecto adverso que la perturbación de las operaciones podría tener en la prestación de servicios esenciales.

Enmienda  36

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 7 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

7 bis) «norma»: una norma de conformidad con la definición que figura en el artículo 2, punto 1, del Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo 1 bis;

 

____________

 

1 bis Reglamento (UE) n.º 1025/2012 del Parlamento Europeo y del Consejo, de 25 de octubre de 2012, sobre la normalización europea, por el que se modifican las Directivas 89/686/CEE y 93/15/CEE del Consejo y las Directivas 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE y 2009/105/CE del Parlamento Europeo y del Consejo y por el que se deroga la Decisión 87/95/CEE del Consejo y la Decisión n.º 1673/2006/CE del Parlamento Europeo y del Consejo (DO L 316 de 14.11.2012, p. 12).

Enmienda  37

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 7 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

7 ter) «especificación técnica»: una especificación técnica de conformidad con la definición recogida en el artículo 2, apartado 4 , del Reglamento (UE) n.º 1025/2012.

Enmienda  38

Propuesta de Directiva

Artículo 3 – apartado 1

 

Texto de la Comisión

Enmienda

1. A más tardar el [tres años después de la entrada en vigor de la presente Directiva], cada Estado miembro adoptará una estrategia para reforzar la resiliencia de las entidades críticas. Esta estrategia establecerá objetivos estratégicos y medidas de actuación con vistas a alcanzar y mantener un alto nivel de resiliencia por parte de dichas entidades críticas y abarcará, como mínimo, los sectores enumerados en el anexo.

1. Previa consulta abierta a todas las partes interesadas, a más tardar el [tres años después de la entrada en vigor de la presente Directiva], cada Estado miembro adoptará una estrategia para reforzar la resiliencia de las entidades críticas. Esta estrategia tendrá en cuenta la estrategia de la Unión en materia de resiliencia elaborada por el Grupo de Resiliencia de las Entidades Críticas recogida en el artículo 16 y establecerá objetivos estratégicos y medidas de actuación con vistas a alcanzar y mantener un alto nivel de resiliencia por parte de dichas entidades críticas y abarcará, como mínimo, los sectores enumerados en el anexo.

Enmienda  39

Propuesta de Directiva

Artículo 3 – apartado 2 – letra c

 

Texto de la Comisión

Enmienda

c) una descripción de las medidas necesarias para aumentar la resiliencia global de las entidades críticas, incluida una evaluación nacional de riesgos, la identificación de las entidades críticas y de las entidades equivalentes a entidades críticas, y las medidas de apoyo a las entidades críticas adoptadas de conformidad con el presente capítulo;

c) una descripción de las medidas necesarias para aumentar la resiliencia global de las entidades críticas, incluida una evaluación nacional de riesgos, de conformidad con el artículo 4, la identificación de las entidades críticas y de las entidades equivalentes a entidades críticas, y las medidas de apoyo a las entidades críticas adoptadas de conformidad con el presente capítulo, en particular las medidas para mejorar la cooperación entre los sectores público y privado y las entidades públicas y privadas;

Enmienda  40

Propuesta de Directiva

Artículo 3 – apartado 2 – letra c bis (nueva)

 

Texto de la Comisión

Enmienda

 

c bis) una lista de todas las autoridades y partes que participan en la ejecución de la estrategia;

Enmienda  41

Propuesta de Directiva

Artículo 3 – apartado 2 – letra d bis (nueva)

 

Texto de la Comisión

Enmienda

 

d bis) un marco estratégico que aborde las necesidades y características específicas de las pequeñas y medianas empresas identificadas como entidades críticas para mejorar su resiliencia;

Enmienda  42

Propuesta de Directiva

Artículo 3 – apartado 2 – letra d ter (nuevo)

 

Texto de la Comisión

Enmienda

 

d ter) los aspectos pertinentes de la estrategia nacional de ciberseguridad prevista en la Directiva SRI 2 y de cualquier otra estrategia nacional sectorial, en aras de la coordinación, la complementariedad y las sinergias.

Enmienda  43

Propuesta de Directiva

Artículo 3 – apartado 2 – párrafo 1

 

Texto de la Comisión

Enmienda

La estrategia se actualizará cuando sea necesario y al menos cada cuatro años.

Tras una consulta abierta a todas las entidades afectadas en el Estado miembro correspondiente, la estrategia se actualizará cuando sea necesario y al menos cada cuatro años.

Enmienda  44

Propuesta de Directiva

Artículo 4 – apartado 1 – párrafo 1

 

Texto de la Comisión

Enmienda

1. Las autoridades competentes designadas de conformidad con el artículo 8 elaborarán una lista de los servicios esenciales en los sectores mencionados en el anexo. Llevarán a cabo, a más tardar el [tres años después de la entrada en vigor de la presente Directiva], y posteriormente cuando sea necesario, al menos cada cuatro años, una evaluación de todos los riesgos pertinentes que puedan afectar a la prestación de tales servicios esenciales, con vistas a identificar las entidades críticas de conformidad con el artículo 5, apartado 1, y ayudar a dichas entidades a adoptar medidas con arreglo al artículo 11.

1. La Comisión está facultada para adoptar un acto delegado de conformidad con el artículo 21 para que complemente la presente Directiva con el fin de elaborar una lista de los servicios esenciales en los sectores, subsectores y tipos de entidades mencionados en el anexo. La Comisión adoptará los actos delegados correspondientes en el plazo máximo de seis meses a partir del … [fecha de entrada en vigor de la presente Directiva]. Las autoridades competentes designadas de conformidad con el artículo 8 llevarán a cabo, a más tardar el [tres años después de la entrada en vigor de la presente Directiva], y posteriormente cuando sea necesario, al menos cada cuatro años, una evaluación de todos los riesgos pertinentes que puedan afectar a la prestación de los servicios esenciales enumerados en el acto delegado, con vistas a identificar las entidades críticas de conformidad con el artículo 5, apartado 1, y ayudar a dichas entidades a adoptar medidas con arreglo al artículo 11.

Enmienda  45

Propuesta de Directiva

Artículo 4 – apartado 1 – párrafo 2

 

Texto de la Comisión

Enmienda

La evaluación de riesgos tendrá en cuenta todos los riesgos naturales y de origen humano pertinentes, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas antagónicas, en particular los delitos de terrorismo con arreglo a la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo34.

La evaluación de riesgos tendrá en cuenta todos los riesgos naturales y de origen humano pertinentes, incluidos aquellos de naturaleza intersectorial o transfronteriza, los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas antagónicas, en particular los delitos de terrorismo con arreglo a la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo34.

_________________

_________________

34 Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo, por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

34 Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo, por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

Enmienda  46

Propuesta de Directiva

Artículo 4 – apartado 2 – párrafo 1 – letra c

 

Texto de la Comisión

Enmienda

c) cualquier riesgo derivado de las dependencias entre los sectores mencionados en el anexo, incluidos los de otros Estados miembros y terceros países, y el impacto que una perturbación en un sector pueda tener en otros sectores;

c) cualquier riesgo derivado de las dependencias entre los sectores mencionados en el anexo, incluidos los de otros Estados miembros y terceros países, y el impacto que una perturbación en un sector pueda tener en otros sectores, en particular los riesgos para los ciudadanos y el mercado interior;

Enmienda  47

Propuesta de Directiva

Artículo 4 – apartado 3

 

Texto de la Comisión

Enmienda

3. Los Estados miembros pondrán los elementos pertinentes de la evaluación de riesgos a que se refiere el apartado 1 a disposición de las entidades críticas que hayan identificado con arreglo al artículo 5, con el fin de ayudar a dichas entidades en la realización de su evaluación de riesgos, de conformidad con el artículo 10, y en la adopción de medidas para garantizar su resiliencia de conformidad con el artículo 11.

3. A través del punto de contacto único recogido en el artículo 8, apartado 2, los Estados miembros pondrán los elementos pertinentes de la evaluación de riesgos a que se refiere el apartado 1 a disposición de las entidades críticas que hayan identificado con arreglo al artículo 5, con el fin de ayudar a dichas entidades en la realización de su evaluación de riesgos, de conformidad con el artículo 10, y en la adopción de medidas para garantizar su resiliencia de conformidad con el artículo 11.

Enmienda  48

Propuesta de Directiva

Artículo 4 – apartado 5

 

Texto de la Comisión

Enmienda

5. La Comisión, en cooperación con los Estados miembros, podrá elaborar un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.

5. La Comisión, en cooperación con los Estados miembros, elaborará un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.

Enmienda  49

Propuesta de Directiva

Artículo 5 – apartado 2 – parte introductoria

 

Texto de la Comisión

Enmienda

2. Al identificar las entidades críticas con arreglo al apartado 1, los Estados miembros tendrán en cuenta los resultados de la evaluación de riesgos con arreglo al artículo 4 y aplicarán los siguientes criterios:

2. Al identificar las entidades críticas con arreglo al apartado 1, los Estados miembros tendrán en cuenta los resultados de la evaluación de riesgos con arreglo al artículo 4 y la estrategia sobre resiliencia de las entidades críticas a que se refiere el artículo 3 y aplicarán los siguientes criterios:

Enmienda  50

Propuesta de Directiva

Artículo 5 – apartado 2 – letra b

 

Texto de la Comisión

Enmienda

b) la prestación de dicho servicio depende de la infraestructura situada en el Estado miembro, así como

b) la prestación de dicho servicio esencial depende de la infraestructura situada en el Estado miembro, así como

Enmienda  51

Propuesta de Directiva

Artículo 5 – apartado 2 – letra c

 

Texto de la Comisión

Enmienda

c) un incidente tendría efectos perturbadores significativos en la prestación de ese servicio o de otros servicios esenciales en los sectores mencionados en el anexo que dependen del servicio.

c) un incidente tendría efectos perturbadores significativos en la prestación de ese servicio esencial o de otros servicios esenciales en los sectores mencionados en el anexo que dependen del servicio.

Enmienda  52

Propuesta de Directiva

Artículo 5 – apartado 5

 

Texto de la Comisión

Enmienda

5. Tras la notificación a que se refiere el apartado 3, los Estados miembros velarán por que las entidades críticas faciliten a sus autoridades competentes designadas de conformidad con el artículo 8 de la presente Directiva información sobre si han sido identificadas como entidades críticas en otro u otros Estados miembros. Cuando una entidad haya sido identificada como entidad crítica por dos o más Estados miembros, estos se consultarán mutuamente con el fin de reducir la carga de obligaciones de la entidad crítica en virtud del capítulo III.

5. Tras la notificación a que se refiere el apartado 3, los Estados miembros velarán por que las entidades críticas faciliten a sus autoridades competentes designadas de conformidad con el artículo 8 de la presente Directiva información sobre si han sido identificadas como entidades críticas en otro u otros Estados miembros. Cuando una entidad haya sido identificada como entidad crítica por dos o más Estados miembros, estos se consultarán mutuamente con el fin de lograr el mayor grado posible de coherencia y reducir la carga de obligaciones de la entidad crítica en virtud del capítulo III.

Enmienda  53

Propuesta de Directiva

Artículo 5 – apartado 6

 

Texto de la Comisión

Enmienda

6. A efectos del capítulo IV, los Estados miembros velarán por que las entidades críticas, tras la notificación a que se refiere el apartado 3, faciliten a sus autoridades competentes, designadas con arreglo al artículo 8 de la presente Directiva, información sobre su eventual prestación de servicios esenciales a un tercio o más de los Estados miembros. En tal caso, el Estado miembro de que se trate notificará sin demora indebida a la Comisión la identidad de dichas entidades críticas.

6. A efectos del capítulo IV, los Estados miembros velarán por que las entidades críticas, tras la notificación a que se refiere el apartado 3, faciliten a sus autoridades competentes, designadas con arreglo al artículo 8 de la presente Directiva, información sobre su eventual prestación de servicios esenciales iguales o similares a tres o más Estados miembros. En tal caso, el Estado miembro de que se trate notificará sin demora indebida a la Comisión la identidad de dichas entidades críticas.

 

Enmienda  54

Propuesta de Directiva

Artículo 5 – apartado 7 – párrafo 2

 

Texto de la Comisión

Enmienda

Cuando esas actualizaciones conduzcan a la identificación de entidades críticas adicionales, se aplicarán los apartados 3, 4, 5 y 6. Además, los Estados miembros velarán por que las entidades que ya no estén identificadas como entidades críticas en virtud de una actualización de este tipo reciban la notificación pertinente y sean informadas de que ya no están sujetas a las obligaciones establecidas en el capítulo III a partir de la fecha de recepción de esa información.

Cuando esas actualizaciones conduzcan a la identificación de entidades críticas adicionales, se aplicarán los apartados 3, 4, 5 y 6. Además, los Estados miembros velarán por que las entidades que ya no estén identificadas como entidades críticas en virtud de una actualización de este tipo reciban la notificación pertinente y sean informadas a su debido tiempo de que ya no están sujetas a las obligaciones establecidas en el capítulo III a partir de la fecha de recepción de esa información.

Enmienda  55

 

Propuesta de Directiva

Artículo 5 – apartado 7 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

7 bis. La Comisión, en cooperación con los Estados miembros, elaborará recomendaciones y directrices para ayudar a los Estados miembros a determinar entidades críticas.

