La Directiva sobre la resiliencia de las entidades críticas (CERD) y la ley neerlandesa sobre la resiliencia de las entidades críticas (Wwke) como nuevo marco de resiliencia para las entidades críticas

Del modelo de protección sectorial a una arquitectura europea de resiliencia

El pensamiento europeo y nacional anterior en materia de protección de las infraestructuras vitales fue, durante mucho tiempo, esencialmente de naturaleza sectorial. Ese enfoque obedecía a una lógica propia, puesto que los riesgos se ordenaban tradicionalmente en función del tipo de infraestructura afectada, de la naturaleza del servicio implicado y de la estructura de la supervisión administrativa. La energía, el transporte, las telecomunicaciones, el agua potable, la sanidad y las infraestructuras financieras eran así tratados, en gran medida, como universos regulatorios distintos, cada uno con sus propias normas, sus propias autoridades supervisoras y sus propios instrumentos. Esta estructura resultaba administrativamente inteligible, pero adolecía de una limitación importante: solo correspondía de forma parcial a la interdependencia real de las funciones críticas modernas. Los servicios esenciales ya no se prestan dentro de silos institucionales cerrados. Funcionan a través de redes digitales, cadenas internacionales de suministro, flujos transfronterizos de capital, complejos acuerdos de mantenimiento, relaciones con proveedores de servicios en la nube, dependencias contractuales, estructuras de externalización y modelos organizativos híbridos público-privados. En semejante realidad, la vulnerabilidad raramente surge en el interior de un único compartimento sectorial. La desorganización se manifiesta cada vez más en los puntos de intersección: entre infraestructuras físicas y digitales, entre financiación y gobernanza, entre logística y presión geopolítica, entre contratos de mantenimiento y exposición a sanciones, así como entre dependencia operativa e influencia económica. El paso de un modelo de protección sectorial a una arquitectura europea de resiliencia debe entenderse, por tanto, como una respuesta a la insuficiencia estructural de modelos fragmentados en una época en la que las perturbaciones son multidimensionales, transfronterizas y mutuamente reforzadas.

En este contexto, la arquitectura europea de resiliencia pretende establecer un marco coherente en el que los Estados miembros, las autoridades competentes y las entidades críticas ya no puedan limitarse a reaccionar ante amenazas que ya se han hecho manifiestas, sino que queden sistemáticamente obligados a identificar de antemano las vulnerabilidades, evaluar su relevancia sistémica y anclar la protección de la continuidad en el nivel organizativo. La propia noción de “arquitectura” es aquí esencial. No designa únicamente una nueva ley o un régimen adicional de supervisión, sino un proyecto normativo en el que diferentes categorías de riesgos y distintos niveles de gobernanza son puestos en relación recíproca. En ese esquema, la entidad crítica deja de ser únicamente el objeto de protección y pasa también a ser titular de una responsabilidad propia consistente en analizar los riesgos, adoptar medidas, absorber los incidentes y mantener, bajo presión, la prestación de servicios esenciales. La dimensión europea acentúa todavía más este efecto, en la medida en que introduce una estructura mínima de conceptos, obligaciones y marcos de evaluación comunes, haciendo que los enfoques nacionales sean menos discrecionales. De ello resulta un tránsito desde una protección ad hoc hacia una organización sistémica de la resiliencia. Dentro de esa organización, la prevención, la preparación, la gobernanza, la interdependencia y la capacidad de restablecimiento dejan de ser tratadas como temas periféricos para convertirse en condiciones centrales de la legitimidad y la fiabilidad de las organizaciones que desempeñan funciones vitales.

Para la gestión integrada de los riesgos de criminalidad financiera, esta transición significa que la integridad financiera y económica ya no puede quedar relegada fuera del debate sobre la resiliencia. En un modelo sectorial, seguía siendo relativamente sencillo delimitar el control de la integridad como una función de cumplimiento encargada de velar por la observancia de las normas contra el blanqueo, del derecho de sanciones, de los indicadores de fraude o de determinadas obligaciones de notificación. En una arquitectura europea de resiliencia, esa delimitación se vuelve mucho más difícil de sostener. Desde el momento en que la prestación de un servicio esencial depende de estructuras de financiación, esquemas de propiedad, empresas conjuntas, proveedores, subproveedores, socios de software, financiadores o inversores extranjeros, la influencia económico-financiera se convierte en un elemento del análisis de la vulnerabilidad estructural. De ello se sigue que la gestión integrada de los riesgos de criminalidad financiera ya no puede limitarse a la supervisión de transacciones o al análisis del riesgo caso por caso, sino que debe vincularse al análisis de la gobernanza, al cribado de las cadenas de suministro, al examen de los titulares reales, a la sensibilidad de los terceros respecto de las sanciones, a los mecanismos contractuales de escalada y a los escenarios de presión operativa ejercida a través de medios económicos. La evolución hacia una arquitectura europea de resiliencia pone así de relieve que la protección de las entidades críticas no depende únicamente de vallas, cortafuegos y planes de crisis, sino también de la capacidad de las relaciones económicas sobre las que descansa la entidad para resistir abusos, la creación de dependencias y la infiltración estratégica.

Finalidad y estructura sistemática de la Directiva CER

La Directiva CER no es, por su concepción, un instrumento técnico de detalle, sino una medida marco dotada de una marcada significación constitucional para el funcionamiento de los servicios esenciales dentro de la Unión. Su finalidad no consiste simplemente en elevar el nivel de protección de determinadas infraestructuras, sino en reforzar la resiliencia de las entidades que prestan servicios cuya interrupción puede provocar graves perturbaciones sociales, económicas o administrativas. En términos jurídicos, este objetivo es sensiblemente más amplio que la protección clásica de infraestructuras. No se trata ni exclusivamente de la seguridad de las instalaciones ni simplemente de la protección frente a una sola categoría de amenaza, sino de un enfoque integrado de la perturbación, la vulnerabilidad y la continuidad. La Directiva indica así con claridad que la relevancia de una entidad deriva de la función que desempeña para la sociedad y para la economía. El centro normativo se desplaza desde la protección de activos individuales hacia la salvaguardia de servicios, procesos y funciones esenciales para la estabilidad colectiva. Dentro de esta estructura, la continuidad de la prestación se convierte en un concepto jurídico central, y la cuestión de si una entidad es suficientemente resiliente depende de su capacidad para identificar los riesgos, mitigarlos, gestionar los incidentes y mantener o restablecer oportunamente las funciones operativas bajo presión.

