Entidades críticas, obligaciones de resiliencia y desarrollo ulterior de la gobernanza de la integridad

Las entidades críticas como soportes de la continuidad social, de la fiabilidad pública y de la estabilidad económica

En los Estados modernos y en las economías de mercado, las entidades críticas desempeñan una función que, desde el punto de vista jurídico y administrativo, es sensiblemente más gravosa de lo que podría sugerir su sola clasificación sectorial formal. La prestación de energía, servicios de transporte, infraestructuras de los mercados financieros, asistencia sanitaria, agua potable, infraestructuras digitales, abastecimiento alimentario y otros servicios esenciales no posee únicamente un carácter económico, sino que sostiene el fundamento mismo de la continuidad social. Cuando dichas funciones se ven sometidas a presión, las consecuencias no se despliegan conforme a un esquema lineal o aislado, sino en forma de cascadas aceleradas: los procesos productivos se atascan, la prestación de servicios públicos se desarticula, los flujos de información pierden fiabilidad, los pagos se ralentizan, la toma de decisiones administrativas se tensiona y la incertidumbre social aumenta. Las entidades concernidas se convierten así en soportes de una función de estabilidad de relevancia pública, incluso cuando su forma jurídica es privada y sus actividades se insertan en estructuras de mercado. La carga normativa de sus actuaciones se ve, por ello, reforzada. Las decisiones de gobierno relativas a inversiones, externalización, selección de proveedores, estructuras de propiedad, acceso a datos, dispositivos de mantenimiento y apetito de riesgo ya no pueden justificarse exclusivamente a la luz de la eficiencia, del control de costes o del valor para el accionista, sino que deben valorarse asimismo en función de la capacidad de la entidad para seguir desempeñando de manera duradera su función esencial en condiciones de perturbación.

Esta constatación tiene consecuencias directas sobre la manera en que debe entenderse la fiabilidad pública. En este contexto, la fiabilidad pública no constituye una cualidad abstracta de una institución bien administrada, sino una expectativa jurídicamente y administrativamente cualificada según la cual los servicios esenciales deben permanecer disponibles, previsibles, íntegros en su control y susceptibles de restablecimiento, incluso cuando el entorno se deteriora. Para las entidades críticas, ello significa que la confianza no deriva en primer término de la comunicación pública ni de una certificación formal, sino de la presencia demostrable de estructuras capaces de examinar las dependencias, escalar los riesgos, detectar rápidamente las desviaciones y mantener la toma de decisiones dentro de límites normativos también en situaciones de crisis. La posición social de estas entidades implica que las deficiencias de gobierno producen efectos públicos con mayor rapidez que en los sectores no críticos. Una visión incompleta del riesgo vinculado a terceros, una selección deficiente de las relaciones de inversión, un conocimiento insuficiente de los riesgos de concentración operativa o una concepción excesivamente estrecha de la integridad, reducida a un comportamiento meramente conforme al Derecho, pueden transformarse, en este contexto, en una fisura en la garantía de la fiabilidad pública. La distinción pertinente no se establece, por tanto, entre organizaciones públicas y privadas, sino entre entidades cuya discontinuidad sigue siendo gobernable dentro de sus propios límites organizativos y entidades cuya discontinuidad se traduce de inmediato en un desorden social más amplio.

La función de estabilización económica de las entidades críticas refuerza este análisis. En una economía profundamente interdependiente, los servicios esenciales no se limitan a sostener la actividad económica, sino que constituyen la propia condición de posibilidad del funcionamiento de los mercados. La fiabilidad de los pagos, la estabilidad del suministro energético, la accesibilidad logística, los servicios de datos y comunicación, la continuidad de la asistencia sanitaria y la prestación administrativa no son condiciones ex post, sino precondiciones. Tan pronto como uno de estos flujos experimenta una perturbación significativa, se hace visible que el orden económico descansa, en gran medida, sobre instituciones que pueden estar organizadas sectorialmente en el plano formal, pero que en el plano material poseen significación sistémica. Ello exige una filosofía de gobierno en la que las entidades críticas sean consideradas soportes de infraestructura social en sentido funcional, con independencia de su forma jurídica o del origen de su propiedad. Es desde esa perspectiva como se comprende también por qué la gobernanza de la integridad debe ser profundizada y ampliada. No porque la integridad, como categoría normativa, sea nueva, sino porque el impacto de las carencias de integridad en las entidades críticas es sustancialmente más grave: la influencia financiera y económica, el control indebido, los conflictos de interés, los abusos en el seno de las cadenas de dependencia o el fallo de los mecanismos de control pueden afectar aquí a la fiabilidad de servicios de los que ciudadanos, empresas y poderes públicos dependen de manera continua.