Enmienda  56

Propuesta de Directiva

Artículo 6 – apartado 1 – letra a

 

Texto de la Comisión

Enmienda

a) el número de usuarios que dependen del servicio prestado por la entidad;

a) el número de usuarios que dependen del servicio esencial prestado por la entidad;

Enmienda  57

Propuesta de Directiva

Artículo 6 – apartado 1 – letra b

 

Texto de la Comisión

Enmienda

b) la dependencia de otros sectores mencionados en el anexo con respecto a dicho servicio;

b) la dependencia de otros sectores o subsectores mencionados en el anexo o la cadena de suministro con respecto a dicho servicio esencial;

Enmienda  58

Propuesta de Directiva

Artículo 6 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) la zona geográfica que podría verse afectada por un incidente, incluido cualquier impacto transfronterizo;

e) la zona geográfica que podría verse afectada por un incidente, incluido cualquier impacto transfronterizo, teniendo en cuenta la vulnerabilidad asociada al grado de aislamiento de determinados tipos de zonas geográficas, como las regiones insulares, las regiones ultraperiféricas o las zonas montañosas;

Enmienda  59

Propuesta de Directiva

Artículo 6 – apartado 1 – letra f

 

Texto de la Comisión

Enmienda

f) la importancia de la entidad para mantener un nivel de servicio suficiente, teniendo en cuenta la disponibilidad de medios alternativos para la prestación de dicho servicio.

f) la importancia de la entidad para mantener un nivel de servicio esencial suficiente, teniendo en cuenta la disponibilidad de medios alternativos para la prestación de dicho servicio esencial.

Enmienda  60

Propuesta de Directiva

Artículo 6 – apartado 3

 

Texto de la Comisión

Enmienda

3. La Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, podrá adoptar directrices para facilitar la aplicación de los criterios a que se refiere el apartado 1, teniendo en cuenta la información a que se refiere el apartado 2.

3. La Comisión, previa consulta al Grupo de Resiliencia de las Entidades Críticas, deberá adoptar directrices para facilitar la aplicación de los criterios a que se refiere el apartado 1, teniendo en cuenta la información a que se refiere el apartado 2.

Enmienda  61

Propuesta de Directiva

Artículo 7 – apartado 1

 

Texto de la Comisión

Enmienda

1. Por lo que respecta a los sectores a que se refieren los puntos 3, 4 y 8 del anexo, los Estados miembros identificarán, a más tardar el [tres años y tres meses después de la entrada en vigor de la presente Directiva], las entidades que serán tratadas como equivalentes a las entidades críticas a efectos del presente capítulo. Aplicarán a dichas entidades las disposiciones de los artículos 3, 4, 5, apartados 1 a 4 y 7, y 9.

1. Por lo que respecta a los sectores a que se refieren los puntos 3, 4 y 8 del anexo, los Estados miembros identificarán, a más tardar el [un año y seis meses después de la entrada en vigor de la presente Directiva], las entidades que serán tratadas como equivalentes a las entidades críticas a efectos del presente capítulo. Aplicarán a dichas entidades las disposiciones de los artículos 3, 4, 5, apartados 1 a 4 y 7, y 9.

Enmienda  62

Propuesta de Directiva

Artículo 8 – apartado 2

 

Texto de la Comisión

Enmienda

2. Cada Estado miembro designará, dentro de la autoridad competente, un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 16 («punto de contacto único»).

2. Cada Estado miembro designará, dentro de la autoridad competente, un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros y con la Comisión y el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 16 («punto de contacto único») y, si procede, para garantizar la cooperación con los terceros países.

Enmienda  63

Propuesta de Directiva

Artículo 8 – apartado 3

 

Texto de la Comisión

Enmienda

3. A más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva], y posteriormente cada año, el punto de contacto único presentará a la Comisión y al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 13, apartado 3.

3. A más tardar el ... [cuatro años y seis meses después de la entrada en vigor de la presente Directiva], y, posteriormente, en el primer trimestre de cada año, el punto de contacto único presentará a la Comisión y al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 13, apartado 3.

Enmienda  64

Propuesta de Directiva

Artículo 9 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia. Este apoyo podrá incluir el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación de formación al personal de las entidades críticas.

1. Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia. Este apoyo incluirá el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación de formación al personal de las entidades críticas. Los Estados miembros podrán proporcionar recursos financieros a entidades críticas, sin perjuicio de las normas aplicables en materia de ayudas estatales, cuando sea necesario y esté justificado por objetivos de interés público.

Enmienda  65

Propuesta de Directiva

Artículo 10 – párrafo 1

 

Texto de la Comisión

Enmienda

Los Estados miembros velarán por que las entidades críticas evalúen, en el plazo de seis meses a partir de la recepción de la notificación a que se refiere el artículo 5, apartado 3, y posteriormente cuando sea necesario, al menos cada cuatro años, sobre la base de las evaluaciones de riesgos de los Estados miembros y otras fuentes de información pertinentes, todos los riesgos pertinentes que puedan perturbar sus operaciones.

Los Estados miembros velarán por que las entidades críticas evalúen, en el plazo de seis meses a partir de la recepción de la notificación a que se refiere el artículo 5, apartado 3, y posteriormente cuando sea necesario, al menos cada cuatro años, sobre la base de las evaluaciones de riesgos de los Estados miembros y otras fuentes de información pertinentes, todos los riesgos pertinentes que puedan perturbar su prestación de servicios esenciales.

Enmienda  66

Propuesta de Directiva

Artículo 11 – apartado 1 – letra d

 

Texto de la Comisión

Enmienda

d) recuperarse de incidentes, incluidas las medidas de continuidad de las actividades y la identificación de cadenas de suministro alternativas;

d) recuperarse de incidentes, incluidas las medidas de continuidad de las actividades y la identificación de cadenas de suministro alternativas para garantizar la continuidad del servicio esencial;

Enmienda  67

Propuesta de Directiva

Artículo 11 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) garantizar una gestión adecuada de la protección de los empleados, en particular mediante la definición de las categorías de personal que ejerza funciones esenciales, el establecimiento de derechos de acceso a zonas, instalaciones y otras infraestructuras sensibles, y a la información sensible, así como la determinación de categorías específicas de personal con arreglo al artículo 12;

e) garantizar una gestión adecuada de la protección de los empleados, en particular mediante la definición de las categorías de personal que ejerza funciones esenciales, el establecimiento de requisitos de formación y cualificaciones adecuados, el establecimiento de derechos de acceso a zonas, instalaciones y otras infraestructuras sensibles, y a la información sensible, así como la determinación de categorías específicas de personal con arreglo al artículo 12; en caso de que participen proveedores externos en la gestión de la seguridad de los empleados, las entidades críticas velarán por que cumplan las normas y especificaciones generalmente aceptadas

Enmienda  68

Propuesta de Directiva

Artículo 11 – apartado 1 – letra f

 

Texto de la Comisión

Enmienda

f) sensibilizar al personal pertinente sobre las medidas mencionadas en las letras a) a e).

f) sensibilizar al personal pertinente sobre las medidas mencionadas en las letras a) a e) a través de la prestación periódica de formación.

Enmienda  69

Propuesta de Directiva

Artículo 11 – apartado 3

 

Texto de la Comisión

Enmienda

3. A petición del Estado miembro que haya identificado la entidad crítica y con el acuerdo de la entidad crítica de que se trate, la Comisión organizará misiones de asesoramiento, de conformidad con las disposiciones establecidas en el artículo 15, apartados 4, 5, 7 y 8, para asesorar a la entidad crítica de que se trate en el cumplimiento de sus obligaciones con arreglo al capítulo III. La misión de asesoramiento informará de sus conclusiones a la Comisión, al Estado miembro y a la entidad crítica de que se trate.

3. A petición del Estado miembro que haya identificado la entidad crítica y en consulta con la entidad crítica de que se trate, la Comisión organizará misiones de asesoramiento, de conformidad con las disposiciones establecidas en el artículo 15, apartados 4, 5, 7 y 8, para asesorar a la entidad crítica de que se trate en el cumplimiento de sus obligaciones con arreglo al capítulo III. La misión de asesoramiento informará de sus conclusiones a la Comisión, al Estado miembro y a la entidad crítica de que se trate. La Comisión podrá también ofrecer a las entidades con sede en terceros países misiones de evaluación, a petición de estas.

Enmienda  70

Propuesta de Directiva

Artículo 12 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes de comprobación de los antecedentes personales de los miembros de determinadas categorías específicas de su personal, incluidas las personas consideradas para su contratación en puestos pertenecientes a esas categorías, y por que esas solicitudes sean evaluadas rápidamente por las autoridades competentes para efectuar las comprobaciones de antecedentes personales.

1. Los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes de comprobación de los antecedentes personales de los miembros de determinadas categorías específicas de su personal, incluidas las personas consideradas para su contratación en puestos pertenecientes a esas categorías, y por que esas solicitudes sean evaluadas rápidamente por las autoridades competentes para efectuar las comprobaciones de antecedentes personales. Estas comprobaciones de antecedentes personales serán proporcionadas y se limitarán a lo estrictamente necesario y pertinente para el cumplimiento de las obligaciones del personal en cuestión.

Enmienda  71

Propuesta de Directiva

Artículo 12 – apartado 2 – párrafo 1 – parte introductoria

 

Texto de la Comisión

Enmienda

2. De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo38, el control de antecedentes a que se refiere el apartado 1:

2. De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, los Estados miembros velarán por que se lleve a cabo el control de antecedentes a que se refiere el apartado 1 con el único fin de evaluar un posible riesgo para la seguridad de la entidad crítica. El control de antecedentes:

_________________

 

38 DO L 119 de 4.5.2016, p. 1.

 

Enmienda  72

Propuesta de Directiva

Artículo 13 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros velarán por que las entidades críticas notifiquen sin demora indebida a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. Las notificaciones incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, las causas y las posibles consecuencias del incidente, incluida la determinación de cualquier impacto transfronterizo del incidente. Dicha notificación no implicará un aumento de la responsabilidad de las entidades críticas.

1. Los Estados miembros velarán por que las entidades críticas notifiquen sin demora indebida a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. En el plazo de veinticuatro horas después de que la entidad crítica haya tenido conocimiento del incidente, deberá presentarse una notificación inicial, seguida de un informe final detallado a más tardar un mes después. Las notificaciones incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, las causas y las posibles consecuencias del incidente, incluida la determinación de cualquier impacto transfronterizo del incidente. Dicha notificación no implicará un aumento de la responsabilidad de las entidades críticas.

 

En el caso de que un incidente tenga o pueda tener un impacto significativo en entidades críticas o en la continuidad de la prestación de servicios esenciales en más de tres Estados miembros, los Estados miembros velarán por que las entidades críticas afectadas notifiquen dichos incidentes a la Comisión. La Comisión informará al Grupo de Resiliencia de las Entidades Críticas sobre dichas notificaciones sin demora indebida. La Comisión y el Grupo de Resiliencia de las Entidades Críticas, de conformidad con el Derecho de la Unión, tratarán la información recibida como parte de dichas notificaciones de forma que se respete su confidencialidad y se proteja la seguridad y los intereses comerciales de la entidad o entidades críticas de que se trate.

Enmienda  73

Propuesta de Directiva

Artículo 13 – apartado 2 – letra c

 

Texto de la Comisión

Enmienda

c) la zona geográfica afectada por la perturbación o la posible perturbación.

c) la zona geográfica afectada por la perturbación o la posible perturbación, teniendo en cuenta si la zona está aislada geográficamente.

Enmienda  74

Propuesta de Directiva

Artículo 13 – apartado 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

3 bis. La autoridad competente correspondiente presentará cada año un informe resumido a la Comisión y al Grupo de Resiliencia de Entidades Críticas sobre las notificaciones recibidas y las medidas adoptadas de conformidad con el presente artículo.

Enmienda  75

Propuesta de Directiva

Artículo 13 – apartado 4

 

Texto de la Comisión

Enmienda

4. Tan pronto como sea posible tras haber recibido la notificación a que se refiere el apartado 1, la autoridad competente facilitará a la entidad crítica notificadora información pertinente sobre el seguimiento de su notificación, incluida la información que pueda respaldar la respuesta efectiva de la entidad crítica al incidente.

4. Tan pronto como sea posible tras haber recibido la notificación a que se refiere el apartado 1, la autoridad competente facilitará a la entidad crítica notificadora información pertinente sobre el seguimiento de su notificación, incluida la información que pueda respaldar la respuesta efectiva de la entidad crítica al incidente. La autoridad competente informará al público de un incidente en caso de que determine que hacerlo redundaría en el interés público. La autoridad competente velará por que las entidades críticas informen del incidente a los usuarios de sus servicios que podrían verse afectados por dicho incidente y, si procede, de las posibles medidas de seguridad o soluciones.

Enmienda  76

Propuesta de Directiva

Artículo 13 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

Artículo 13 bis

 

Normas

 

Con el fin de fomentar la aplicación coherente de la presente Directiva, los Estados miembros fomentarán, sin imposiciones ni discriminaciones en favor de la utilización de un tipo concreto de tecnología, el uso de normas y especificaciones pertinentes para la seguridad y la resiliencia de las entidades críticas.

Enmienda  77

Propuesta de Directiva

Artículo 14 – apartado 2

 

Texto de la Comisión

Enmienda

2. Una entidad se considerará una entidad crítica de particular importancia europea cuando haya sido identificada como entidad crítica y preste servicios esenciales a un tercio o más de los Estados miembros y haya sido notificada como tal a la Comisión de conformidad con el artículo 5, apartados 1 y 6, respectivamente.

2. Una entidad se considerará una entidad crítica de particular importancia europea cuando haya sido identificada como entidad crítica y preste servicios esenciales iguales o similares a tres o más Estados miembros y haya sido notificada como tal a la Comisión de conformidad con el artículo 5, apartados 1 y 6, respectivamente.