La estructura sistemática de la Directiva CER está, por tanto, deliberadamente construida en torno a un conjunto de responsabilidades recíprocas entre los Estados miembros y las entidades críticas. Desde la perspectiva del Estado miembro, la Directiva exige una estrategia nacional, una evaluación nacional de riesgos, un mecanismo de identificación y designación de las entidades críticas, así como una estructura de supervisión proporcionada a la gravedad de los intereses protegidos. Desde la perspectiva de la entidad, el marco impone la evaluación de los riesgos pertinentes, la adopción de medidas técnicas, de seguridad y organizativas adecuadas, así como la gestión de incidentes con impacto significativo dentro de una lógica más amplia de responsabilidad en materia de resiliencia. Esta estructura multinivel reviste gran importancia, porque muestra que la resiliencia no puede reducirse a una cuestión puramente interna de empresas aisladas, del mismo modo que tampoco puede trasladarse por completo al Estado. El modelo es híbrido: la determinación pública de las normas y la responsabilidad privada de aplicación quedan articuladas jurídicamente entre sí. Ahí reside la fuerza de la Directiva, pero también su peso administrativo. La Directiva exige una forma de alineación estructural en la que el análisis público de seguridad, el conocimiento sectorial, los procesos empresariales, las dependencias de las cadenas de suministro y la realidad operativa queden reunidos en un único marco de evaluación.

Desde el punto de vista de la gestión integrada de los riesgos de criminalidad financiera, la amplitud sistemática de la Directiva CER presenta una relevancia particular. La Directiva no prescribe de manera exhaustiva qué categorías concretas de riesgo deban, en toda hipótesis, recibir un tratamiento idéntico, sino que crea un marco normativo dentro del cual toda amenaza pertinente para la prestación de servicios esenciales adquiere relevancia jurídica en cuanto sea susceptible de afectar a la resiliencia de la entidad. Ello abre el espacio, y a menudo también la necesidad, para integrar de forma mucho más explícita las amenazas económico-financieras en el análisis de la resiliencia. Estructuras accionariales opacas, montajes de inversión manipuladores, financiaciones sensibles a las sanciones, corrupción en las adquisiciones, fraude en los contratos de mantenimiento, dependencias ocultas respecto de terceros económicamente arriesgados y relaciones logísticas caracterizadas por una mayor sensibilidad en materia de integridad no constituyen, en esta lógica, cuestiones accesorias. Forman parte de los mecanismos reales a través de los cuales una entidad crítica puede ser debilitada, orientada o afectada en su continuidad. El propio objetivo de la Directiva CER, a saber, el fortalecimiento de la resiliencia efectiva de las entidades críticas, implica, por tanto, que la gestión integrada de los riesgos de criminalidad financiera no puede situarse fuera de la estructura sistemática de la Directiva. Al contrario, la Directiva impone una lectura en la que la integridad financiera se comprende como una de las condiciones estructurales del funcionamiento fiable de los servicios esenciales.

Las relaciones entre la CER, la NIS2 y la normativa más amplia en materia de seguridad

Las relaciones entre la Directiva CER y la NIS2 muestran que el legislador europeo manifiesta una preferencia cada vez más explícita por una legislación coherente en materia de resiliencia frente a regímenes separados y aislados. Ambos instrumentos persiguen la protección de funciones esenciales e importantes, pero lo hacen desde perspectivas distintas. La Directiva CER se refiere a la resiliencia más amplia, física, organizativa y operativa de las entidades críticas, mientras que la NIS2 se centra ante todo en la ciberseguridad, las redes y sistemas de información, así como en la gobernanza de los riesgos digitales. Esa distinción es funcional, pero no debe ser sobrevalorada en el plano analítico. En el funcionamiento real de las entidades críticas, los riesgos físicos, operativos, digitales y económicos rara vez permanecen nítidamente separados. Un proveedor vulnerable con vínculos sensibles desde la perspectiva sancionadora puede disponer simultáneamente de acceso a entornos de gestión digital, a procesos de mantenimiento físico y a información operativa de relevancia estratégica. Un riesgo de fraude económico-financiero puede manifestarse a través de las adquisiciones informáticas, de la externalización de servicios de software críticos o de una dependencia respecto de sujetos extranjeros profundamente integrados en la infraestructura no solo en el plano económico, sino también en el digital. De ello resulta un panorama normativo en el que la CER y la NIS2 siguen siendo formalmente regímenes distintos, aun cuando materialmente se refieran a la misma realidad organizativa. Las entidades críticas que sigan abordando estos regímenes de forma compartimentada corren el riesgo de que las vulnerabilidades más graves permanezcan invisibles precisamente en los puntos de conexión.

