Directiva de Resiliencia de Entidades Críticas: una apuesta por la normalización

El 16 de enero de 2023 entró en vigor la Directiva Europea 2022/2557, del Parlamento Europeo y del Consejo de 14 de diciembre de 2022, relativa a la resiliencia de las entidades críticas y por la que se deroga la Directiva 2008/114/CE del Consejo.

Una reglamentación que no pone en cuestión el respeto a las competencias nacionales en la protección de la seguridad de sus ciudadanos, por conformar un elemento fundamental de la preservación de los Estados-nación. Sin embargo, y al amparo de la armonización del mercado interior prevista en los Tratados Europeos, da un importante paso al establecer un marco de la Unión con el fin de aumentar la resiliencia de las entidades críticas. Para ello, fija unos criterios mínimos y armonizados para todos los Estados miembro, lo que constituye un importante avance cualitativo en relación con la normativa de 2008, derivada del shock provocado en nuestras sociedades por los atentados del 11-S.

Incluso el lector menos avezado puede intuir la relevancia de un adecuado marco de protección de aquellas entidades definidas como críticas, porque difícilmente cuestionable es la necesidad de garantizar la prestación de servicios esenciales, que no son otros que los cruciales para el mantenimiento de funciones sociales vitales, las actividades económicas, la salud pública y la seguridad o el medio ambiente, como la propia Directiva define. Y es que, si algo nos han enseñado las recientes grandes crisis, es que la capacidad de prevenir, proteger, responder, resistir, mitigar, absorber, adaptarse y recuperarse en caso de un incidente, en definitiva, la resiliencia, es un reto trascendente. Un entorno de crisis permanente en nuestras sociedades que se va convirtiendo más en una regla que en una excepción.

Es en este contexto de una Directiva relevante en un ámbito especialmente sensible para los ciudadanos donde, con discreción y en una fase tardía del procedimiento, el legislador europeo incorporó un artículo específico que hace una llamada explícita al papel de las normas en la construcción del mercado interior en el ámbito de la seguridad. Por tanto, el precepto merece un análisis detallado.

“Artículo 16. Normas. A fin de promover una aplicación convergente de la presente Directiva, los Estados miembros, cuando resulte útil y sin imponer ni favorecer el uso de un tipo específico de tecnología, fomentarán la utilización de normas y especificaciones técnicas europeas e internacionales que sean pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas".

Da inicio el artículo 16, enmarcado bajo el título “Normas” con una manifestación explícita del fin perseguido con esta referencia a la normalización: promover una aplicación convergente de la presente Directiva. Una promoción que es reflejo del equilibrio entre competencias nacionales preservadas y la necesidad de un enfoque lo más unificado posible. Y una aplicación convergente que ahonda en que esa labor que corresponde a los Estados miembro en la identificación de las entidades críticas y las consiguientes obligaciones derivadas de la Directiva se lleve a cabo de forma que coincida en la misma posición algo inicialmente controvertido, acudiendo a la definición del término convergencia en la RAE. Nada más y nada menos es el objetivo que se asigna a las normas.

El artículo avanza afirmando que, previa clara determinación de que la aplicación de las normas solo puede llevarse a cabo bajo las premisas de utilidad y previo estricto respeto de la no imposición ni favorecimiento de un tipo específico de tecnología -lo que parece más que razonable-, se impone una obligación a los Estados miembro. Una obligación que constituye, sin duda, un relevante avance en el ámbito de la normalización de los servicios.

De esta manera, la Directiva alude expresamente al fomento de las normas y especificaciones técnicas europeas e internacionales. Además, dando paso a una definición, tanto de unas como de otras, limita dicho fomento a aquellos supuestos en los que dichas normas y especificaciones técnicas sean pertinentes para las medidas de seguridad y resiliencia aplicables a las entidades críticas. Por tanto, los principios de utilidad (es decir, que traiga provecho o interés) y de pertinencia (que cumpla un propósito) se configuran, de este modo, como los parámetros de determinación de los Estados miembros a la hora de definir qué normas pueden fomentarse.

Y es que, este considerando declara inicialmente, que “la normalización debe seguir siendo un proceso impulsado fundamentalmente por el mercado”, lo que debiera modular las tentaciones invasivas intervencionistas de las autoridades públicas en el ámbito de la normalización, no pocas veces identificadas en otros organismos nacionales de normalización. Una afirmación de importancia no menor. Por otro lado, afirma a continuación lo que es probablemente más relevante, pues según la propia normativa “aún pueden darse situaciones en las que sea conveniente exigir el cumplimiento de normas específicas”. Y la referencia a la exigencia del cumplimiento es suficientemente clara, como para no dar lugar a que existan dudas interpretativas sobre el mandato extendido a los Estados miembro.

Corresponde ahora al Reino de España la tarea trascendente de transponer la Directiva a nuestro ordenamiento jurídico. Un proceso impulsado, al mismo tiempo, por la Comunicación del Consejo de diciembre de 2022 que expresamente insta a la aceleración del proceso y que tiene su reflejo más patente en la reciente apertura del proceso de consulta previa sobre el Anteproyecto de Ley, publicado en septiembre de 2023. A esta llamada específica, afortunadamente puede responder la comunidad normalizadora de nuestro país, gracias a una labor de previa participación en la elaboración e incorporación a nuestro acervo nacional de diversas normas CEN e ISO de posible acogida por el legislador.

Y, entre ellas, de forma muy particular, debe citarse a la Norma UNE EN 17483 de prestación de servicios de seguridad privada y protección de infraestructuras críticas, cuya primera parte (UNE-EN 17483-1:2021) de requisitos generales está en vigor desde finales de 2021 y de la que se ha verificado el cumplimiento de sus requisitos por parte de varias empresas que han completado el proceso de auditoría. Una norma amplia y ambiciosa que especifica las condiciones de servicio para la calidad de la organización, los procesos, el personal y la gestión, proporcionando requisitos sobre todos los aspectos importantes a la hora de prestar servicios en las infraestructuras críticas. Estamos ante una norma general a la que, en los próximos meses, Transposición de la Directiva CER las partes relativas a la prestación de estos servicios en los ámbitos aeroportuarios y marítimos, y a las que, en un tiempo no muy lejano, se unirán también las partes relativas a otros sectores relevantes.

El trabajo de las entidades de normalización evidencia su utilidad y apoyo para el legislador en un ámbito de una gran relevancia para el interés público. El hecho de contar con unos proveedores de servicios de seguridad privada, especialmente cualificados y que acrediten un plus de calidad sobre la base del cumplimiento de unos objetivos fijados con transparencia y consenso a través de las normas, constituye un elemento clave para garantizar la resiliencia de las entidades críticas y de la sociedad en su conjunto. Además, finalmente, la garantía de esta resiliencia supone también uno de los principales retos de las estrategias nacionales e internacionales de seguridad.