Enmienda  78

Propuesta de Directiva

Artículo 15 – apartado 1 – párrafo 1

 

Texto de la Comisión

Enmienda

A petición de uno o varios Estados miembros o de la Comisión, el Estado miembro en el que esté situada la infraestructura de la entidad crítica de particular importancia europea informará, junto con dicha entidad, a la Comisión y al Grupo de Resiliencia de las Entidades Críticas del resultado de la evaluación de riesgos realizada con arreglo al artículo 10 y de las medidas adoptadas de conformidad con el artículo 11.

A petición de uno o varios Estados miembros o de la Comisión, una entidad crítica de particular importancia europea informará al Grupo de Resiliencia de las Entidades Críticas del resultado de la evaluación de riesgos realizada con arreglo al artículo 10 y de las medidas adoptadas de conformidad con el artículo 11.

Enmienda  79

Propuesta de Directiva

Artículo 15 – apartado 2

 

Texto de la Comisión

Enmienda

2. A petición de uno o varios Estados miembros, o por iniciativa propia, y de acuerdo con el Estado miembro en el que esté situada la infraestructura de la entidad crítica de particular importancia europea, la Comisión organizará una misión de asesoramiento para evaluar las medidas que dicha entidad haya puesto en marcha para cumplir sus obligaciones con arreglo al capítulo III. En caso necesario, las misiones de asesoramiento podrán recabar conocimientos especializados en el ámbito de la gestión del riesgo de catástrofes a través del Centro de Coordinación de la Respuesta a Emergencias.

2. A petición de uno o varios Estados miembros, o por iniciativa propia, y en consulta con el Estado miembro en el que esté situada la infraestructura de la entidad crítica de particular importancia europea, la Comisión organizará una misión de asesoramiento para evaluar las medidas que dicha entidad haya puesto en marcha para cumplir sus obligaciones con arreglo al capítulo III. En caso necesario, las misiones de asesoramiento podrán recabar conocimientos especializados en el ámbito de la gestión del riesgo de catástrofes a través del Centro de Coordinación de la Respuesta a Emergencias.

Enmienda  80

Propuesta de Directiva

Artículo 15 – apartado 4 – párrafo 2

 

Texto de la Comisión

Enmienda

La Comisión organizará el programa de la misión de asesoramiento, en consulta con los miembros de la misión de asesoramiento y de acuerdo con el Estado miembro en el que se encuentre la infraestructura de la entidad crítica o entidad crítica de particular importancia europea de que se trate.

La Comisión organizará el programa de la misión de asesoramiento, en consulta con los miembros de la misión de asesoramiento y el Estado miembro en el que se encuentre la infraestructura de la entidad crítica o entidad crítica de particular importancia europea de que se trate.

Enmienda  81

Propuesta de Directiva

Artículo 16 – apartado 2 – párrafo 1

 

Texto de la Comisión

Enmienda

El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas podrá invitar a representantes de las partes interesadas a participar en su trabajo.

El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas invitará a representantes de las partes interesadas pertinentes a que participen en su trabajo y al Parlamento Europeo a que participe en calidad de observador.

Enmienda  82

Propuesta de Directiva

Artículo 16 – apartado 3 – letra c

 

Texto de la Comisión

Enmienda

c) facilitar el intercambio de mejores prácticas en lo que respecta a la identificación de las entidades críticas por parte de los Estados miembros de conformidad con el artículo 5, también en relación con las dependencias transfronterizas y los riesgos e incidentes;

c) facilitar el intercambio de mejores prácticas en lo que respecta a la identificación de las entidades críticas por parte de los Estados miembros de conformidad con el artículo5, también en relación con las dependencias transfronterizas e intersectoriales y los riesgos e incidentes;

Enmienda  83

Propuesta de Directiva

Artículo 16 – apartado 3 – letra c bis (nueva)

 

Texto de la Comisión

Enmienda

 

c bis) elaborar una estrategia de la Unión sobre resiliencia de conformidad con los objetivos establecidos en la presente Directiva;

Enmienda  84

Propuesta de Directiva

Artículo 16 – apartado 3 – letra h

 

Texto de la Comisión

Enmienda

h) intercambiar información y mejores prácticas en materia de investigación y desarrollo en relación con la resiliencia de las entidades críticas de conformidad con la presente Directiva;

h) intercambiar información y mejores prácticas en materia de innovación, investigación y desarrollo en relación con la resiliencia de las entidades críticas de conformidad con la presente Directiva;

Enmienda  85

Propuesta de Directiva

Artículo 16 – apartado 3 – letra h bis (nueva)

 

Texto de la Comisión

Enmienda

 

h bis) promover y apoyar evaluaciones de riesgos coordinadas y acciones conjuntas entre las entidades críticas;

Enmienda  86

Propuesta de Directiva

Artículo 16 – apartado 5

 

Texto de la Comisión

Enmienda

5. El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente y al menos una vez al año con el Grupo de cooperación creado en virtud de [la Directiva SRI 2] para promover la cooperación estratégica y el intercambio de información.

5. El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente y al menos una vez al año con el Grupo de cooperación creado en virtud de [la Directiva SRI 2] para facilitar la cooperación estratégica y el intercambio de información.

Enmienda  87

Propuesta de Directiva

Artículo 16 – apartado 7

 

Texto de la Comisión

Enmienda

7. La Comisión presentará al Grupo de Resiliencia de las Entidades Críticas un informe resumido de la información facilitada por los Estados miembros de conformidad con el artículo 3, apartado 3, y el artículo 4, apartado 4, a más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva] y, posteriormente cuando sea necesario, al menos cada cuatro años.

7. La Comisión presentará al Grupo de Resiliencia de las Entidades Críticas un informe resumido de la información facilitada por los Estados miembros de conformidad con el artículo 3, apartado 3, y el artículo 4, apartado 4, a más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva] y, posteriormente cuando sea necesario, al menos cada cuatro años. La Comisión publicará regularmente un informe resumido de las actividades del Grupo de Resiliencia de las Entidades Críticas.

 

La Comisión creará una secretaría común para el Grupo de Resiliencia de Entidades Críticas y el Grupo de Cooperación creado en virtud de la Directiva SRI 2 con el fin de facilitar la comunicación entre ambos Grupos y, por consiguiente, de minimizar las ambigüedades entre las diferentes autoridades designadas en virtud de la presente Directiva y la Directiva SRI 2.

Enmienda  88

Propuesta de Directiva

Artículo 17 – apartado 2 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

2 bis. Para recibir y utilizar adecuadamente la información que le ha sido transmitida en virtud del artículo 8, apartado 3, la Comisión llevará un registro de la Unión de incidentes con el objetivo de desarrollar y compartir las mejores prácticas y metodologías.

Enmienda  89

Propuesta de Directiva

Artículo 21 – apartado 2

 

Texto de la Comisión

Enmienda

2. Los poderes para adoptar actos delegados mencionados en el artículo 11, apartado 4, se otorgan a la Comisión por un período de cinco años a partir de la fecha de entrada en vigor de la presente Directiva o cualquier otra fecha fijada por los colegisladores.

2. Los poderes para adoptar actos delegados mencionados en el artículo 4, apartado 1, y el artículo 11, apartado 4, se otorgan a la Comisión por un período de cinco años a partir de la fecha de entrada en vigor de la presente Directiva o cualquier otra fecha fijada por los colegisladores

Enmienda  90

Propuesta de Directiva

Artículo 21 – apartado 3

 

Texto de la Comisión

Enmienda

3. La delegación de poderes mencionada en el artículo 11, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá fin a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. La Decisión no afectará a la validez de los actos delegados ya vigentes.

3. La delegación de poderes mencionada en el artículo 4, apartado 1, y el artículo 11, apartado 4, podrá ser revocada en cualquier momento por el Parlamento Europeo o por el Consejo. La decisión de revocación pondrá fin a la delegación de los poderes que en ella se especifiquen. La decisión surtirá efecto el día siguiente al de su publicación en el Diario Oficial de la Unión Europea o en una fecha posterior indicada en ella. La Decisión no afectará a la validez de los actos delegados ya vigentes.

Enmienda  91

Propuesta de Directiva

Artículo 22 – párrafo 1

 

Texto de la Comisión

Enmienda

A más tardar [cincuenta y cuatro meses después de la entrada en vigor de la presente Directiva], la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúe en qué medida los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva.

A más tardar [cincuenta y cuatro meses después de la entrada en vigor de la presente Directiva], la Comisión presentará un informe al Parlamento Europeo y al Consejo en el que se evalúe en qué medida los Estados miembros han adoptado las medidas necesarias para dar cumplimiento a lo dispuesto en la presente Directiva. Dicho informe contendrá para cada país un capítulo separado dedicado a los progresos concretos en la aplicación.

Enmienda  92

Propuesta de Directiva

Artículo 22 – párrafo 2

 

Texto de la Comisión

Enmienda

La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. El informe evaluará, en particular, el impacto y el valor añadido de la presente Directiva a la hora de garantizar la resiliencia de las entidades críticas y si el ámbito de aplicación de la Directiva debe ampliarse a otros sectores o subsectores. El primer informe se presentará a más tardar el [seis años después de la entrada en vigor de la presente Directiva] y evaluará, en particular, si el ámbito de aplicación de la Directiva debe ampliarse para incluir el sector de la producción, transformación y distribución de alimentos.

La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. El informe evaluará, en particular, el impacto y el valor añadido de la presente Directiva a la hora de garantizar la resiliencia de las entidades críticas y si el ámbito de aplicación de la Directiva debe ampliarse a otros sectores o subsectores. El primer informe se presentará a más tardar el [seis años después de la entrada en vigor de la presente Directiva] y evaluará, en particular, si el ámbito de aplicación de la Directiva debe ampliarse. A tal fin, la Comisión tendrá en cuenta los documentos pertinentes del Grupo de Resiliencia de Entidades Críticas.

Enmienda  93

Propuesta de Directiva

Anexo – tabla – punto 2 – Transporte – letra e (nueva)

 

Texto de la Comisión

2. Transporte

a) Aire

— Las compañías aéreas a que se refiere el artículo 3, punto 4), del Reglamento (CE) n.º 300/200856

— Las entidades gestoras de aeropuertos a que se refiere el artículo 2, punto 2), de la Directiva 2009/12/CE57; los aeropuertos a que se refiere el artículo 2, punto 1), de dicha Directiva, incluidos los aeropuertos principales enumerados en la sección 2 del anexo II del Reglamento(UE) n.º 1315/201358, y las entidades que explotan instalaciones auxiliares en los aeropuertos

— Los operadores de control de la gestión del tránsito que prestan los servicios de control del tránsito aéreo a que se refiere el artículo 2, punto 1), del Reglamento (CE) n.º 549/200459

 

b) Ferrocarril

— Los administradores de infraestructuras a que se refiere el artículo 3, punto 2), de la Directiva 2012/34/UE60

— Las empresas ferroviarias a que se refiere el artículo 3, punto 1), de la Directiva 2012/34/UE, incluidos los explotadores de las instalaciones de servicio a que se refiere el artículo 3, punto 12), de la Directiva 2012/34/UE

 

c) Agua

— Las compañías de transporte terrestre, marítimo y costero de pasajeros y de mercancías mencionadas para el transporte marítimo en el anexo I del Reglamento (CE) n.º 725/200461, con exclusión de los buques explotados por dichas compañías

 

— Los organismos gestores de los puertos a que se refiere el artículo 3, punto 1), de la Directiva 2005/65/CE62, incluidas sus instalaciones portuarias a que se refiere el artículo 2, punto 11), del Reglamento (CE) n.º 725/2004, y las entidades que exploten obras y equipos en los puertos

 

— Los operadores de los servicios de tráfico de buques a que se refiere el artículo 3, letra o), de la Directiva 2002/59/CE63 del Parlamento Europeo y del Consejo

 

d) Carretera

Las autoridades viarias a que se refiere el artículo 2, punto 12), del Reglamento Delegado de la Comisión (UE) n.º 2015/96264, responsables del control de la gestión del tráfico

 

— Los operadores de sistemas de transporte inteligentes a que se refiere el artículo 4, punto 1), de la Directiva 2010/40/UE65

 

Enmienda

2. Transporte

a) Aire

— Las compañías aéreas a que se refiere el artículo 3, punto 4), del Reglamento (CE) n.º 300/200856

— Las entidades gestoras de aeropuertos a que se refiere el artículo 2, punto 2), de la Directiva 2009/12/CE57; los aeropuertos a que se refiere el artículo 2, punto 1), de dicha Directiva, incluidos los aeropuertos principales enumerados en la sección 2 del anexo II del Reglamento(UE) n.º 1315/201358, y las entidades que explotan instalaciones auxiliares en los aeropuertos

— Los operadores de control de la gestión del tránsito que prestan los servicios de control del tránsito aéreo a que se refiere el artículo 2, punto 1), del Reglamento (CE) n.º 549/200459

 

b) Ferrocarril

— Los administradores de infraestructuras a que se refiere el artículo 3, punto 2), de la Directiva 2012/34/UE60

— Las empresas ferroviarias a que se refiere el artículo 3, punto 1), de la Directiva 2012/34/UE, incluidos los explotadores de las instalaciones de servicio a que se refiere el artículo 3, punto 12), de la Directiva 2012/34/UE

 

c) Agua

— Las compañías de transporte terrestre, marítimo y costero de pasajeros y de mercancías mencionadas para el transporte marítimo en el anexo I del Reglamento (CE) n.º 725/200461, con exclusión de los buques explotados por dichas compañías

— Los organismos gestores de los puertos a que se refiere el artículo 3, punto 1), de la Directiva 2005/65/CE62, incluidas sus instalaciones portuarias a que se refiere el artículo 2, punto 11), del Reglamento (CE) n.º 725/2004, y las entidades que exploten obras y equipos en los puertos

— Los operadores de los servicios de tráfico de buques a que se refiere el artículo 3, letra o), de la Directiva 2002/59/CE63 del Parlamento Europeo y del Consejo

 

d) Carretera

Las autoridades viarias a que se refiere el artículo 2, punto 12), del Reglamento Delegado de la Comisión (UE) n.º 2015/96264, responsables del control de la gestión del tráfico

— Los operadores de sistemas de transporte inteligentes a que se refiere el artículo 4, punto 1), de la Directiva 2010/40/UE65

 

e) Transporte público

— Las autoridades de transporte público y los operadores de servicios a los que se refieren las letras b) y d) del artículo 2 del Reglamento (CE) n.º 1370/2007 del Parlamento Europeo y del Consejo65 bis.