Esta configuración se ve además reforzada por la normativa más amplia en materia de seguridad. Junto a la CER y la NIS2 existen, en efecto, marcos nacionales y europeos en los ámbitos de las sanciones, el control de inversiones, la contratación pública, la protección de datos, los requisitos prudenciales sectoriales, las obligaciones de lucha contra el blanqueo, el control de exportaciones, la gestión de crisis y la protección de la seguridad nacional. El panorama jurídico no se corresponde, por tanto, con un simple dualismo entre resiliencia física y resiliencia digital, sino con un sistema estratificado de responsabilidades superpuestas y de objetivos de protección parcialmente convergentes. El principal desafío no reside únicamente en el cumplimiento de cada uno de los instrumentos considerados por separado, sino en el desarrollo de un marco interpretativo que permita a una entidad determinar de qué manera esos instrumentos definen conjuntamente su posición de resiliencia. No se trata, en absoluto, de un ejercicio puramente teórico. Cuando varios regímenes captan cada uno una parte del mismo riesgo, puede configurarse fácilmente una situación en la que exista un cumplimiento formal sobre el papel, mientras que el control sustancial siga siendo insuficiente debido a la fragmentación de la información, de la propiedad y del proceso de decisión. Una organización puede, por ejemplo, disponer de una política cibernética adecuada, de procedimientos separados en materia de sanciones, de un código de proveedores, de un marco antifraude y de un plan de continuidad y, sin embargo, seguir estando insuficientemente informada acerca de la manera en que un tercero económicamente riesgoso ejerce una influencia desproporcionada sobre un servicio esencial mediante acceso digital, presencia física y entrelazamiento contractual. Las relaciones entre la CER, la NIS2 y la normativa más amplia en materia de seguridad exigen, por ello, no solo un conocimiento jurídico de regímenes paralelos, sino, sobre todo, una integración de la gobernanza.

Para la gestión integrada de los riesgos de criminalidad financiera, de ello se desprende que esta función ya no puede mantenerse como un ámbito activado exclusivamente con ocasión de transacciones, alertas, investigaciones sobre clientes o notificaciones de incidentes. En la lógica interconectada de la CER, la NIS2 y la normativa más amplia en materia de seguridad, la gestión integrada de los riesgos de criminalidad financiera debe situarse como una disciplina puente que conecte la integridad económica con las vulnerabilidades operativas, digitales y estratégicas. Ello exige una lectura mucho más amplia del riesgo. Un riesgo sancionador no es entonces solamente una cuestión de prohibición jurídica, sino también una cuestión de fiabilidad del abastecimiento y de dependencia sistémica. Un riesgo de corrupción en la contratación o en las adquisiciones no constituye únicamente una cuestión de gobernanza y de exposición penal, sino también un riesgo para la calidad, la fiabilidad y la capacidad de restablecimiento de un servicio vital. Una estructura de propiedad compleja relativa a un socio de software o de mantenimiento no resulta relevante solo desde una perspectiva de conocimiento de la contraparte, sino igualmente desde el punto de vista de verificar si una influencia oculta, una presión económica o un control opaco afectan a un nodo operativo crítico. El verdadero significado de las relaciones entre la CER, la NIS2 y la normativa más amplia en materia de seguridad reside, por tanto, en la necesidad de una estructura integrada de gobernanza y gestión del riesgo. Dentro de esa estructura, la gestión integrada de los riesgos de criminalidad financiera debe ocupar un lugar pleno y propio como instrumento que permita traducir una contaminación económico-financiera en amenazas concretas para la continuidad de los servicios esenciales.

La aplicación neerlandesa a través de la Wwke

La aplicación neerlandesa de la Directiva CER mediante la ley sobre la resiliencia de las entidades críticas presenta una importancia particular tanto en el plano legislativo como en el administrativo, pues se ha optado por concentrar dicha aplicación en un único marco legislativo central en lugar de dispersarla entre múltiples regímenes sectoriales. Esa elección no es de naturaleza puramente redaccional o codificadora. Expresa una visión clara de la resiliencia como principio global de gobernanza y protección. Al situar la aplicación en una única ley central, se pone de manifiesto que el interés protegido no es, en primer lugar, sectorial, sino que se refiere al mantenimiento de los servicios esenciales en cuanto funciones públicas y económicas. Esta técnica legislativa evita que la unidad normativa subyacente al marco europeo de resiliencia se fragmente en minirregímenes sectoriales distintos, dotados de terminologías divergentes, de intensidades variables de las obligaciones y de una visibilidad limitada de sus interdependencias respectivas. La ley sobre la resiliencia de las entidades críticas permite, por el contrario, partir de una estructura común de designación, evaluación de riesgos, obligaciones, supervisión y coordinación administrativa, dentro de la cual las especificidades sectoriales pueden ciertamente ser tomadas en consideración, pero sin menoscabar la lógica central de la resiliencia.

Esta centralización tiene importantes consecuencias sobre la manera en que las organizaciones deben leer y hacer operativas sus obligaciones. En un modelo fragmentado, existe el riesgo de que las entidades consideren las obligaciones de resiliencia como exigencias sectoriales de cumplimiento susceptibles de ser absorbidas por los departamentos existentes sin una refundación sustancial de la gobernanza. Una ley central hace ese reflejo mucho más difícil. Indica que no se trata de una suma de obligaciones administrativas, sino de un régimen coherente de resiliencia que se dirige a la organización en su conjunto. Ello tiene implicaciones para la dirección, la supervisión, los controles internos, las líneas de escalada, las adquisiciones, la gestión de terceros, la gestión de crisis, las decisiones de inversión y las dependencias de las cadenas de suministro. Además, los documentos explicativos neerlandeses han aclarado expresamente que las obligaciones derivadas de la Directiva CER se aplicarán en los Países Bajos únicamente tras la entrada en vigor de la ley sobre la resiliencia de las entidades críticas y después de la designación de una organización como entidad crítica. Esta aclaración reviste una importancia singular desde la perspectiva del Estado de Derecho, ya que proporciona certeza respecto del momento en que determinadas obligaciones concretas se vuelven jurídicamente vinculantes. No obstante, esta claridad temporal no atenúa en absoluto el mensaje sustantivo de la normativa: las organizaciones potencialmente incluidas en el ámbito de aplicación harían bien en someter desde ahora su gobernanza, su evaluación de riesgos y su arquitectura de integridad al examen de este régimen, teniendo en cuenta la amplitud de sus implicaciones organizativas.

