Glosario · Infraestructura crítica de la UE Directiva CER (Directiva sobre resiliencia de las entidades críticas (Directiva UE 2022/2557))
Directiva de la UE que establece normas armonizadas para reforzar la resiliencia de las entidades que prestan servicios esenciales en 11 sectores críticos. Regulación hermana de NIS2: mientras NIS2 aborda la ciberseguridad, la Directiva CER se ocupa de una resiliencia más amplia (física, híbrida y operativa). En vigor desde enero de 2023, con transposición por los Estados miembros para octubre de 2024.
## Qué es realmente la Directiva CER
La Directiva sobre resiliencia de las entidades críticas (CER, Directiva UE 2022/2557) es el marco de la UE para reforzar la resiliencia de las entidades que prestan servicios esenciales en sectores críticos. Adoptada a finales de 2022 y en vigor desde enero de 2023, con transposición obligatoria por los Estados miembros antes de octubre de 2024, opera como la **regulación hermana no cibernética de NIS2**.
Donde [NIS2](/es/glossary/nis2/) aborda la ciberseguridad de las entidades esenciales e importantes, la Directiva CER se ocupa del cuadro más amplio de la resiliencia: seguridad física, amenazas híbridas, continuidad operativa, dependencias de la cadena de suministro y capacidad de recuperación para la misma población general de entidades.
## Qué sectores se cubren
La Directiva CER identifica 11 sectores críticos:
| Sector | Ejemplos |
|--------|----------|
| **Energía** | Electricidad, petróleo, gas, calefacción urbana, hidrógeno |
| **Transporte** | Aéreo, ferroviario, marítimo, por carretera |
| **Banca** | Entidades de crédito |
| **Infraestructura de los mercados financieros** | Centros de negociación, contrapartes centrales |
| **Salud** | Proveedores sanitarios, laboratorios de referencia de la UE |
| **Agua potable** | Proveedores y distribuidores |
| **Aguas residuales** | Infraestructura de tratamiento |
| **Infraestructura digital** | IXP, DNS, registros TLD, proveedores en la nube, centros de datos |
| **Administración pública** | Administraciones centrales de los Estados miembros |
| **Espacio** | Infraestructura terrestre que da soporte a los servicios espaciales |
| **Alimentación** | Producción, procesamiento y distribución a gran escala |
La lista se solapa significativamente con NIS2: por diseño, ya que las mismas entidades suelen necesitar tanto capacidades de ciberseguridad como de resiliencia más amplia.
## Qué exige la directiva
La Directiva CER impone obligaciones en varios niveles.
### Obligaciones de los Estados miembros
Cada Estado miembro debe:
- **Identificar entidades críticas** en cada uno de los 11 sectores según los criterios de la Comisión
- **Realizar evaluaciones nacionales de riesgos** que aborden la exposición a todo tipo de amenazas
- **Adoptar estrategias nacionales de resiliencia** que aborden las dependencias intersectoriales
- **Designar una autoridad competente** para la aplicación de la Directiva CER
- **Cooperar transfronterizamente** a través del Grupo de Resiliencia de las Entidades Críticas
### Obligaciones de las entidades críticas
Las entidades críticas identificadas deben:
- **Realizar evaluaciones de riesgos** considerando todo tipo de amenazas (físicas, híbridas, de cadena de suministro, operativas)
- **Implementar medidas de resiliencia** proporcionales a los riesgos identificados, incluidos seguridad física, continuidad de negocio, respuesta a incidentes y gestión del riesgo de la cadena de suministro
- **Notificar incidentes** que perturben servicios esenciales a las autoridades competentes
- **Realizar comprobaciones de antecedentes** del personal con funciones sensibles
- **Someterse a verificación de cumplimiento** por las autoridades competentes
### Identificación transfronteriza
Los Estados miembros deben coordinar la identificación de entidades críticas que prestan servicios en varios Estados miembros. La Comisión puede emitir dictámenes sobre la coherencia de la identificación transfronteriza.
## Directiva CER vs NIS2
Las dos directivas están estrechamente coordinadas y muchas entidades están dentro del ámbito de ambas:
| Aspecto | Directiva CER | NIS2 |
|--------|---------------|------|
| Materia | Resiliencia frente a todo tipo de amenazas | Ciberseguridad |
| Sectores | 11 críticos | 18+ (esenciales + importantes) |
| Granularidad de la entidad | Entidades críticas individuales | A nivel de sector |
| Seguridad física | Núcleo | Fuera de ámbito |
| Amenazas híbridas | ✅ | Limitado |
| Riesgo de la cadena de suministro | ✅ | ✅ |
| Umbral de notificación | Incidente significativo | Incidente significativo |
| Sanciones | Implementación por Estado miembro | Hasta 10 M € / 2 % de la facturación |
| En vigor | Enero de 2023, transposición octubre de 2024 | Enero de 2023, transposición octubre de 2024 |
Las directivas comparten cronología, ámbito complementario e implementación coordinada. Varios Estados miembros han creado autoridades competentes únicas que gestionan tanto el cumplimiento de la CER como el de NIS2.
## Por qué importa la Directiva CER
### 1. Lecciones de resiliencia post-COVID institucionalizadas
La Directiva CER surgió del reconocimiento explícito de que la resiliencia de la infraestructura crítica de la UE había sido insuficiente frente a la COVID-19, las perturbaciones del mercado energético y la inestabilidad geopolítica. La directiva institucionaliza las lecciones aprendidas en estas crisis.