 

 

_____________________

 

 

65 bis Reglamento (CE) n.º 1370/2007 del Parlamento Europeo y del Consejo, de 23 de octubre de 2007, sobre los servicios públicos de transporte de viajeros por ferrocarril y carretera y por el que se derogan los Reglamentos (CEE) n.º 1191/69 y (CEE) n.º 1107/70 del Consejo (DO L 315 de 3.12.2007, p. 1).

Enmienda  94

Propuesta de Directiva

Anexo – sección 5 – subsección 6 (nueva)

 

 

 

Texto de la Comisión

Enmienda

Sectores, subsectores y tipos de entidades

Sectores, subsectores y tipos de entidades

5. Salud

5. Salud

— Los prestadores de asistencia sanitaria a que se refiere el artículo 3, letra g), de la Directiva 2011/24/UE19

— Los prestadores de asistencia sanitaria a que se refiere el artículo 3, letra g), de la Directiva 2011/24/UE19

— Los laboratorios de referencia de la UE a que se refiere el artículo 15 del Reglamento [XX] sobre las amenazas transfronterizas graves para la salud

— Los laboratorios de referencia de la UE a que se refiere el artículo 15 del Reglamento [XX] sobre las amenazas transfronterizas graves para la salud

— Las entidades que llevan a cabo las actividades de investigación y desarrollo de medicamentos a que se refiere el artículo 1, punto 2, de la Directiva 2001/83/CE

— Las entidades que llevan a cabo las actividades de investigación y desarrollo de medicamentos a que se refiere el artículo 1, punto 2, de la Directiva 2001/83/CE

— Las entidades que fabrican los productos farmacéuticos básicos y las preparaciones farmacéuticas a que se refiere la sección C, división 21, de la NACE Rev. 2

— Las entidades que fabrican los productos farmacéuticos básicos y las preparaciones farmacéuticas a que se refiere la sección C, división 21, de la NACE Rev. 2

— Las entidades que fabrican los productos sanitarios considerados críticos durante una emergencia de salud pública («lista de productos críticos para emergencias de salud pública») a que se refiere el artículo 20 del Reglamento XXXX

— Las entidades que fabrican los productos sanitarios considerados críticos durante una emergencia de salud pública («lista de productos críticos para emergencias de salud pública») a que se refiere el artículo 20 del Reglamento XXXX

 

— Las entidades con autorización de distribución a que se refiere el artículo 79 de la Directiva 2001/83/CE

Enmienda  95

Propuesta de Directiva

Anexo – Sector 9– Título

 

Texto de la Comisión

Enmienda

9. Administración pública

9. Administración pública e instituciones democráticas

Enmienda  96

Propuesta de Directiva

Anexo – Sector 9– Tipo de entidad– 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

— Gobiernos o asambleas centrales, regionales o locales

Enmienda  97

Propuesta de Directiva

Anexo – sección 10 bis (nueva)

 

Texto de la Comisión

Enmienda

 

10 bis. Producción, transformación y distribución de alimentos

 

— «Empresa alimentaria», de conformidad con el artículo 3, apartado 2, del Reglamento (CE) n.º 178/2002 del Parlamento Europeo y del Consejo1 bis;

 

________________

 

1 bis Reglamento (CE) n.º 178/2002 del Parlamento Europeo y del Consejo, de 28 de enero de 2002, por el que se establecen los principios y los requisitos generales de la legislación alimentaria, se crea la Autoridad Europea de Seguridad Alimentaria y se fijan procedimientos relativos a la seguridad alimentaria (DO L 31 de 1.2.2002, p. 1).



 

OPINIÓN DE LA COMISIÓN DE INDUSTRIA, INVESTIGACIÓN Y ENERGÍA (2.7.2021)

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la resiliencia de las entidades críticas

(COM(2020)0829 – C9-0421/2020 – (2020)0365(COD))

Ponente de opinión: Nils Torvalds

(*)  Comisión asociada – artículo 57 del Reglamento interno

 

 

 

ENMIENDAS

La Comisión de Industria, Investigación y Energía pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda  1

 

Propuesta de Directiva

Considerando 1

 

Texto de la Comisión

Enmienda

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, adaptarse y recuperarse de incidentes que puedan perturbar las operaciones de la entidad crítica.

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, reaccionar, adaptarse y recuperarse de incidentes que puedan perturbar las operaciones de la entidad crítica, poniendo en riesgo el bienestar económico y social general de los ciudadanos.

__________________

__________________

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

18 SWD (2019) 308.

18 SWD (2019) 308.

Enmienda  2

 

Propuesta de Directiva

Considerando 3

 

Texto de la Comisión

Enmienda

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, los alimentos, la industria agroalimentaria, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. La innovación y los avances tecnológicos contribuyen a la creación de nuevas formas y tipos de sistemas de infraestructura que utilizan innovaciones dirigidas a reducir los costes y aumentar la eficiencia y pueden repercutir en el riesgo y la resiliencia. Estas interdependencias significan que cualquier perturbación, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La resiliencia de las infraestructuras energéticas desempeña un papel importante en el crecimiento económico de toda la Unión, y contribuye a garantizar unas condiciones de vida dignas a los consumidores de energía más vulnerables. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

Enmienda  3

 

Propuesta de Directiva

Considerando 4

 

Texto de la Comisión

Enmienda

(4) Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, sino que también obstaculiza el correcto funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos.

(4) Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, sino que también obstaculiza el correcto funcionamiento del mercado interior. La resiliencia de las entidades críticas es muy importante para el funcionamiento del mercado interior y la seguridad de la Unión y sus ciudadanos. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos.

Enmienda  4

 

Propuesta de Directiva

Considerando 5

 

Texto de la Comisión

Enmienda

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas.

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas. Dado que la presente Directiva establece unas normas mínimas, los Estados miembros son libres de adoptar o mantener normas más estrictas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas cuando lo consideren necesario para proteger la seguridad nacional.

Enmienda  5

 

Propuesta de Directiva

Considerando 8

 

Texto de la Comisión

Enmienda

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo20 [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)]. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo20 [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)], evitando solapamientos en pro de la eficacia de estas dos directivas. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

__________________

__________________

20 [Referencia a la Directiva SRI 2, una vez adoptada.]

20 [Referencia a la Directiva SRI 2, una vez adoptada.]

Enmienda  6

 

Propuesta de Directiva

Considerando 11

 

Texto de la Comisión

Enmienda

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo y la infiltración de la delincuencia. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

Enmienda  7

 

Propuesta de Directiva

Considerando 12

 

Texto de la Comisión

Enmienda

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. Por lo tanto, deben establecerse criterios para identificar las entidades críticas. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. La presente Directiva aborda la necesidad de garantizar la continuidad de los servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, sin perjuicio de las competencias nacionales en cuanto a la organización y prestación de servicios públicos. Por lo tanto, deben establecerse criterios para identificar las entidades críticas. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

Enmienda  8

 

Propuesta de Directiva

Considerando 16

 

Texto de la Comisión

Enmienda

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales específicos a nivel nacional o de la Unión o los organismos de supervisión y regulación nacionales y de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

Enmienda  9

 

Propuesta de Directiva

Considerando 18

 

Texto de la Comisión

Enmienda

(18) Dado que, en virtud de la Directiva SRI 2, las entidades identificadas como entidades críticas, así como las entidades identificadas en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades.

(18) Las entidades identificadas como entidades críticas en virtud de la presente Directiva, así como las entidades en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2. Por consiguiente, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades. Los Estados miembros deberán prever medidas para evitar la duplicidad de la notificación y del control, para garantizar que las estrategias y los requisitos previstos en la presente Directiva y en la Directiva SRI 2 sean complementarios y que las entidades críticas no estén sujetas a cargas administrativas adicionales.

Enmienda  10

 

Propuesta de Directiva

Considerando 19

 

Texto de la Comisión

Enmienda

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros deberán desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

Enmienda  11

 

Propuesta de Directiva

Considerando 25

 

Texto de la Comisión

Enmienda

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos.

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes para evitar consecuencias aún más negativas y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos. Dada la sensibilidad de determinados acontecimientos, se debe garantizar una confidencialidad adecuada, así como mecanismos para impedir la difusión de datos que puedan comprometer la seguridad nacional.

Enmienda  12

 

Propuesta de Directiva

Considerando 30

 

Texto de la Comisión

Enmienda

(30) Los Estados miembros deberán velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deberán incluir, en particular, la facultad de llevar a cabo inspecciones, actividades de supervisión y auditorías; exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, emitir órdenes para subsanar las infracciones detectadas. Al emitir tales órdenes, los Estados miembros no deberán exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica. En términos más generales, estas competencias deberán ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional, de conformidad con los requisitos derivados de la Carta de los Derechos Fundamentales de la Unión Europea. Al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones en virtud de la presente Directiva, las autoridades competentes designadas en virtud de la presente Directiva deberán poder solicitar a las autoridades competentes designadas en virtud de la Directiva SRI 2 que evalúen la ciberseguridad de esa entidad. Dichas autoridades competentes deberán cooperar e intercambiar información a tal efecto.

(30) Los Estados miembros deberán velar por que sus autoridades competentes dispongan de determinadas facultades específicas para la correcta aplicación y ejecución de la presente Directiva en relación con las entidades críticas, cuando tales entidades estén sujetas a su jurisdicción según lo dispuesto en la presente Directiva. Dichas competencias deberán incluir, en particular, la facultad de llevar a cabo inspecciones, actividades de supervisión y auditorías; exigir a las entidades críticas que faciliten información y pruebas sobre las medidas que hayan adoptado para cumplir sus obligaciones y, en caso necesario, emitir órdenes para subsanar las infracciones detectadas. Al emitir tales órdenes, los Estados miembros no deberán exigir la adopción de medidas que vayan más allá de lo necesario y proporcionado para garantizar el cumplimiento de la entidad crítica de que se trate, teniendo en cuenta, en particular, la gravedad de la infracción y la capacidad económica de la entidad crítica. En términos más generales, estas competencias deberán ir acompañadas de garantías adecuadas y eficaces que se especificarán en el Derecho nacional, de conformidad con los requisitos derivados de la Carta de los Derechos Fundamentales de la Unión Europea. La evaluación de las entidades críticas en el marco de la presente Directiva, en asuntos que entran en el ámbito de aplicación de la Directiva SRI 2, como la ciberseguridad física y no física, son responsabilidad de las autoridades competentes designadas en virtud de la Directiva SRI 2. Además, al evaluar el cumplimiento por parte de una entidad crítica de sus obligaciones en virtud de la presente Directiva, las autoridades competentes designadas en virtud de la presente Directiva deberán poder solicitar a las autoridades competentes designadas en virtud de la Directiva SRI 2 que evalúen la ciberseguridad de esa entidad. Dichas autoridades competentes deberán cooperar e intercambiar información a tal efecto.

Enmienda  13

 

Propuesta de Directiva

Artículo 1 – apartado 1 – letra a

 

Texto de la Comisión

Enmienda

a) establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades y entidades críticas que deberán considerarse equivalentes en determinados aspectos y para permitirles cumplir sus obligaciones;

a) establece la obligación de los Estados miembros de adoptar determinadas medidas destinadas a garantizar la prestación continua en el mercado interior de servicios esenciales para el mantenimiento de funciones sociales o actividades económicas vitales, en particular para identificar las entidades y entidades críticas que deberán considerarse equivalentes en determinados aspectos y para permitirles cumplir sus obligaciones;

Enmienda  14

 

Propuesta de Directiva

Artículo 1 – apartado 2

 

Texto de la Comisión

Enmienda

2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) XX/AA [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»), sin perjuicio de lo dispuesto en el artículo 7.

2. La presente Directiva no se aplicará a las materias reguladas por la Directiva (UE) XX/AA [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»), sin perjuicio de lo dispuesto en el artículo 7. Habida cuenta de las interrelaciones entre la ciberseguridad y la seguridad física de las entidades, los Estados miembros garantizarán una aplicación coherente de ambas directivas.

Enmienda  15

 

Propuesta de Directiva

Artículo 1 – apartado 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

3 bis. Los Estados miembros velarán por que sus estrategias de seguridad, incluidas las estrategias de seguridad sectoriales, prevean un marco político coordinado para mejorar la coordinación a efectos del intercambio de información sobre incidentes y amenazas y del ejercicio de las tareas de supervisión, de manera que se evite la duplicación de requisitos y de actividades de información y seguimiento.