Para la gestión integrada de los riesgos de criminalidad financiera, la elección neerlandesa de una única ley central de aplicación subraya que la integridad financiera no puede situarse como una función periférica de cumplimiento junto a la exigencia de resiliencia, sino que debe integrarse en ella. En el momento en que el legislador organiza la protección de las entidades críticas en torno a una lógica global de resiliencia, resulta cada vez menos defendible sostener que las estructuras de propiedad, las relaciones de capital, la exposición a sanciones, la integridad de los proveedores y la influencia económico-financiera siguen siendo cuestiones propias exclusivamente de equipos especializados separados. La estructura central de la ley sobre la resiliencia de las entidades críticas apunta en la dirección de una gobernanza integrada. Esto significa que los órganos de dirección y las funciones de control deben estar en condiciones de demostrar no solo el cumplimiento formal de reglas específicas de integridad, sino también que los riesgos económico-financieros han sido conectados sistemáticamente con la evaluación de los procesos críticos, de los activos esenciales, de las dependencias operativas y de la robustez frente a las crisis. Allí donde falte esa conexión, existe el riesgo de que una entidad aparezca jurídicamente ordenada en expedientes diferenciados de cumplimiento y, sin embargo, siga estando materialmente expuesta a perturbaciones susceptibles, a través de relaciones económicas o de terceros opacos, de vaciar de contenido la continuidad de un servicio esencial. Es precisamente la centralización legislativa neerlandesa lo que pone de relieve el carácter cada vez más insostenible de semejante separación entre cumplimiento y resiliencia.

Ámbito de aplicación: qué sectores y qué entidades se ven afectados

El ámbito de aplicación del marco CER/Wwke es amplio y responde a una decisión estratégica. Esta amplitud no constituye un efecto secundario accidental, sino la consecuencia directa del enfoque funcional que sustenta el régimen. Lo decisivo no es la calificación formal de una organización como pública o privada, grande o pequeña, comercial o semipública, sino la cuestión de si la entidad afectada presta un servicio esencial cuya interrupción sea susceptible de producir graves consecuencias sobre la estabilidad social, la salud pública, la seguridad pública, la continuidad económica o el orden administrativo. Es por ello por lo que el marco abarca sectores tales como la energía, el transporte, el sector bancario, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales, la infraestructura digital, los servicios públicos, la alimentación y el espacio. Esta amplitud sectorial refleja el reconocimiento de que las dependencias críticas no se limitan a las infraestructuras tradicionalmente visibles. Una sociedad moderna depende en medida muy considerable de servicios que no siempre son materialmente tangibles y que, sin embargo, desempeñan una función de relevancia sistémica. Las infraestructuras de los mercados financieros, el tratamiento de datos, la coordinación logística, las funciones públicas esenciales y determinadas cadenas industriales pueden, en caso de interrupción, resultar tan desestabilizadoras como los servicios públicos tradicionales. El ámbito de aplicación del marco debe, por tanto, leerse como una expresión jurídica de la dependencia sistémica.

Dentro de este amplio perímetro sectorial, sin embargo, no todo actor se convierte automáticamente en entidad crítica. El centro normativo reside en la identificación y designación de aquellas organizaciones cuya función, dimensión, posición en la cadena, importancia geográfica, relevancia de mercado o grado de sustituibilidad sean tales que una perturbación pueda generar consecuencias desproporcionadas. Es precisamente esa selectividad la que confiere al régimen su refinamiento jurídico. El marco no se dirige a una regulación económica general, sino a las entidades que desempeñan un papel desproporcionado en el funcionamiento de los servicios esenciales. Ello significa que, en la práctica, la apreciación del ámbito de aplicación dependerá en gran medida del contexto: la posición de la entidad dentro de la cadena, la disponibilidad de alternativas, el grado de concentración del mercado, la amplitud de los efectos aguas abajo en caso de fallo, la interconexión con otras funciones críticas y las posibilidades de restablecimiento tras una perturbación. Para las organizaciones, ello comporta una importante consecuencia en el plano de la gobernanza. La cuestión de si una entidad se ve afectada no puede abordarse exclusivamente mediante una lectura formal de las etiquetas sectoriales, sino que requiere un análisis sustantivo de la función y la dependencia. En ese análisis, incluso sujetos que tradicionalmente no se consideraban vitales o críticos pueden verse confrontados con la realidad de que su posición operativa los sitúa, de hecho, en el corazón de los servicios esenciales.

Para la gestión integrada de los riesgos de criminalidad financiera, este ámbito de aplicación amplio pero selectivo comporta consecuencias muy considerables. A medida que un número creciente de sectores y de tipos de entidades entra en el marco de resiliencia, aumenta también el número de contextos en los que los riesgos económico-financieros deben leerse como cuestiones de resiliencia. En el sector energético, las cuestiones pertinentes pueden referirse a vehículos de inversión, cadenas de suministro de combustibles, prestadores de mantenimiento y proveedores de componentes. En el sector sanitario, pueden afectar a relaciones de adquisición, logística farmacéutica, sistemas digitales de atención y prestadores externos especializados. En las infraestructuras de los mercados financieros, el acento puede ponerse en la propiedad, la gobernanza, las relaciones de compensación, la externalización y las conexiones de mercado sensibles a las sanciones. En el transporte y la logística, las cadenas contractuales, la explotación de terminales, las plataformas digitales, las vulnerabilidades relacionadas con las aduanas y la influencia operativa extranjera pueden adquirir relevancia. Una amplitud de esta naturaleza significa que la gestión integrada de los riesgos de criminalidad financiera no puede apoyarse en un modelo uniforme de control desligado del papel funcional de la entidad dentro del sistema. Exige un análisis sensible a las especificidades sectoriales, pero capaz de atravesar los distintos marcos, en el que se preste atención constante al modo en que la contaminación económico-financiera, el control opaco, la influencia corruptora, la elusión de sanciones o las relaciones fraudulentas dentro de las cadenas de suministro pueden afectar a la fiabilidad del servicio esencial de que se trate. El ámbito de aplicación del marco CER/Wwke demuestra así con claridad que la relevancia de la gestión integrada de los riesgos de criminalidad financiera no se limita al sector financiero, sino que se extiende al conjunto del ámbito de las funciones críticas sociales y económicas.