### 2. Reconocimiento de las amenazas híbridas
La directiva aborda explícitamente las "amenazas híbridas": combinaciones de ciberataque, desinformación, sabotaje físico y perturbación de la cadena de suministro que actores estatales y no estatales utilizan cada vez más contra la infraestructura crítica europea. Esto es materialmente distinto de los marcos puramente centrados en lo cibernético.
### 3. Coordinación transfronteriza operativa
La infraestructura crítica europea opera cada vez más a través de las fronteras de los Estados miembros. Las interconexiones energéticas, las redes de transporte y la infraestructura de los mercados financieros cruzan jurisdicciones nacionales. Las disposiciones de coordinación transfronteriza de la Directiva CER abordan esto de forma estructural.
### 4. Capa de resiliencia de la cadena de suministro
Las entidades críticas deben abordar explícitamente el riesgo de la cadena de suministro, incluido el de los proveedores tecnológicos. Esto afecta a la contratación pública de servicios en la nube, plataformas de software e infraestructura digital en la UE, donde la perturbación de la cadena de suministro podría afectar a servicios esenciales.
### 5. Infraestructura digital como crítica
La Directiva CER designa explícitamente la infraestructura digital (IXP, DNS, proveedores en la nube, centros de datos) como sector crítico. Esto formaliza lo que ya era operativamente cierto y crea obligaciones regulatorias directas para los proveedores europeos de nube e infraestructura.
## Cómo afecta la Directiva CER a la adquisición de tecnología
### Para los proveedores europeos de nube y centros de datos
Las entidades críticas identificadas por la CER (en infraestructura digital o en otros sectores) deben abordar el riesgo de la cadena de suministro para los servicios tecnológicos. Esto impulsa preferencias de contratación hacia proveedores con sólida documentación de resiliencia, jurisdicción de la UE y capacidad de continuidad demostrada.
Los proveedores europeos de nube (Infomaniak, OVHcloud, Scaleway, otros) que han invertido en documentación de resiliencia se posicionan como proveedores preferidos. Los hyperscalers estadounidenses se enfrentan a una complejidad estructural de cumplimiento para atender a entidades identificadas por la CER.
### Para los proveedores de SaaS que venden a entidades críticas
Si tu producto SaaS da soporte a las operaciones de entidades críticas identificadas por la CER (hospitales, bancos, empresas energéticas, operadores de transporte), tus relaciones con proveedores ahora tienen implicaciones regulatorias directas bajo el marco CER.
### Para los equipos europeos de adquisición de tecnología
Las consideraciones de cumplimiento de la CER se están integrando en los procesos de contratación junto con NIS2, DORA y el cumplimiento de la Ley de IA. El marco regulatorio combinado crea una matriz coherente de evaluación de la contratación que favorece a los proveedores con jurisdicción de la UE demostrada, capacidad de resiliencia y transparencia de la cadena de suministro.
### Para la planificación de respuesta a incidentes
Los requisitos de notificación de incidentes de la CER interactúan con NIS2, DORA, el RGPD y los requisitos sectoriales. Las entidades críticas mantienen cada vez más planes de respuesta a incidentes coordinados que abordan todas las cronologías de notificación regulatoria relevantes.
## La CER y la soberanía digital
La Directiva CER operacionaliza una dimensión estructural de soberanía que los marcos puramente de ciberseguridad no abordan:
- **Seguridad física de la infraestructura digital**: centros de datos, IXP, cables submarinos
- **Dependencias de la cadena de suministro**: semiconductores, hardware, trazabilidad de materiales
- **Continuidad transfronteriza**: servicios que abarcan a varios Estados miembros
- **Preparación frente a amenazas híbridas**: desinformación, sabotaje, perturbación coordinada
Estas dimensiones interactúan con la agenda más amplia de soberanía de la UE, conectando la ciberseguridad de NIS2, la soberanía de materiales de la CRMA y el posicionamiento de defensa de la Brújula Estratégica en una postura coherente.
## Estado de la implementación (2026)
- **Directiva en vigor** desde enero de 2023
- **Plazo de transposición por los Estados miembros**: octubre de 2024; la mayoría ya han transpuesto, algunos siguen completando la implementación
- **Identificación de entidades críticas** en curso: los Estados miembros identifican entidades según criterios basados en el riesgo
- **Primeras notificaciones de incidentes** circulando a través de las autoridades competentes
- **Grupo de Resiliencia de las Entidades Críticas** operativo, con coordinación regular entre Estados miembros
- **Dictámenes de la Comisión sobre identificación transfronteriza** comienzan a emitirse
## Implicaciones prácticas
- **Para operadores de sectores críticos**: identifica tu estatus CER y prepárate para las obligaciones de cumplimiento
- **Para proveedores tecnológicos**: la divulgación de la cadena de suministro y la documentación de resiliencia son cada vez más relevantes para la contratación
- **Para proveedores europeos de nube**: oportunidad estructural derivada de preferencias de contratación hacia la resiliencia bajo jurisdicción de la UE
- **Para proveedores con sede en EE. UU.**: complejidad estructural de cumplimiento al atender a entidades identificadas por la CER
- **Para equipos de políticas y cumplimiento**: integra el marco CER junto a NIS2 en un trabajo de cumplimiento coordinado
La Directiva CER es la regulación europea no cibernética de infraestructura crítica más relevante operativamente de la década de 2020. Combinada con NIS2, conforma el marco coherente de resiliencia que la infraestructura crítica europea requiere operativamente dado el contexto geopolítico tras la COVID y tras Ucrania.
¿Te resultó útil?
¡Gracias por tu opinión!