Enmienda  16

 

Propuesta de Directiva

Artículo 2 – párrafo 1 – punto 6

 

Texto de la Comisión

Enmienda

6) «riesgo»: cualquier circunstancia o hecho que pueda tener un efecto adverso potencial en la resiliencia de las entidades críticas;

6) «riesgo»: cualquier circunstancia o hecho que pueda tener un efecto adverso potencial en las operaciones de las entidades críticas;

Enmienda  17

 

Propuesta de Directiva

Artículo 3 – apartado 2 – párrafo 1 – letra d bis (nueva)

 

Texto de la Comisión

Enmienda

 

d bis) los aspectos pertinentes de la estrategia nacional de ciberseguridad prevista en la Directiva SRI 2 y de cualquier otra estrategia nacional sectorial, en aras de la coordinación, la complementariedad y las sinergias.

Enmienda  18

 

Propuesta de Directiva

Artículo 3 – apartado 3 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

3 bis. Al redactar sus estrategias, los Estados miembros podrán consultar a las autoridades locales y regionales y tener en consideración las capacidades a nivel local.

Enmienda  19

 

Propuesta de Directiva

Artículo 4 – apartado 1 – párrafo 2

 

Texto de la Comisión

Enmienda

La evaluación de riesgos tendrá en cuenta todos los riesgos naturales y de origen humano pertinentes, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas antagónicas, en particular los delitos de terrorismo con arreglo a la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo34.

La evaluación de riesgos tendrá en cuenta todos los riesgos naturales y de origen humano pertinentes, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública y las amenazas antagónicas, en particular los delitos de terrorismo con arreglo a la Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo34. Cuando proceda, la evaluación de riesgos tendrá en cuenta las capacidades de las autoridades locales y regionales.

__________________

__________________

34 Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

34 Directiva (UE) 2017/541 del Parlamento Europeo y del Consejo, de 15 de marzo de 2017, relativa a la lucha contra el terrorismo y por la que se sustituye la Decisión marco 2002/475/JAI del Consejo y se modifica la Decisión 2005/671/JAI del Consejo (DO L 88 de 31.3.2017, p. 6).

Enmienda  20

 

Propuesta de Directiva

Artículo 4 – apartado 5

 

Texto de la Comisión

Enmienda

5. La Comisión, en cooperación con los Estados miembros, podrá elaborar un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.

5. La Comisión, en cooperación con los Estados miembros, elaborará un modelo común voluntario de presentación de informes a efectos del cumplimiento de lo dispuesto en el apartado 4.

Enmienda  21

 

Propuesta de Directiva

Artículo 5 – apartado 4 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

4 bis. Los Estados miembros podrán identificar las entidades que hayan identificado como entidades esenciales con arreglo a la Directiva SRI 2 como entidades críticas con arreglo a la presente Directiva. Cuando un Estado miembro decida no identificar las entidades esenciales con arreglo a la Directiva SRI 2 como entidades críticas con arreglo a la presente Directiva, deberá justificar las razones de dicha decisión.

Enmienda  22

 

Propuesta de Directiva

Artículo 6 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) la zona geográfica que podría verse afectada por un incidente, incluido cualquier impacto transfronterizo;

e) la zona geográfica que podría verse afectada por un incidente, incluido cualquier impacto transfronterizo, teniendo en cuenta la vulnerabilidad asociada al grado de aislamiento de determinados tipos de zonas geográficas, como las regiones insulares, las regiones ultraperiféricas o las zonas montañosas;

Enmienda  23

 

Propuesta de Directiva

Artículo 8 – apartado 2

 

Texto de la Comisión

Enmienda

2. Cada Estado miembro designará, dentro de la autoridad competente, un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros y con el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 16 («punto de contacto único»).

2. Cada Estado miembro designará, dentro de la autoridad competente, un punto de contacto único para que ejerza una función de enlace con el fin de garantizar la cooperación transfronteriza con las autoridades competentes de otros Estados miembros, con el Grupo de Resiliencia de las Entidades Críticas a que se refiere el artículo 16 («punto de contacto único») y con las entidades críticas. Cada Estado miembro velará por que el punto de contacto único designado en virtud de la Directiva SRI 2 sea también el punto de contacto único con arreglo a la presente Directiva.

Enmienda  24

 

Propuesta de Directiva

Artículo 8 – apartado 3

 

Texto de la Comisión

Enmienda

3. A más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva], y posteriormente cada año, el punto de contacto único presentará a la Comisión y al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 13, apartado 3.

3. A más tardar el [tres años y seis meses después de la entrada en vigor de la presente Directiva], y, posteriormente, en el primer trimestre de cada año, el punto de contacto único presentará a la Comisión y al Grupo de Resiliencia de las Entidades Críticas un informe de síntesis sobre las notificaciones recibidas, incluido el número de notificaciones, la naturaleza de los incidentes notificados y las medidas adoptadas de conformidad con el artículo 13, apartado 3.

Enmienda  25

 

Propuesta de Directiva

Artículo 8 – apartado 5

 

Texto de la Comisión

Enmienda

5. Los Estados miembros velarán por que sus autoridades competentes, cuando proceda y de conformidad con el Derecho de la Unión y nacional aplicable, consulten y cooperen con otras autoridades nacionales pertinentes, en particular las encargadas de la protección civil, los servicios policiales y la protección de datos personales, así como con las partes interesadas pertinentes, incluidas las entidades críticas.

5. Los Estados miembros velarán por que sus autoridades competentes, cuando proceda y de conformidad con el Derecho de la Unión y nacional aplicable, consulten y cooperen con otras autoridades nacionales pertinentes, incluidas, cuando proceda, las autoridades locales y regionales, en particular las encargadas de la protección civil, los servicios policiales y la protección de datos personales, así como con las partes interesadas pertinentes, incluidas las entidades críticas.

Enmienda  26

 

Propuesta de Directiva

Artículo 9 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia. Este apoyo podrá incluir el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación de formación al personal de las entidades críticas.

1. Los Estados miembros ayudarán a las entidades críticas a aumentar su resiliencia y a elaborar protocolos, acuerdos y cooperación, y propiciarán el intercambio de información y conocimientos especializados entre el sector público y el privado. Este apoyo incluirá, entre otros aspectos, el desarrollo de materiales y metodologías de orientación, el apoyo a la organización de ejercicios para probar su resiliencia y la prestación periódica de formación al personal de las entidades críticas.

Enmienda  27

 

Propuesta de Directiva

Artículo 9 – apartado 1 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

1 bis. Cuando proceda, los Estados miembros asignarán recursos suficientes para ayudar a las entidades críticas a cumplir los requisitos, en particular para cubrir costes adicionales asociados a las actividades de aprendizaje y formación o para contratar personal adicional para funciones de notificación, seguimiento y revisión.

Enmienda  28

 

Propuesta de Directiva

Artículo 9 – apartado 3

 

Texto de la Comisión

Enmienda

3. Los Estados miembros establecerán herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas en relación con las materias reguladas por la presente Directiva, de conformidad con el Derecho de la Unión y nacional en materia de competencia y protección de datos personales.

3. Los Estados miembros establecerán herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, con el objetivo de fomentar el intercambio de conocimientos y la transparencia dentro de los sectores y entre ellos, en relación con las materias reguladas por la presente Directiva, de conformidad con el Derecho de la Unión y nacional en materia de competencia y protección de datos personales.

Enmienda  29

 

Propuesta de Directiva

Artículo 11 – apartado 1 – letra c bis (nueva)

 

Texto de la Comisión

Enmienda

 

c bis) prevenir incidentes que puedan amenazar la seguridad y la continuidad del suministro de bienes y servicios;

Enmienda  30

 

Propuesta de Directiva

Artículo 11 – apartado 1 – letra d bis (nueva)

 

Texto de la Comisión

Enmienda

 

d bis) hacer uso de normas y especificaciones aceptadas a escala europea que sean pertinentes para la resiliencia de las entidades críticas, sin imponer ni favorecer el uso de un tipo específico de servicio o tecnología ni discriminar en su favor;

Enmienda  31

 

Propuesta de Directiva

Artículo 11 – apartado 1 – letra e

 

Texto de la Comisión

Enmienda

e) garantizar una gestión adecuada de la protección de los empleados, en particular mediante la definición de las categorías de personal que ejerza funciones esenciales, el establecimiento de derechos de acceso a zonas, instalaciones y otras infraestructuras sensibles, y a la información sensible, así como la determinación de categorías específicas de personal con arreglo al artículo 12;

e) garantizar una gestión adecuada de la protección y la formación de los empleados, en particular mediante la definición de las categorías de personal que ejerza funciones esenciales, el establecimiento de derechos de acceso a zonas, instalaciones y otras infraestructuras sensibles, y a la información sensible, así como la determinación de categorías específicas de personal con arreglo al artículo 12;

Enmienda  32

 

Propuesta de Directiva

Artículo 11 – apartado 1 – letra f

 

Texto de la Comisión

Enmienda

f) sensibilizar al personal pertinente sobre las medidas mencionadas en las letras a) a e).

f) sensibilizar a los operadores pertinentes y sus empleados sobre las medidas mencionadas en las letras a) a e) a través de la prestación periódica de formación.

Enmienda  33

 

Propuesta de Directiva

Artículo 12 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes de comprobación de los antecedentes personales de los miembros de determinadas categorías específicas de su personal, incluidas las personas consideradas para su contratación en puestos pertenecientes a esas categorías, y por que esas solicitudes sean evaluadas rápidamente por las autoridades competentes para efectuar las comprobaciones de antecedentes personales.

1. Los Estados miembros velarán por que las entidades críticas puedan presentar solicitudes debidamente justificadas de comprobación de los antecedentes personales de los miembros de determinadas categorías específicas de su personal, identificadas sobre la base de criterios nacionales comunes, incluidas las personas consideradas para su contratación en puestos críticos pertenecientes a esas categorías, y por que esas solicitudes sean evaluadas rápidamente por las autoridades competentes para efectuar las comprobaciones de antecedentes personales.

Enmienda  34

 

Propuesta de Directiva

Artículo 12 – apartado 2 – párrafo 1 – parte introductoria

 

Texto de la Comisión

Enmienda

2. De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo38, el control de antecedentes a que se refiere el apartado 1:

2. De conformidad con el Derecho de la Unión y nacional aplicable, en particular el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo38, los Estados miembros velarán por que se lleve a cabo el control de antecedentes a que se refiere el apartado 1 con el único fin de evaluar un posible riesgo para la seguridad de la entidad crítica y de respetar los derechos fundamentales de la persona de que se trate. El control de antecedentes:

__________________

__________________

38 DO L 119 de 4.5.2016, p. 1.

38 DO L 119 de 4.5.2016, p. 1.

Enmienda  35

 

Propuesta de Directiva

Artículo 12 – apartado 2 – párrafo 1 – letra c

 

Texto de la Comisión

Enmienda

c) cubrirá los puestos de trabajo anteriores, la educación y cualquier vacío en la educación o el empleo en el currículo de la persona durante los cinco años anteriores al menos y durante un máximo de diez años.

c) en casos excepcionales, sobre la base de criterios nacionales, cubrirá los puestos de trabajo anteriores, la educación y cualquier vacío en la educación o el empleo en el currículo de la persona durante los cinco años anteriores al menos y durante un máximo de diez años.

Enmienda  36

 

Propuesta de Directiva

Artículo 13 – apartado 1

 

Texto de la Comisión

Enmienda

1. Los Estados miembros velarán por que las entidades críticas notifiquen sin demora indebida a la autoridad competente los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. Las notificaciones incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, las causas y las posibles consecuencias del incidente, incluida la determinación de cualquier impacto transfronterizo del incidente. Dicha notificación no implicará un aumento de la responsabilidad de las entidades críticas.

1. Los Estados miembros velarán por que las entidades críticas solo notifiquen a la autoridad competente los incidentes que perturben de forma significativa sus operaciones sin demora indebida, con el fin de evitar el exceso de información y los flujos de datos innecesarios y velar por el funcionamiento eficaz de las autoridades nacionales y de las entidades privadas. Las notificaciones incluirán toda la información disponible necesaria para que la autoridad competente pueda comprender la naturaleza, las causas y las posibles consecuencias del incidente, incluida la determinación de cualquier impacto transfronterizo del incidente. Dicha notificación no implicará un aumento de la responsabilidad de las entidades críticas.

Enmienda  37

 

Propuesta de Directiva

Artículo 13 – apartado 2 – letra -a (nueva)

 

Texto de la Comisión

Enmienda

 

-a) el impacto en la vida humana y las consecuencias medioambientales;

Enmienda  38

 

Propuesta de Directiva

Artículo 13 – apartado 2 – letra c

 

Texto de la Comisión

Enmienda

c) la zona geográfica afectada por la perturbación o la posible perturbación.

c) la zona geográfica afectada por la perturbación o la posible perturbación, teniendo en cuenta si dicha zona está aislada geográficamente.

Enmienda  39

 

Propuesta de Directiva

Artículo 16 – apartado 2 – párrafo 1

 

Texto de la Comisión

Enmienda

2. El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas podrá invitar a representantes de las partes interesadas a participar en su trabajo.

2. El Grupo de Resiliencia de las Entidades Críticas estará compuesto por representantes de los Estados miembros y de la Comisión. Cuando sea pertinente para el desempeño de sus funciones, el Grupo de Resiliencia de las Entidades Críticas podrá invitar a representantes de las partes pertinentes a participar en su trabajo, fomentando la participación de las pymes, la sociedad civil y los sindicatos, principalmente en cuestiones relacionadas con la formación.

