Bruselas expedienta a España por no aplicar las reglas de protección de servicios críticos

La Comisión Europea ha abierto dos expedientes a España por no haber incorporado a su legislación las directivas europeas de protección de infraestructuras y servicios críticos contra amenazas, incluidos los ciberataques, según informó en un comunicado.

Por un lado, Bruselas abrió un procedimiento de infracción contra España y otros 23 países de la Unión Europea por no haber transpuesto la directiva de resiliencia de las infraestructuras críticas (CER) dentro del plazo para ello, que finalizó el 17 de octubre.

Servicios esenciales

La norma, adoptada en 2022, busca garantizar la protección de infraestructuras críticas y la prestación de servicios esenciales reforzando la resiliencia de entidades críticas frente a una serie de amenazas, incluidos los desastres naturales, ataques terroristas o sabotajes, recordó la Comisión.

La directiva sustituye a una anterior, de 2008, y amplía de dos a once los sectores cubiertos por las reglas: banca, infraestructura de mercados financieros, infraestructura digital, transporte, energía, sanidad, agua potable, aguas residuales, administración pública, espacio y producción, transformación y distribución de alimentos.

La directiva sustituye a una anterior amplía de dos a once los sectores cubiertos

Además de España, han sido expedientadas por este motivo Bélgica, Bulgaria, República Checa, Dinamarca, Alemania, Grecia, Francia, Croacia, Chipre, Letonia, Lituania, Luxemburgo, Hungría, Malta, Países Bajos, Austria, Polonia, Portugal, Rumanía, Eslovenia, Eslovaquia, Finlandia y Suecia.

Segundo expediente

El segundo expediente abierto a España y a otros 22 Estados miembros está relacionado con la directiva NIS2, que busca elevar el nivel de ciberseguridad en todo el bloque y que los países debían trasladar a sus legislaciones nacionales antes del 17 de octubre de este año.

Bruselas considera que esta legislación es «clave» para mejorar la resiliencia y la capacidad de respuesta de entidades tanto públicas como privadas que operan en sectores «críticos» como las comunicaciones electrónicas, los servicios digitales, la gestión del agua y de los desperdicios, el espacio, la sanidad, la energía, el transporte o los servicios postales.

Bruselas considera que esta legislación es «clave» para mejorar la resiliencia

Además de España, la Comisión ha abierto procedimientos de infracción por no haber adoptado aún esta ley a Bulgaria, República Checa, Dinamarca, Alemania, Estonia, Irlanda, Grecia, Francia, Chipre, Letonia, Luxemburgo, Hungría, Malta, Países Bajos, Austria, Polonia, Portugal, Rumanía, Eslovenia, Eslovaquia, Finlandia y Suecia.

Países afectados

Los países afectados por estos dos expedientes disponen de un plazo de dos meses para responder a las autoridades comunitarias, que podrían pasar a la segunda fase de estos procedimientos (una advertencia en forma de dictamen motivado) si consideran que persiste el incumplimiento.

El último paso sería llevar a los Estados miembros que sigan sin aprobar esta legislación ante el Tribunal de Justicia de la Unión Europea (TJUE), institución que en última instancia podría imponer multas económicas a los socios incumplidores.

Los países afectados por estos dos expedientes disponen de un plazo de dos meses para responder

La necesidad de dotar de mayor resiliencia a las infraestructuras críticas de la Unión Europea, en el sector del transporte o de la energía, pero también en el tecnológico, resurgió con los ataques en 2022 a los dos ramales del gasoducto ruso Nord Stream en el Mar Báltico.

Más recientemente, este mismo mes, se han detectado daños en los cables submarinos entre Finlandia y Alemania y entre Suecia y Lituania, cuyas causas aún son investigadas por las autoridades de esos países sin descartar que se trate de un sabotaje, según sugirió el Gobierno alemán.