Servicios esenciales, funciones sociales y continuidad económica

La pareja conceptual formada por los “servicios esenciales” y las “funciones sociales” constituye el núcleo normativo del nuevo marco de resiliencia, porque en ella se hacen visibles los intereses que la Directiva sobre la resiliencia de las entidades críticas y la Ley sobre la resiliencia de las entidades críticas pretenden, en última instancia, proteger. Ello va considerablemente más allá de salvaguardar intereses empresariales aislados o de prevenir fallos meramente técnicos. En este marco, los servicios esenciales adquieren relevancia jurídica porque crean las condiciones necesarias para el funcionamiento de la sociedad en su conjunto y para la preservación del orden económico, la seguridad pública, la salud pública, la continuidad administrativa y la estabilidad social. La propia noción de “esencial” adquiere así un carácter fundamentalmente relacional. Un servicio no es esencial únicamente por su importancia abstracta, sino por la cadena de consecuencias que puede desencadenarse cuando su prestación se ve estructuralmente perturbada. Como resultado, la mirada jurídica se desplaza desde la organización considerada aisladamente hacia el papel que esta desempeña dentro de la red más amplia de dependencias en la que se insertan ciudadanos, empresas, autoridades públicas y otras funciones críticas. La interrupción de un servicio esencial rara vez afecta únicamente al destinatario inmediato. Sus efectos se propagan a través de cadenas de confianza, disponibilidad, flujos transaccionales, logística, salud, acceso a bienes básicos y capacidad de actuación de los poderes públicos. Esa concepción más amplia del sistema explica por qué el nuevo orden de resiliencia sitúa en primer plano, como norma cardinal, la continuidad de la prestación.

La conexión entre funciones sociales y continuidad económica profundiza aún más este análisis. En modelos de seguridad más antiguos existía en ocasiones la tendencia a tratar la protección social y la racionalidad económica como esferas distintas, situando la seguridad y la continuidad principalmente en el ámbito público, mientras que el mercado, la contratación y la financiación se relegaban al ámbito privado. El marco CER/Wwke rompe con esa separación de manera principial. En las economías modernas, las funciones sociales se prestan a menudo mediante estructuras privadas, híbridas o fuertemente externalizadas, de modo que la continuidad de los servicios vitales depende en gran medida de relaciones comerciales, decisiones de inversión, modelos de aprovisionamiento, estrategias de digitalización, disponibilidad de capital y organización de las cadenas. La continuidad económica deja, por tanto, de ser un mero interés empresarial y pasa a convertirse en un elemento constitutivo de la resiliencia pública. Cuando la base económica de un servicio esencial se vuelve frágil a causa de una financiación arriesgada, de una dependencia excesiva de proveedores opacos, de la concentración de procesos críticos en terceros vulnerables o de estructuras de gobernanza insuficientemente resistentes a influencias externas, no solo la empresa queda sometida a presión, sino también el interés social que el servicio mismo encarna. Por ello, el nuevo marco no se satisface con la existencia formal de procesos y contratos, sino que sitúa en el centro la cuestión de si la función crítica puede seguir operando materialmente en condiciones de perturbación.

Para la gestión integrada de riesgos de criminalidad financiera, ello significa que la integridad financiera debe vincularse de manera directa con la protección de las funciones sociales y de la continuidad económica. En el momento en que el objeto de protección deja de ser exclusivamente la organización misma y pasa a ser el servicio esencial que esta presta, cambia también el significado de los riesgos económico-financieros. Un flujo de fondos fraudulento, una relación contractual corruptiva, una estructura de control encubierta o un nivel intermedio sensible desde la perspectiva de las sanciones dejan entonces de constituir meramente una cuestión de integridad en sentido estricto y pasan a representar una posible afectación de la función social desempeñada por la entidad. Ello resulta especialmente cierto cuando tales riesgos se sitúan en puntos en los que la organización depende operativamente de terceros, donde las alternativas de emergencia son limitadas, donde la sustitución resulta difícil o donde la toma de decisiones debe acelerarse bajo presión. En tales circunstancias, la contaminación económico-financiera puede debilitar hasta tal punto la continuidad económica de la organización que el propio servicio esencial quede comprometido. La gestión integrada de riesgos de criminalidad financiera debe, por tanto, diseñarse con una conciencia aguda del impacto funcional. La cuestión relevante no es únicamente si una operación resulta sospechosa, si una relación se aparta de un perfil de cumplimiento o si un proveedor ha superado formalmente un proceso de selección. La cuestión decisiva es si los riesgos económico-financieros son capaces de condicionar, debilitar o interrumpir la función social de la entidad. De este modo, la gestión integrada de riesgos de criminalidad financiera se convierte en una parte inseparable del mandato jurídico y administrativo de proteger la continuidad social y económica.

Armonización europea frente al margen nacional de aplicación

La Directiva sobre la resiliencia de las entidades críticas encarna una tensión clásica, aunque particularmente aguda en este ámbito, dentro del Derecho de la Unión: la tensión entre la armonización europea, por un lado, y el margen nacional de aplicación, por otro. La armonización resulta necesaria en este contexto, porque la vulnerabilidad de las entidades críticas y de los servicios esenciales no puede quedar contenida dentro de las fronteras nacionales. Interconexiones energéticas, corredores de transporte, infraestructuras de los mercados financieros, redes digitales, cadenas logísticas, entornos de nube y flujos de inversión operan todos, en gran medida, a través de fronteras. Un enfoque nacional profundamente divergente respecto de las obligaciones de resiliencia menoscabaría, por tanto, no solo el mercado interior, sino también la seguridad colectiva y la continuidad de la Unión. Por esa razón, la Directiva crea un marco conceptual común, un nivel mínimo de obligaciones y un deber estructural para los Estados miembros de identificar a las entidades críticas y abordar su resiliencia de manera sistemática. Esta armonización europea desempeña una función clara. Impide que la resiliencia dependa únicamente de preferencias nacionales de política pública y pretende garantizar que en todos los Estados miembros exista una arquitectura mínima de protección para aquellas funciones que con frecuencia también revisten una importancia indirecta para otros Estados miembros.