Enmienda  40

 

Propuesta de Directiva

Artículo 16 – apartado 5

 

Texto de la Comisión

Enmienda

5. El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente y al menos una vez al año con el Grupo de cooperación creado en virtud de [la Directiva SRI 2] para promover la cooperación estratégica y el intercambio de información.

5. El Grupo de Resiliencia de las Entidades Críticas se reunirá periódicamente y al menos una vez al año con el Grupo de Cooperación creado en virtud de [la Directiva SRI 2] para facilitar la cooperación estratégica y el intercambio de información.

Enmienda  41

 

Propuesta de Directiva

Artículo 16 – apartado 7 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

7 bis. El Grupo de Resiliencia de Entidades Críticas, con ánimo de cooperación en materia de seguridad y acceso abierto, podrá conceder, previa solicitud, acceso a su conclusiones y datos de origen para su uso en el ámbito académico, la investigación en materia de seguridad y otros usos beneficiosos. Las solicitudes de acceso deben estar motivadas y justificadas, y los datos facilitados respetarán los derechos fundamentales de las personas y serán proporcionales a la influencia sobre las entidades en cuestión.

Enmienda  42

 

Propuesta de Directiva

Artículo 16 – apartado 7 ter (nuevo)

 

Texto de la Comisión

Enmienda

 

7 ter. La Comisión creará una secretaría común para el Grupo de Resiliencia de Entidades Críticas y el Grupo de Cooperación creado en virtud de [la Directiva SRI 2] con el fin de facilitar la comunicación entre ambos Grupos y, por consiguiente, de minimizar las ambigüedades entre las diferentes autoridades designadas en virtud de la presente Directiva y [la Directiva SRI 2].

Enmienda  43

 

Propuesta de Directiva

Artículo 17 – apartado 2 bis (nuevo)

 

Texto de la Comisión

Enmienda

 

2 bis. Para recibir y utilizar adecuadamente la información que le ha sido transmitida en virtud del artículo 8, apartado 3, la Comisión llevará un registro europeo de incidentes con el objetivo de desarrollar y compartir las mejores prácticas y metodologías.

Enmienda  44

 

Propuesta de Directiva

Artículo 22 – párrafo 2

 

Texto de la Comisión

Enmienda

La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. El informe evaluará, en particular, el impacto y el valor añadido de la presente Directiva a la hora de garantizar la resiliencia de las entidades críticas y si el ámbito de aplicación de la Directiva debe ampliarse a otros sectores o subsectores. El primer informe se presentará a más tardar el [seis años después de la entrada en vigor de la presente Directiva] y evaluará, en particular, si el ámbito de aplicación de la Directiva debe ampliarse para incluir el sector de la producción, transformación y distribución de alimentos.

La Comisión revisará periódicamente el funcionamiento de la presente Directiva e informará al Parlamento Europeo y al Consejo. El informe evaluará, en particular, el impacto y el valor añadido de la presente Directiva a la hora de garantizar la resiliencia de las entidades críticas y si el ámbito de aplicación de la Directiva debe ampliarse a otros sectores o subsectores. El primer informe se presentará a más tardar el [seis años después de la entrada en vigor de la presente Directiva]. A tal fin, y con vistas a seguir avanzando en la cooperación estratégica, la Comisión tendrá en cuenta cualquier documento de orientación no vinculante del Grupo de Resiliencia de las Entidades Críticas sobre la experiencia adquirida a nivel estratégico.

Enmienda  45

 

Propuesta de Directiva

Anexo – punto 5. Salud (nuevo)

 

 

Texto de la Comisión

Ámbito

Subsector

Tipo de entidad

 

Enmienda

 

 

Las entidades con autorización de distribución a que se refiere el artículo 79 de la Directiva 2001/83/CE

Enmienda  46

 

Propuesta de Directiva

Anexo – punto 8 bis (nuevo)

 

 

Texto de la Comisión

Ámbito

Subsector

Tipo de entidad

 

Enmienda

Alimentación

Mercado al por mayor

 Empresas alimentarias a las que se refiere el anexo I del Reglamento (CE) n.º 853/2004 (1 bis)

1 bis Reglamento (CE) n.° 853/2004 del Parlamento Europeo y del Consejo, de 29 de abril de 2004, por el que se establecen normas específicas de higiene de los alimentos de origen animal (DO L 139 de 30.4.2004, p. 39).


PROCEDIMIENTO DE LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

Título

Resiliencia de las entidades críticas

Referencias

COM(2020)0829 – C9-0421/2020 – 2020/0365(COD)

Comisión competente para el fondo

 Fecha del anuncio en el Pleno

LIBE

11.2.2021

 

 

 

Opinión emitida por

 Fecha del anuncio en el Pleno

ITRE

11.2.2021

Comisiones asociadas - fecha del anuncio en el Pleno

29.4.2021

Ponente de opinión

 Fecha de designación

Nils Torvalds

15.2.2021

Examen en comisión

26.5.2021

 

 

 

Fecha de aprobación

1.7.2021

 

 

 

Resultado de la votación final

+:

–:

0:

58

0

14

Miembros presentes en la votación final

Nicola Beer, François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Michael Bloss, Paolo Borchia, Marc Botenga, Markus Buchheit, Martin Buschmann, Cristian-Silviu Buşoi, Jerzy Buzek, Carlo Calenda, Maria da Graça Carvalho, Ignazio Corrao, Ciarán Cuffe, Josianne Cutajar, Nicola Danti, Pilar del Castillo Vera, Christian Ehler, Valter Flego, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Bart Groothuis, Christophe Grudler, Henrike Hahn, Robert Hajšel, Ivo Hristov, Romana Jerković, Eva Kaili, Seán Kelly, Izabela-Helena Kloc, Łukasz Kohut, Andrius Kubilius, Miapetra Kumpula-Natri, Thierry Mariani, Marisa Matias, Eva Maydell, Joëlle Mélin, Iskra Mihaylova, Dan Nica, Angelika Niebler, Ville Niinistö, Mauri Pekkarinen, Tsvetelina Penkova, Morten Petersen, Markus Pieper, Clara Ponsatí Obiols, Manuela Ripa, Jérôme Rivière, Robert Roos, Massimiliano Salini, Sara Skyttedal, Jessica Stegrud, Beata Szydło, Riho Terras, Grzegorz Tobiszowski, Patrizia Toia, Evžen Tošenovský, Marie Toussaint, Isabella Tovaglieri, Viktor Uspaskich, Henna Virkkunen, Pernille Weiss, Carlos Zorrinho

Suplentes presentes en la votación final

Klemen Grošelj, Alicia Homs Ginel, Elena Lizzi, Jutta Paulus, Susana Solís Pérez, Nils Torvalds

 


VOTACIÓN FINAL NOMINAL
EN LA COMISIÓN COMPETENTE PARA EMITIR OPINIÓN

58

+

NI

Martin Buschmann, Clara Ponsatí Obiols, Viktor Uspaskich

Grupo PPE

François-Xavier Bellamy, Hildegard Bentele, Tom Berendsen, Vasile Blaga, Cristian-Silviu Buşoi, Jerzy Buzek, Maria da Graça Carvalho, Pilar del Castillo Vera, Christian Ehler, Seán Kelly, Andrius Kubilius, Eva Maydell, Angelika Niebler, Markus Pieper, Massimiliano Salini, Sara Skyttedal, Riho Terras, Henna Virkkunen, Pernille Weiss

Renew Europe

Nicola Beer, Nicola Danti, Valter Flego, Bart Groothuis, Klemen Grošelj, Christophe Grudler, Iskra Mihaylova, Mauri Pekkarinen, Morten Petersen, Susana Solís Pérez, Nils Torvalds

S&D

Carlo Calenda, Josianne Cutajar, Niels Fuglsang, Lina Gálvez Muñoz, Jens Geier, Robert Hajšel, Alicia Homs Ginel, Ivo Hristov, Romana Jerković, Eva Kaili, Łukasz Kohut, Miapetra Kumpula-Natri, Dan Nica, Tsvetelina Penkova, Patrizia Toia, Carlos Zorrinho

Grupo The Left

Marisa Matias

Verts/ALE

Michael Bloss, Ignazio Corrao, Ciarán Cuffe, Henrike Hahn, Ville Niinistö, Jutta Paulus, Manuela Ripa, Marie Toussaint

 

14

0

IEEE

Izabela-Helena Kloc, Robert Roos, Jessica Stegrud, Beata Szydło, Grzegorz Tobiszowski, Evžen Tošenovský

ID

Paolo Borchia, Markus Buchheit, Elena Lizzi, Thierry Mariani, Joëlle Mélin, Jérôme Rivière, Isabella Tovaglieri

Grupo The Left

Marc Botenga

 

Explicación de los signos utilizados

+ : a favor

- : en contra

0 : abstenciones

 

 


OPINIÓN DE LA COMISIÓN DE MERCADO INTERIOR Y PROTECCIÓN DEL CONSUMIDOR (23.7.2021)

para la Comisión de Libertades Civiles, Justicia y Asuntos de Interior

sobre la propuesta de Directiva del Parlamento Europeo y del Consejo relativa a la resiliencia de las entidades críticas

(COM(2020)0829 – C9-0421/2020 – 2020/0365(COD))

Ponente de opinión ‘(*)’: Alex Agius Saliba

 

 

‘(*) Comisión asociada – artículo 57 del Reglamento interno’

 

 

 

BREVE JUSTIFICACIÓN

El 16 de diciembre de 2020, la Comisión presentó una propuesta de Directiva relativa la resiliencia de las entidades críticas (REC) junto con una evaluación de impacto adjunta, basada en la evaluación de 2019 de la aplicación de la Directiva 2008/114/CE sobre las infraestructuras críticas europeas (ICE). En vista de la importancia de la ciberseguridad para la resiliencia de las entidades críticas, la Comisión presentó también una propuesta de Directiva SRI revisada (SRI 2) en paralelo. Para garantizar la plena coherencia, las obligaciones de ciberresiliencia en virtud de la Directiva SRI 2 se aplicarían también a las entidades críticas identificadas en la nueva propuesta.

La propuesta de Directiva REC refleja un cambio en el enfoque actual de la protección de activos individuales para fortalecer la resiliencia de las entidades críticas que los gestionan. Exigiría a los Estados miembros la adopción de estrategias nacionales y la realización de evaluaciones de riesgos periódicas, y también establece obligaciones para que las entidades críticas mejoren su resiliencia y su capacidad de prestar servicios esenciales. El procedimiento de identificación de las entidades críticas sería diferente al establecido en la Directiva ICE. La Comisión también supervisaría específicamente a las entidades críticas de particular importancia europea.

El ponente apoya ampliamente la propuesta de Directiva REC y cree que es importante que la Comisión IMCO reconozca que es necesario actualizar las medidas existentes destinadas a proteger los servicios e infraestructuras clave de los riesgos físicos a nivel de la Unión. Reforzar la resiliencia de las entidades críticas en los Estados miembros e igualar las condiciones de las entidades críticas en toda la Unión reviste una importancia extraordinaria, teniendo en cuenta las crecientes interrelaciones entre sectores, entidades y servicios en el mercado interior.

 

En virtud del artículo 57, la Comisión IMCO se asocia a las competencias compartidas en lo que respecta a las cuestiones que corresponden a la Comisión IMCO destinadas a mejorar el funcionamiento del mercado interior.

Ámbito de aplicación y definiciones

El ponente acoge con satisfacción la ampliación del ámbito de aplicación de la Directiva, ya que ofrece la posibilidad de abarcar nuevos sectores que no se beneficiaban de medidas de protección específicas. Sin embargo, el ponente considera que es necesario explicar claramente el objetivo general de garantizar un alto nivel de resiliencia de las entidades críticas y las infraestructuras esenciales y asegurar la prestación de servicios esenciales para mejorar el funcionamiento del mercado interior.

Además, trata de garantizar una mayor armonización de la Directiva REC y la Directiva SRI 2, en la medida de lo posible, en particular en lo que se refiere al ámbito de aplicación y las definiciones. Para ello, el ponente exige que la protección física no cibernética de la propuesta de Directiva REC esté separe claramente de los requisitos de la Directiva SRI 2 mediante una clara distinción en la definición de «resiliencia» del artículo 2, apartado 2. Además, propone un conjunto de definiciones bien articuladas que abarca los términos «entidades críticas», «resiliencia», «incidente» e «infraestructura esencial», entre otras.

Estrategia y evaluación de riesgos por parte de los Estados miembros

 

El ponente acoge con satisfacción la estrategia para reforzar la resiliencia de las entidades críticas y la evaluación de riesgos que debe adoptar cada Estado miembro. Sin embargo, hace sugerencias para mejorar la participación y la consulta con las entidades críticas y las partes interesadas, ya que estas empresas prestan servicios esenciales para el buen funcionamiento de la vida cotidiana y es fundamental una mayor cooperación con ellas si queremos lograr los objetivos de esta Directiva. También reconoce la importancia de la gestión de la cadena de suministro y de los riesgos relacionados con los proveedores cuando los utilizan las entidades críticas para garantizar la contribución de las cadenas de suministro a la resiliencia de las entidades a las que suministran.

 

Identificación de las entidades críticas

 

El ponente es partidario de que los Estados miembros tengan que identificar las entidades críticas en los sectores pertinentes clave mencionados en el anexo, pero explica que los Estados miembros estarán obligados a identificar las entidades de los sectores y subsectores del anexo que existan en los Estados miembros y para los que las entidades sean proveedores clave de servicios esenciales destinados al mantenimiento de las funciones vitales de la sociedad y las actividades económicas. Por consiguiente, ha presentado propuestas a este respecto.

 

Autoridades competentes y punto de contacto único

 

El ponente reconoce la importancia de una supervisión adecuada y una mayor cooperación entre las autoridades competentes de los Estados miembros. Sin embargo, señala que deberán establecerse puntos de contacto únicos para ejercer una función de enlace y coordinación entre las entidades críticas y las autoridades competentes y otros puntos de contacto únicos y con el Grupo de Resiliencia de las Entidades Críticas. El punto de contacto único también deberá simplificar y armonizar los canales de notificación (principio de ventanilla única).

 

Notificación de incidentes

El ponente considera que los incidentes que perturben de forma significativa el funcionamiento de las entidades críticas y sean de interés público deberán notificarse no solo a las autoridades competentes, a través del punto de contacto único, sino también al público o, cuando sea necesario, a los usuarios afectados. El ponente también sugiere que se aclaren algunos de los requisitos para notificar los incidentes que aún no se han producido y proporciona orientación adicional en cuanto a los umbrales de notificación.

 

 


ENMIENDAS

La Comisión de Mercado Interior y Protección del Consumidor pide a la Comisión de Libertades Civiles, Justicia y Asuntos de Interior, competente para el fondo, que tome en consideración las siguientes enmiendas:

Enmienda  1

Propuesta de Directiva

Considerando 1

 

Texto de la Comisión

Enmienda

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, adaptarse y recuperarse de incidentes que puedan perturbar las operaciones de la entidad crítica.

(1) La Directiva 2008/114/CE del Consejo17 establece un procedimiento para designar las infraestructuras críticas europeas en los sectores de la energía y los transportes cuya perturbación o destrucción tendría un impacto transfronterizo significativo en al menos dos Estados miembros. Dicha Directiva se centra exclusivamente en la protección de tales infraestructuras. Sin embargo, la evaluación de la Directiva 2008/114/CE realizada en 201918 puso de manifiesto que, debido al carácter cada vez más interconectado y transfronterizo de las operaciones que utilizan infraestructuras críticas, las medidas de protección exclusiva de activos individuales son insuficientes para evitar que se produzcan todas las perturbaciones. Por lo tanto, es necesario modificar el enfoque para garantizar la resiliencia de las entidades críticas, es decir, su capacidad para mitigar, absorber, adaptarse, recuperarse y protegerse de los incidentes o las amenazas que puedan perturbar las operaciones de la entidad crítica, el funcionamiento del mercado interior y la libre circulación de los servicios esenciales.

__________________

__________________

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

17 Directiva 2008/114/CE del Consejo, de 8 de diciembre de 2008, sobre la identificación y designación de infraestructuras críticas europeas y la evaluación de la necesidad de mejorar su protección (DO L 345 de 23.12.2008, p. 75).

18 SWD (2019) 308.

18 SWD (2019) 308.

Enmienda  2

Propuesta de Directiva

Considerando 2

 

Texto de la Comisión

Enmienda

(2) A pesar de las medidas existentes a escala nacional y de la Unión[1] destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan esas infraestructuras no están adecuadamente equipadas para hacer frente a los riesgos actuales y previstos para sus operaciones, que pueden dar lugar a perturbaciones en la prestación de servicios esenciales para el desempeño de funciones sociales o actividades económicas vitales. Esto se debe al panorama dinámico de las amenazas, con una amenaza terrorista en evolución y crecientes interdependencias entre infraestructuras y sectores, así como al aumento del riesgo físico a causa de los desastres naturales y el cambio climático, que aumenta la frecuencia y la escala de fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad y la eficiencia de determinados tipos de infraestructuras si no se aplican medidas de resiliencia o adaptación al cambio climático. Además, los sectores y tipos de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros.

(2) A pesar de las medidas existentes a escala nacional y de la Unión19 destinadas a apoyar la protección de las infraestructuras críticas en la Unión, las entidades que explotan esas infraestructuras no están adecuadamente equipadas para hacer frente a los riesgos actuales y previstos para sus operaciones, que pueden dar lugar a perturbaciones en la prestación de servicios esenciales para el desempeño de funciones sociales o actividades económicas vitales. Esto se debe al panorama dinámico de las amenazas, con una amenaza terrorista en evolución y crecientes interdependencias entre infraestructuras y sectores, así como al aumento del riesgo físico a causa de los desastres naturales y el cambio climático, que aumenta la frecuencia y la escala de fenómenos meteorológicos extremos e introduce cambios a largo plazo en las condiciones climáticas medias que pueden reducir la capacidad y la eficiencia de determinados tipos de infraestructuras si no se aplican medidas de resiliencia o adaptación al cambio climático. Además, los sectores y tipos de entidades pertinentes no se reconocen sistemáticamente como críticos en todos los Estados miembros.  Debido al incremento de las interdependencias intersectoriales y transfronterizas entre las infraestructuras críticas, un incidente en un Estado miembro puede afectar gravemente a las actividades en otro Estado miembro. Con el fin de lograr un alto nivel de resiliencia de las infraestructuras críticas en toda la Unión, los servicios y las infraestructuras esenciales deben estar protegidos y ser resilientes en todos los Estados miembros.

Enmienda  3

Propuesta de Directiva

Considerando 3

 

Texto de la Comisión

Enmienda

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener repercusiones negativas de gran alcance y duraderas en la prestación de servicios en todo el mercado interior. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

(3) Estas crecientes interdependencias son el resultado de una red cada vez más transfronteriza e interdependiente de prestación de servicios esenciales que utiliza infraestructuras clave en toda la Unión en los sectores de la energía, el transporte, la banca, la infraestructura del mercado financiero, la infraestructura digital, el agua potable y las aguas residuales, la salud, determinados aspectos de la administración pública, así como el espacio, en lo que respecta a la prestación de determinados servicios que dependen de infraestructuras terrestres poseídas, gestionadas y operadas por los Estados miembros o por particulares, de modo que no se trata de infraestructuras poseídas, gestionadas y operadas por la Unión o por un tercero en su nombre como parte de sus programas espaciales. Estas interdependencias significan que cualquier perturbación de los servicios esenciales, incluso inicialmente limitada a una entidad o a un sector, puede tener efectos en cascada más amplios, lo que podría tener una repercusión negativa de gran alcance y duradera en la prestación de dichos servicios en todo el mercado interior, esto es, en los particulares, los consumidores y las empresas. La pandemia de COVID-19 ha puesto de manifiesto la vulnerabilidad de nuestras sociedades, cada vez más interdependientes frente a los riesgos de baja probabilidad.

Enmienda  4

Propuesta de Directiva

Considerando 4

 

Texto de la Comisión

Enmienda

(4) Las entidades que intervienen en la prestación de servicios esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo puede afectar negativamente al mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, sino que también obstaculiza el correcto funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos.

(4) Las entidades que intervienen en la prestación de servicios e infraestructuras esenciales están cada vez más sujetas a requisitos divergentes impuestos por las legislaciones de los Estados miembros. El hecho de que algunos Estados miembros tengan unos requisitos de seguridad menos estrictos para estas entidades no solo genera niveles heterogéneos de resiliencia y diferencias entre los Estados miembros en lo que respecta a la designación y supervisión de las entidades críticas, sino también repercusiones negativas en el mantenimiento de funciones sociales o actividades económicas vitales en toda la Unión, y además provoca competencia desleal y obstaculiza el correcto funcionamiento del mercado interior. Tipos de entidades similares se consideran críticos en algunos Estados miembros, pero no en otros, y las entidades consideradas críticas están sujetas a requisitos divergentes en los distintos Estados miembros. Esto da lugar a cargas administrativas adicionales e innecesarias para las empresas que operan a través de las fronteras, especialmente para las empresas que operan en Estados miembros con unos requisitos más estrictos. Un marco europeo, por lo tanto, también debe tener el efecto de crear unas condiciones de competencia equitativas para las entidades críticas en toda la Unión.

Enmienda  5

Propuesta de Directiva

Considerando 5

 

Texto de la Comisión

Enmienda

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas.

(5) Por consiguiente, es necesario establecer unas normas mínimas armonizadas para garantizar la prestación y la libre circulación de servicios esenciales en el mercado interior y aumentar la resiliencia de las entidades críticas y las infraestructuras esenciales necesarias para las actividades sociales o económicas vitales dentro de la Unión. Para ello, el objetivo de esta Directiva debe consistir en crear infraestructuras y entidades críticas resilientes, propiciando así su capacidad de garantizar la prestación continuada de los servicios o las infraestructuras esenciales o, al menos, de recuperar rápidamente las actividades después de ocurrido un incidente. Los operadores de infraestructuras críticas que prestan servicios esenciales en todo el mercado interior en varios sectores necesarios para las funciones sociales y las actividades económicas vitales deben ser resilientes con respecto a los riesgos actuales y previstos para el futuro.

Enmienda  6

Propuesta de Directiva

Considerando 6

 

Texto de la Comisión

Enmienda

(6) A fin de alcanzar ese objetivo, los Estados miembros tienen que identificar las entidades críticas que deben estar sujetas a unos requisitos y una supervisión específicos, pero también recibir apoyo y orientación específicos destinados a lograr un alto nivel de resiliencia frente a todos los riesgos pertinentes.

(6) A fin de alcanzar ese objetivo, los Estados miembros tienen que identificar las entidades críticas que prestan servicios o infraestructuras esenciales pertenecientes a los sectores y subsectores existentes a nivel nacional mencionados en el anexo, las cuales deben estar sujetas a unos requisitos y una supervisión específicos, pero también recibir apoyo y orientación específicos destinados a lograr un alto nivel de resiliencia frente a todos los riesgos pertinentes y las posibles crisis.

Enmienda  7

Propuesta de Directiva

Considerando 8

 

Texto de la Comisión

Enmienda

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo [propuesta de Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión (en lo sucesivo, «la Directiva SRI 2»)]. Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales.

(8) Dada la importancia de la ciberseguridad para la resiliencia de las entidades críticas y en aras de la coherencia, es necesario, siempre que sea posible, un enfoque coherente entre la presente Directiva y la Directiva (UE) XX/YY del Parlamento Europeo y del Consejo20 (la «Directiva SRI 2»). Teniendo en cuenta la mayor frecuencia y las características particulares de los riesgos cibernéticos, la Directiva SRI 2 impone unos requisitos exhaustivos a un amplio conjunto de entidades para garantizar su ciberseguridad. Dado que la ciberseguridad se trata de manera suficiente en la Directiva SRI 2, las materias reguladas por ella deben quedar excluidas del ámbito de aplicación de la presente Directiva, sin perjuicio del régimen particular aplicable a las entidades del sector de las infraestructuras digitales. Debe asegurarse un enfoque coherente entre estas normas, por ejemplo, garantizando que las entidades que entran en el ámbito de aplicación de la Directiva SRI 2 susceptibles de estar sujetas a obligaciones en virtud de la presente Directiva se beneficien, cuando sea posible, de un punto de contacto único y de una serie de reglas comunes. Como resultado, la supervisión de las entidades críticas o equivalentes a las entidades críticas en virtud de la presente Directiva, en materias que entran en el ámbito de aplicación de la Directiva SRI 2, será responsabilidad de las autoridades competentes designadas en virtud de la Directiva SRI 2. Además, las entidades identificadas como entidades esenciales con arreglo a la Directiva SRI 2, pero que no están identificadas como entidades críticas en virtud de la presente Directiva, también deben mejorar la resiliencia de sus infraestructuras físicas, cuando proceda.

__________________

__________________

20 [Referencia a la Directiva SRI 2, una vez adoptada.]

20 Directiva del Parlamento Europeo y del Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad y por la que se deroga la Directiva (UE) 2016/1148 (DO L ..., ..., p. ..).

Enmienda  8

Propuesta de Directiva

Considerando 10

 

Texto de la Comisión

Enmienda

(10) Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, cada Estado miembro deberá contar con una estrategia que establezca los objetivos y las medidas políticas que hayan de aplicarse. Para ello, los Estados miembros deberán velar por que sus estrategias de ciberseguridad establezcan un marco político para mejorar la coordinación entre las autoridades competentes en virtud de la presente Directiva y de la Directiva SRI 2 en el contexto del intercambio de información sobre incidentes y ciberamenazas y del ejercicio de las tareas de supervisión.

Con el fin de garantizar un enfoque global de la resiliencia de las entidades críticas, y teniendo en cuenta los objetivos de la Estrategia de resiliencia de la Unión preparada por el Grupo de Resiliencia de las Entidades Críticas, cada Estado miembro deberá adoptar una estrategia nacional que establezca los objetivos y las medidas políticas que hayan de aplicarse. Para ello, los Estados miembros deberán velar por que sus estrategias de ciberseguridad establezcan un marco político para mejorar la coordinación entre las autoridades competentes en virtud de la presente Directiva y de la Directiva SRI 2 en el contexto del intercambio de información sobre incidentes y ciberamenazas y del ejercicio de las tareas de supervisión.