Al mismo tiempo, un espacio de aplicación nacional resulta inevitable y, en gran medida, deseable. Las dependencias críticas difieren, en efecto, de un Estado miembro a otro, al igual que difieren la situación geográfica, la estructura sectorial, la organización institucional, la percepción de las amenazas, el grado de concentración de determinados servicios y las arquitecturas de supervisión existentes. Un país con grandes nodos marítimos, un país con una economía altamente digitalizada o un país con una infraestructura energética excepcionalmente concentrada necesariamente pondrá acentos distintos en la identificación de entidades críticas y en la operacionalización concreta de la supervisión y de las obligaciones de resiliencia. El margen nacional de aplicación permite precisamente tener en cuenta esos factores contextuales sin abandonar el objetivo europeo subyacente. La tensión entre armonización y margen de aplicación no constituye, por ello, únicamente un problema institucional, sino un elemento esencial del propio diseño de la Directiva. La verdadera cuestión no es si ambos polos coexisten, sino cómo deben ordenarse de manera que produzcan suficiente uniformidad para imponer estándares comunes de resiliencia, preservando al mismo tiempo un grado adecuado de flexibilidad para atender correctamente a las realidades nacionales. Mucho dependerá, en la práctica, precisamente de ese punto: de las opciones de técnica legislativa, de las prácticas de designación, de la coordinación administrativa y de la manera en que se configure materialmente la supervisión.

Para la gestión integrada de riesgos de criminalidad financiera, esta tensión reviste una importancia considerable. La armonización europea incrementa la presión a favor de un enfoque más coherente y menos discrecional de los riesgos económico-financieros en los sectores críticos. Una vez que la protección de los servicios esenciales se eleva a interés común del Derecho de la Unión, resulta cada vez más difícil permitir que el examen de las estructuras de propiedad, la sensibilidad a las sanciones, la integridad de terceros o la evaluación de dependencias económicamente riesgosas se determinen únicamente por culturas empresariales nacionales divergentes o por hábitos sectoriales particulares. Al mismo tiempo, el margen nacional de aplicación implica que la configuración precisa de la gestión integrada de riesgos de criminalidad financiera no será completamente uniforme. Los perfiles de riesgo concretos de las entidades críticas difieren de forma sustancial, al igual que varían las expectativas institucionales en materia de gobernanza, supervisión e intercambio de información entre el sector público y el sector privado. El verdadero desafío consiste, por tanto, en desarrollar un modelo que sea suficientemente robusto para satisfacer una lógica europea de resiliencia y, al mismo tiempo, suficientemente sensible al contexto para incorporar patrones nacionales de amenaza, especificidades sectoriales y estructuras particulares de cadena. Allí donde falte ese equilibrio, se corre el riesgo, por un lado, de una armonización formalista sin eficacia material o, por otro, de una flexibilidad nacional interpretada de manera tan amplia que vacíe de contenido el objetivo central de resiliencia. En este campo de tensión, la gestión integrada de riesgos de criminalidad financiera debe evolucionar hacia una disciplina que resulte al mismo tiempo legible a escala europea y aplicable a escala nacional.

Obligaciones jurídicas, cargas administrativas y viabilidad práctica

El nuevo marco de resiliencia comporta indudablemente un endurecimiento significativo de las obligaciones jurídicas, pero el sentido de ese cambio no reside únicamente en un incremento de la densidad normativa. La transformación esencial se encuentra en la propia naturaleza de las obligaciones impuestas. No se trata simplemente de prescripciones aisladas o de actos administrativos puntuales, sino de exigencias que penetran profundamente en la gobernanza, la evaluación de riesgos, la visibilidad de las cadenas, la gestión de incidentes, la arquitectura de seguridad y la responsabilidad administrativa. Obligaciones de esta índole pertenecen a un orden distinto del de los requisitos clásicos de cumplimiento, que pueden traducirse con relativa facilidad en listas de verificación, informes periódicos o procedimientos delimitados. El marco CER/Wwke exige una preparación demostrable, un control estructural de los riesgos y una coherencia organizativa. De ello resulta un conjunto de obligaciones que no puede reducirse a la mera producción de documentación, sino que reclama una evaluación material acerca de si una entidad crítica está verdaderamente en condiciones de seguir prestando un servicio esencial bajo presión. En este modelo, las obligaciones jurídicas no se administran simplemente; se contrastan a la luz de su eficacia dentro de una lógica más amplia de continuidad. Esto hace que la aplicación sea más exigente, pero también conceptualmente más honesta: el marco obliga a las organizaciones a poner en relación su cumplimiento formal con su posición real de resiliencia.

Ese endurecimiento conduce inevitablemente a cargas administrativas. Los análisis de riesgo deben profundizarse, las estructuras de gobernanza recalibrarse, las líneas de responsabilidad aclararse, las relaciones con terceros reevaluarse y los mecanismos de crisis y continuidad conectarse, en el plano material, con las funciones de integridad y seguridad. Para muchas organizaciones, ello implicará inversiones considerables en conocimiento especializado, sistemas, coordinación y atención al nivel de la dirección. Sin embargo, las cargas administrativas no constituyen aquí un fenómeno puramente cuantitativo, como si el problema consistiera únicamente en un mayor número de informes, procedimientos o contactos con las autoridades supervisoras. La carga es, ante todo, de naturaleza cualitativa. Las organizaciones se ven obligadas a conectar disciplinas que históricamente se encontraban organizadas de manera separada. Asuntos jurídicos, seguridad, riesgo, compras, finanzas, ciberseguridad, operaciones, cumplimiento y gestión de crisis ya no pueden funcionar como compartimentos estancos yuxtapuestos, sino que deben operar dentro de un marco compartido de resiliencia. Esto genera fricciones institucionales, porque los conceptos, las prioridades y los criterios de evaluación difieren. Lo que parece eficiente desde una perspectiva operativa puede resultar inaceptable desde la perspectiva de la integridad; lo que parece defendible desde el punto de vista jurídico puede revelarse insuficientemente robusto desde la lógica de la continuidad. La carga administrativa no consiste, por tanto, únicamente en trabajo adicional, sino también en la necesidad de reordenar y disciplinar lógicas organizativas bajo un único principio general de protección.