Enmienda  9

Propuesta de Directiva

Considerando 11

 

Texto de la Comisión

Enmienda

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de funciones sociales o actividades económicas vitales. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

(11) Las acciones de los Estados miembros para identificar las entidades críticas y ayudar a garantizar su resiliencia deberán seguir un enfoque basado en el riesgo que dirija los esfuerzos a las entidades más pertinentes para el desempeño de servicios esenciales vitales para funciones sociales o actividades económicas. A fin de garantizar este enfoque específico, cada Estado miembro deberá llevar a cabo, en un marco armonizado, una evaluación de todos los riesgos, en particular los intersectoriales, transfronterizos, naturales y de origen humano pertinentes que puedan afectar a la prestación de servicios esenciales, incluidos los accidentes, las catástrofes naturales, las emergencias de salud pública, como las pandemias, y las amenazas antagónicas, en particular los delitos de terrorismo. Al llevar a cabo estas evaluaciones de riesgos, los Estados miembros deberán tener en cuenta otras evaluaciones de riesgos generales o sectoriales realizadas con arreglo a otros actos del Derecho de la Unión y las dependencias intersectoriales, también de otros Estados miembros y terceros países, y los riesgos que se derivan para la población en general o el mercado interior. Los Estados miembros no deberán considerar un «riesgo» los riesgos normales del negocio para las operaciones que derivan de las condiciones del mercado ni el riesgo derivado de la toma de decisiones democráticas. Los resultados de la evaluación de riesgos deberán utilizarse en el proceso de identificación de las entidades críticas y para ayudarlas a cumplir los requisitos de resiliencia de la presente Directiva.

Enmienda  10

Propuesta de Directiva

Considerando 12

 

Texto de la Comisión

Enmienda

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales. Por lo tanto, deben establecerse criterios para identificar las entidades críticas. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados.

(12) A fin de garantizar que todas las entidades pertinentes estén sujetas a esos requisitos y reducir las divergencias a este respecto, es importante establecer normas armonizadas que permitan una identificación coherente de las entidades críticas en toda la Unión, permitiendo al mismo tiempo que los Estados miembros reflejen las especificidades nacionales de los sectores y subsectores de su territorio recogidos en el anexo. Por lo tanto, deben establecerse criterios y especificaciones comunes basados en metodologías e indicadores mínimos para cada sector y subsector para identificar las entidades críticas en estrecha colaboración con las autoridades pertinentes. En aras de la eficacia, la eficiencia, la coherencia y la seguridad jurídica, también deben establecerse normas adecuadas en materia de notificación y cooperación en la identificación, así como sobre las consecuencias jurídicas de dicha identificación. A fin de que la Comisión pueda evaluar la correcta aplicación de la presente Directiva, los Estados miembros deberán presentarle, de la manera más detallada y concreta posible, la información pertinente y, en cualquier caso, la lista de los servicios esenciales, el número de entidades críticas identificadas en cada sector y subsector mencionado en el anexo y el servicio o los servicios esenciales que preste cada entidad, así como los umbrales aplicados. Para evitar una aplicación divergente de la presente Directiva y mejorar el funcionamiento del mercado interior, la Comisión, en cooperación con los Estados miembros, debe proporcionar directrices detalladas y formular recomendaciones para ayudar a los Estados miembros a determinar la lista de servicios e infraestructuras esenciales y las entidades críticas para cada sector y subsector nacional mencionado en el anexo.

Enmienda  11

Propuesta de Directiva

Considerando 15

 

Texto de la Comisión

Enmienda

(15) El acervo de la UE en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Está integrado por el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo22, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo23 y el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo24, así como el Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo25 y la Directiva 2013/36/UE del Parlamento Europeo y del Consejo26. La Comisión ha propuesto recientemente complementar este marco con el Reglamento XX/YYYY del Parlamento Europeo y del Consejo [propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «el Reglamento DORA»)27], que establece los requisitos para que las entidades financieras gestionen los riesgos de las TIC, incluida la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de las entidades enumeradas en los puntos 3 y 4 del anexo está plenamente cubierta por el acervo de la UE en materia de servicios financieros, esas entidades también deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II de la presente Directiva. A fin de garantizar una aplicación coherente de las normas sobre el riesgo operativo y la resiliencia digital en el sector financiero, las autoridades designadas con arreglo al artículo 41 del [Reglamento DORA] deberán garantizar el apoyo de los Estados miembros al aumento de la resiliencia global de las entidades financieras equivalentes a las entidades críticas, con sujeción a los procedimientos establecidos en dicha legislación de manera plenamente armonizada.

(15) El acervo de la UE en materia de servicios financieros establece requisitos exhaustivos para que las entidades financieras gestionen todos los riesgos a los que se enfrentan, incluidos los riesgos operativos, y garanticen la continuidad de las actividades. Está integrado por el Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo22, la Directiva 2014/65/UE del Parlamento Europeo y del Consejo23 y el Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo24, así como el Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo25 y la Directiva 2013/36/UE del Parlamento Europeo y del Consejo26. La Comisión ha propuesto recientemente complementar este marco con el Reglamento XX/YYYY del Parlamento Europeo y del Consejo [propuesta de Reglamento sobre la resiliencia operativa digital del sector financiero (en lo sucesivo, «el Reglamento DORA»)27], que establece los requisitos para que las entidades financieras gestionen los riesgos de las TIC, incluida la protección de las infraestructuras físicas de las TIC. Dado que la resiliencia de las entidades enumeradas en los puntos 3 y 4 del anexo está plenamente cubierta por el acervo de la UE en materia de servicios financieros, esas entidades también deberán ser tratadas como equivalentes a las entidades críticas únicamente a efectos del capítulo II de la presente Directiva. y, en consecuencia, dichas entidades no deberán estar sujetas a las obligaciones establecidas en los capítulos III a VI. A fin de garantizar una aplicación coherente de las normas sobre el riesgo operativo y la resiliencia digital en el sector financiero, las autoridades designadas con arreglo al artículo 41 del [Reglamento DORA] deberán garantizar el apoyo de los Estados miembros al aumento de la resiliencia global de las entidades financieras equivalentes a las entidades críticas, con sujeción a los procedimientos establecidos en dicha legislación de manera plenamente armonizada.

__________________

__________________

22 Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

22 Reglamento (UE) n.º 648/2012 del Parlamento Europeo y del Consejo, de 4 de julio de 2012, relativo a los derivados extrabursátiles, las entidades de contrapartida central y los registros de operaciones (DO L 201 de 27.7.2012, p. 1).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

23 Directiva 2014/65/UE del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativa a los mercados de instrumentos financieros y por la que se modifican la Directiva 2002/92/CE y la Directiva 2011/61/UE (DO L 173 de 12.6.2014, p. 349).

24 Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

24 Reglamento (UE) n.º 600/2014 del Parlamento Europeo y del Consejo, de 15 de mayo de 2014, relativo a los mercados de instrumentos financieros y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 173 de 12.6.2014, p. 84).

25 Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

25 Reglamento (UE) n.º 575/2013 del Parlamento Europeo y del Consejo, de 26 de junio de 2013, sobre los requisitos prudenciales de las entidades de crédito y las empresas de inversión, y por el que se modifica el Reglamento (UE) n.º 648/2012 (DO L 176 de 27.6.2013, p. 1).

26 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

26 Directiva 2013/36/UE del Parlamento Europeo y del Consejo, de 26 de junio de 2013, relativa al acceso a la actividad de las entidades de crédito y a la supervisión prudencial de las entidades de crédito y las empresas de inversión, por la que se modifica la Directiva 2002/87/CE y se derogan las Directivas 2006/48/CE y 2006/49/CE (DO L 176 de 27.6.2013, p. 338).

27 Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 [COM (2020) 595].

27 Propuesta de Reglamento del Parlamento Europeo y del Consejo sobre la resiliencia operativa digital del sector financiero y por el que se modifican los Reglamentos (CE) n.º 1060/2009, (UE) n.º 648/2012, (UE) n.º 600/2014 y (UE) n.º 909/2014 [COM (2020) 595].

Enmienda  12

Propuesta de Directiva

Considerando 16

 

Texto de la Comisión

Enmienda

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y, en su caso, hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

(16) Los Estados miembros deberán designar las autoridades competentes para supervisar la aplicación y hacer cumplir las normas de la presente Directiva, y velar por que dichas autoridades dispongan de las competencias y los recursos adecuados. Habida cuenta de las diferencias existentes entre las estructuras de gobernanza nacionales y con el fin de salvaguardar los acuerdos sectoriales o los organismos de supervisión y regulación de la Unión ya existentes, así como para evitar duplicaciones, los Estados miembros deberán poder designar más de una autoridad competente. En tal caso, deberán, no obstante, delimitar claramente las tareas respectivas de las autoridades interesadas y garantizar una cooperación fluida y eficaz. Todas las autoridades competentes también deberán cooperar de manera más general con las otras autoridades pertinentes, tanto a nivel nacional como de la Unión.

Enmienda  13

Propuesta de Directiva

Considerando 17

 

Texto de la Comisión

Enmienda

(17) A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro deberá designar, sin perjuicio de los requisitos jurídicos sectoriales de la Unión, en el seno de una de las autoridades que haya designado como autoridad competente en virtud de la presente Directiva, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión a este respecto.

(17) A fin de facilitar la cooperación y la comunicación transfronterizas y permitir la aplicación efectiva de la presente Directiva, cada Estado miembro deberá designar, sin perjuicio de los requisitos jurídicos sectoriales de la Unión, en el seno de una de las autoridades que haya designado como autoridad competente en virtud de la presente Directiva, un punto de contacto único responsable de coordinar las cuestiones relacionadas con la resiliencia de las entidades críticas y la cooperación transfronteriza a escala de la Unión a este respecto. Los puntos de contacto únicos también deberán servir de enlace y coordinar toda la comunicación con las autoridades competentes de su Estado miembro, con los puntos de contacto únicos de otros Estados miembros, con el Grupo de Resiliencia de las Entidades Críticas establecido por la presente Directiva y con las entidades identificadas como entidades críticas en virtud de la presente Directiva.  Con el fin de facilitar la cooperación y la comunicación con los Estados miembros, las entidades identificadas como entidades críticas en virtud de la presente Directiva también deben designar un punto de contacto de referencia dentro de la entidad. La entidad crítica debe utilizar el punto de contacto de referencia para servir de enlace, coordinar y comunicarse con los Estados miembros sobre medidas relacionadas con los aspectos organizativos y técnicos en relación con la aplicación de esta Directiva. A tal fin, los puntos de contacto únicos deberán utilizar canales de información eficaces, seguros, estandarizados y armonizados.

Enmienda  14

Propuesta de Directiva

Considerando 18

 

Texto de la Comisión

Enmienda

(18) Dado que, en virtud de la Directiva SRI 2, las entidades identificadas como entidades críticas, así como las entidades identificadas en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades.

(18) Dado que, en virtud de la Directiva SRI 2, las entidades identificadas como entidades críticas, así como las entidades identificadas en el sector de las infraestructuras digitales que deberán ser tratadas como equivalentes con arreglo a la presente Directiva, están sujetas a los requisitos de ciberseguridad de la Directiva SRI 2, las autoridades competentes designadas en virtud de ambas Directivas deberán cooperar, de forma eficaz y coherente, en particular en relación con los riesgos e incidentes de ciberseguridad que afecten a dichas entidades.

Enmienda  15

Propuesta de Directiva

Considerando 19

 

Texto de la Comisión

Enmienda

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

(19) Los Estados miembros deberán ayudar a las entidades críticas a reforzar su resiliencia, de conformidad con sus obligaciones en virtud de la presente Directiva, sin perjuicio de la responsabilidad jurídica propia de las entidades de garantizar su cumplimiento. En particular, los Estados miembros podrían desarrollar materiales y metodologías de orientación, y deberán apoyar la organización de ejercicios para comprobar su resiliencia y proporcionar formación al personal de las entidades críticas, facilitar recursos financieros sin perjuicio de las normas vigentes en materia de derecho de la competencia, en particular las normas sobre ayudas y asistencia estatales, y proteger zonas, instalaciones y otras infraestructuras sensibles, cuando sea necesario y esté justificado por objetivos de interés público. Además, dadas las interdependencias entre entidades y sectores, los Estados miembros deberán establecer herramientas de intercambio de información para apoyar el intercambio voluntario de información y buenas prácticas entre las entidades críticas, sin perjuicio de la aplicación de las normas de competencia establecidas en el Tratado de Funcionamiento de la Unión Europea.

Enmienda  16

Propuesta de Directiva

Considerando 25

 

Texto de la Comisión

Enmienda

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. La notificación deberá permitir a las autoridades competentes responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberá establecerse un procedimiento para que los Estados miembros informen a otros Estados miembros afectados a través de los puntos de contacto únicos.

(25) Las entidades críticas deberán notificar, tan pronto como sea razonablemente posible en las circunstancias dadas y a más tardar veinticuatro horas después de tener conocimiento de un incidente concreto, a las autoridades competentes de los Estados miembros los incidentes que perturben o puedan perturbar de forma significativa sus operaciones. Las entidades críticas y las autoridades competentes también deberán informar al público de dichos incidentes cuando determinen que su divulgación es de interés público. Las entidades críticas deberán asimismo notificar a los usuarios de sus servicios que puedan verse afectados los incidentes, las consecuencias y, cuando sea pertinente, toda posible medida de seguridad o remedio que deban adoptar. La notificación deberá permitir a las autoridades competentes y a los usuarios responder rápida y adecuadamente a los incidentes y tener una visión general de los riesgos globales a los que se enfrentan las entidades críticas. A tal fin, deberá establecerse un procedimiento para la notificación de determinados incidentes, así como parámetros para determinar cuándo la perturbación real o potencial es significativa y, por tanto, deben notificarse los incidentes. Habida cuenta de los posibles efectos transfronterizos de tales perturbaciones, deberán establecerse procedimientos para que los Estados miembros informen a otros Estados miembros afectados