En ese contexto, la cuestión de la viabilidad práctica adquiere un carácter decisivo. Un marco de resiliencia pierde legitimidad cuando carga a las organizaciones con obligaciones formalmente extensas, pero prácticamente insuficientemente orientadoras, o cuando el peso de la aplicación llega a ser tan elevado que la atención se desplaza hacia la producción documental en detrimento del control real de los riesgos. Para la gestión integrada de riesgos de criminalidad financiera, este constituye un punto especialmente agudo. El ámbito ya presenta una notable complejidad normativa, exigencias elevadas en materia de conformación de expedientes, intensas obligaciones de monitorización y una marcada tendencia a la procedimentalización. Si esta función se superpone simplemente, sin una estructuración adicional, a un régimen amplio de resiliencia, existe un riesgo real de capas de control duplicadas, análisis paralelos y agotamiento administrativo sin un incremento proporcional de la seguridad material. El enfoque viable no reside, por tanto, en sumar obligaciones distintas, sino en integrarlas. El análisis de la propiedad, el filtrado de proveedores, la evaluación de sanciones, los controles en materia de aprovisionamiento, la gobernanza de terceros y los escenarios de continuidad deben conectarse dentro de un único modelo coherente, de modo que los mismos datos y evaluaciones puedan servir a varias funciones dentro de una arquitectura compartida de resiliencia. Ahí reside la clave para una gestión integrada de riesgos de criminalidad financiera practicable dentro de las entidades críticas: no como carga aislada, sino como componente integrada de una gobernanza más amplia de la resiliencia. Allí donde ello funcione, las obligaciones jurídicas y las cargas administrativas podrán traducirse en un fortalecimiento real de la continuidad. Allí donde fracase, el marco corre el riesgo de quedar atrapado en una presión formal sin un incremento equivalente de la protección material.

El significado del marco CER/Wwke para la gestión integrada de riesgos de criminalidad financiera en los sectores vitales

Resulta difícil exagerar la significación del marco CER/Wwke para la gestión integrada de riesgos de criminalidad financiera en los sectores vitales, dado que dicho marco redefine el lugar de la integridad económico-financiera dentro de la estructura de gobernanza de las entidades críticas. En muchas organizaciones, la gestión integrada de riesgos de criminalidad financiera se situaba tradicionalmente como un ámbito especializado de control, a menudo concentrado en torno a obligaciones legales relativas a la lucha contra el blanqueo, el cumplimiento de sanciones, la prevención del fraude, la diligencia debida respecto del cliente, la monitorización transaccional o mecanismos internos de investigación. Ese posicionamiento resultaba comprensible dentro de un paradigma clásico de cumplimiento en el que la cuestión central era si la organización detectaba a tiempo las irregularidades, cumplía con sus deberes de comunicación y limitaba su exposición a sanciones jurídicas. El marco CER/Wwke, sin embargo, desplaza el centro de gravedad hacia una cuestión radicalmente distinta. Lo que está en juego no es solo la licitud de comportamientos o relaciones individuales, sino la cuestión de si los riesgos económico-financieros son capaces de socavar la fiabilidad de la prestación, la autonomía administrativa y la estabilidad operativa de una función vital. Ello significa que la gestión integrada de riesgos de criminalidad financiera deja de constituir simplemente una línea defensiva frente al riesgo de actuación sancionadora y pasa a convertirse en un instrumento para salvaguardar la resiliencia material de los servicios esenciales.

En los sectores vitales, este desplazamiento adopta un contenido sumamente concreto. En los entornos energéticos, la influencia económico-financiera puede manifestarse a través de estructuras de inversión en torno a activos críticos, relaciones de mantenimiento con partes extranjeras, adquisición de componentes escasos, cadenas contractuales marcadas por una elevada sensibilidad a la corrupción o dependencia respecto de proveedores expuestos a sanciones. En el ámbito sanitario, las cuestiones relevantes pueden referirse a la distribución de recursos cruciales, prestadores privados con acceso a procesos esenciales, estructuras de aprovisionamiento vulnerables y la incidencia del fraude o del abuso económico sobre la disponibilidad de capacidad asistencial. En el transporte y la logística, los servicios terminales, el mantenimiento, las plataformas de software, la subcontratación y las cadenas transfronterizas pueden constituir importantes vectores de vulnerabilidad económico-financiera. En las infraestructuras digitales y en las infraestructuras de los mercados financieros, la propiedad, la externalización, las relaciones de nube, las funciones de compensación, el tratamiento de datos y las redes internacionales de gobernanza pueden suscitar cuestiones comparables. En todos estos contextos, la cuestión relevante desde la perspectiva de la integridad no se limita a determinar si existe una irregularidad susceptible de ser investigada por separado. Lo decisivo es si los riesgos económico-financieros se sitúan en puntos donde proporcionan acceso a procesos críticos, donde pueden afectar a la calidad de la toma de decisiones, donde pueden profundizar dependencias o donde pueden menoscabar la capacidad de recuperación durante perturbaciones. El marco CER/Wwke, por tanto, no solo amplía el alcance de la gestión integrada de riesgos de criminalidad financiera, sino que también profundiza su intensidad sustantiva.

Esta evolución exige una reubicación estructural de la gestión integrada de riesgos de criminalidad financiera dentro de la gobernanza de los sectores vitales. La función ya no puede operar en la periferia de la organización como un centro especializado de control que solo se activa después de que las líneas de negocio, las compras o las operaciones hayan adoptado decisiones esenciales. Debe integrarse en el nivel en el que se adoptan decisiones relativas a la propiedad, la cooperación estratégica, la selección de proveedores, la estructura de capital, la externalización, las adquisiciones de emergencia, el acceso de terceros, las dependencias digitales y los modelos operativos de contingencia. Solo en ese nivel resulta posible valorar si una relación económico-financiera es no solo jurídicamente admisible, sino también defendible desde la perspectiva de la resiliencia. Ello requiere nuevas capacidades. La gestión integrada de riesgos de criminalidad financiera debe desarrollar comprensión de la criticidad de los activos, de la dependencia de procesos, de la lógica de cadena, de la gobernanza de crisis y del impacto sistémico de las perturbaciones. Dicho de otro modo, esta función debe aprender a hablar el lenguaje de las operaciones y de la continuidad sin perder su precisión jurídica ni su agudeza en materia de integridad. Precisamente ahí radica la significación del marco CER/Wwke para los sectores vitales. Convierte la gestión integrada de riesgos de criminalidad financiera en un componente estructural de la cuestión de si la entidad crítica puede seguir cumpliendo de forma creíble su función social bajo presión.

El marco CER/Wwke como ampliación normativa y operativa de la gobernanza de la integridad

El marco CER/Wwke debe entenderse, en definitiva, como una ampliación normativa y operativa de la gobernanza de la integridad. Normativa, porque la noción de integridad ya no remite principalmente al cumplimiento, a la gestión de incidentes o a la corrección moral de la toma de decisiones dentro de ámbitos funcionales separados, sino a la fiabilidad estructural de la entidad crítica como portadora de un servicio esencial. Operativa, porque esa ampliación no se detiene en una redefinición abstracta, sino que penetra directamente en el diseño de procesos, la gobernanza, la evaluación de cadenas, la contratación, la supervisión de terceros, la preparación para las crisis y la información a los órganos de dirección. En enfoques más tradicionales, la gobernanza de la integridad podía aislarse con relativa facilidad dentro de departamentos de cumplimiento, funciones de investigación o ámbitos de control jurídico. El nuevo marco de resiliencia hace que esa separación organizativa resulte cada vez menos sostenible. Cuando la contaminación económico-financiera, la dependencia sensible a sanciones, la influencia corruptiva o las estructuras de propiedad opacas pueden afectar a la continuidad de los servicios esenciales, la gobernanza de la integridad deja, por definición, de ser una disciplina periférica. Se convierte en una condición de la fiabilidad operativa. Con ello cambia también el significado jurídico de una gobernanza de la integridad deficiente. La cuestión ya no consiste únicamente en una insuficiencia de cumplimiento, sino potencialmente en una carencia estructural de resiliencia.

La ampliación operativa de la gobernanza de la integridad implica que las organizaciones deben analizar con mucha mayor precisión los puntos en los que las relaciones financieras y económicas alcanzan el núcleo de la función vital. No toda cuestión de integridad tiene el mismo impacto sistémico, y no toda desviación de cumplimiento debe elevarse al rango de amenaza existencial para la resiliencia. El nuevo marco exige, por tanto, una diferenciación profunda. La atención más intensa debe concentrarse en aquellos puntos en los que propiedad, capital, aprovisionamiento, mantenimiento, datos, software, logística, dependencia de terceros e influencia administrativa convergen en torno a procesos determinantes para el servicio esencial. En esos puntos, el filtrado, la diligencia debida, las garantías contractuales, los protocolos de escalada, los mecanismos de salida, la evaluación de sanciones, la prevención del fraude y el análisis de escenarios deben diseñarse de tal manera que las vulnerabilidades económico-financieras se hagan visibles en una fase temprana. Esto requiere una forma de gobernanza de la integridad que haga algo más que verificar si las reglas se han cumplido sobre el papel. Debe valorar si una complejidad legítima puede explicarse de manera convincente, si existen dependencias ocultas, si los procedimientos de emergencia someten a presión las salvaguardias de integridad y si determinadas decisiones operativas vuelven a la entidad receptiva frente a procesos de condicionamiento o infiltración. La ampliación no equivale, por tanto, a un endurecimiento indiscriminado, sino a un vínculo mucho más preciso entre integridad e impacto sistémico.

Para la gestión integrada de riesgos de criminalidad financiera, aquí se sitúa la consecuencia más fundamental. Dentro del marco CER/Wwke, este ámbito se extrae de la esfera del control reactivo y se sitúa en el centro de la protección estratégica de la continuidad. Ello implica un desplazamiento del lenguaje, de las prioridades y de las expectativas de los órganos de dirección. El criterio de eficacia ya no se encuentra únicamente en el número de alertas, comunicaciones, expedientes o resultados de investigación, sino en la cuestión de si los riesgos económico-financieros se identifican de manera suficientemente temprana y convincente precisamente en aquellos puntos donde son capaces de afectar materialmente a la función crítica. Lo decisivo es el grado en que la entidad puede demostrar que la propiedad, el control, la financiación, las relaciones con proveedores y el acceso de terceros han sido comprendidos y gobernados de forma tal que el abuso no pueda transformarse en una vulnerabilidad estructural de un servicio esencial. Ese es el significado profundo de la ampliación normativa y operativa que producen la CER y la Ley sobre la resiliencia de las entidades críticas. La gobernanza de la integridad pasa así a ser no solo la prueba de un cumplimiento ordenado, sino un elemento constitutivo de la resiliencia de la propia entidad crítica. Allí donde esta transformación se tome en serio, surgirá un modelo integrado en el que la gestión integrada de riesgos de criminalidad financiera constituirá un pilar de apoyo de la protección de las funciones sociales y económicas vitales. Allí donde no ocurra, lo que permanecerá será, en el mejor de los casos, un cumplimiento formal, mientras la organización seguirá siendo materialmente vulnerable precisamente en los puntos que el nuevo marco de resiliencia pretende reforzar.