Las obligaciones europeas de resiliencia como nuevo marco de la gobernanza integrada de la integridad

Las obligaciones europeas de resiliencia marcan la aparición de un nuevo entorno normativo en el que la gobernanza integrada de la integridad debe estructurarse de manera sensiblemente distinta de como se hacía en el enfoque clásico, predominantemente sectorial, de la seguridad y del cumplimiento. En el marco de la Directiva relativa a la resiliencia de las entidades críticas, la entidad concernida ya no se enfrenta únicamente a una obligación circunscrita de protección física o de notificación de incidentes, sino a un sistema más amplio de identificación, análisis del riesgo, fortalecimiento organizativo, responsabilidad declarativa y demostrabilidad administrativa. Dicho sistema produce un doble efecto. Por un lado, desplaza la atención desde los objetos y los activos aislados hacia la entidad prestadora de servicios en cuanto nodo de continuidad pública. Por otro lado, impone una concepción del riesgo en la que los peligros naturales, el sabotaje, la amenaza interna, las presiones híbridas, el terrorismo, las situaciones de emergencia en materia de salud pública y las dependencias intersectoriales no se contemplan como categorías separadas colocadas unas junto a otras, sino que deben ser evaluadas en su interacción. En un contexto semejante, la gobernanza integrada de la integridad no puede limitarse a cubrir los riesgos clásicos de delincuencia financiera en sentido estricto. La cuestión relevante pasa a ser si vulnerabilidades financieras, vinculadas a la gobernanza o conectadas con terceros pueden actuar como vías de acceso a través de las cuales se manifiestan riesgos de perturbación más amplios.

De ello se deriva una ampliación fundamental del campo de la Gestión integrada del riesgo de delincuencia financiera. En un marco de cumplimiento más tradicional, la atención suele centrarse en transacciones, clientes, indicadores de reporte, listas de sanciones, vulneraciones de la integridad, controles internos y gestión de incidentes dentro de los límites de una determinada obligación jurídica. En el marco de la resiliencia, la perspectiva se desplaza hacia el alcance sistémico de esos mismos elementos. Así, una contraparte contractual opaca no resulta relevante únicamente porque pueda existir un riesgo de blanqueo o de corrupción, sino también porque la relación puede dar acceso a procesos esenciales para la continuidad del servicio. Un inversor caracterizado por una estructura de propiedad compleja no es relevante solo a efectos de transparencia de gobierno, sino también porque un control poco claro puede poner bajo presión la rapidez de actuación, la autonomía y la jerarquización de prioridades de la entidad cuando sobreviene una perturbación. Un proceso informático externalizado no es simplemente una cuestión de proveedor, sino una concentración potencial de acceso operativo, exposición de datos y dependencia sensible en situación de crisis. La gobernanza integrada de la integridad adquiere así un significado administrativo más amplio: debe hacer visible la manera en que vulnerabilidades financieras y económicas pueden transformarse en vulnerabilidades en el ejercicio de funciones esenciales.

Dicha ampliación comporta también consecuencias metodológicas. Allí donde el control clásico de la integridad podía limitarse con frecuencia a políticas, controles, formación y respuesta a incidentes dentro de ámbitos de cumplimiento identificables, el nuevo marco exige una forma de dirección capaz de enlazar entre sí los riesgos a través de dimensiones jurídicas, operativas, digitales y administrativas. Ello significa que las funciones de integridad deben articularse de manera más estrecha con la planificación de la continuidad, la toma de decisiones en situación de crisis, la gobernanza de las cadenas de dependencia, la clasificación de activos y la elaboración de informes dirigida a las autoridades supervisoras. El criterio decisivo ya no es la mera presencia de medidas de control individuales, sino la cuestión de si el conjunto formado por la decisión, la detección, la escalada y el restablecimiento presenta coherencia suficiente para seguir siendo administrativamente gobernable bajo presión. Desde esta perspectiva, la lógica europea de la resiliencia corrige los enfoques en los que integridad y continuidad son tratadas como dominios distintos. Para las entidades críticas, esta separación ha quedado agotada tanto analítica como prácticamente, puesto que las perturbaciones más graves se producen cada vez más precisamente en la intersección entre la influencia financiera y económica, la dependencia digital, el acceso por terceros y la vulnerabilidad de gobierno.

La vinculación entre el riesgo de integridad financiera y los riesgos de continuidad, seguridad y perturbación

En el seno de las entidades críticas, el riesgo de integridad financiera debe entenderse como una categoría que va mucho más allá de las irregularidades transaccionales o de las vulneraciones formales de las normas jurídicas. En un entorno centrado en los servicios esenciales, el riesgo de integridad financiera puede constituir una señal temprana de vulnerabilidades más profundas que afectan al control, a la susceptibilidad frente a la influencia, a la dependencia operativa y a la autoprotección institucional. El enfoque clásico, en el que la integridad financiera se asocia principalmente al blanqueo de capitales, al fraude, a la corrupción o a las vulneraciones de sanciones, sigue siendo pertinente, pero resulta insuficiente en cuanto la entidad ejerce una función crucial de continuidad. En tal caso, emerge un vínculo directo entre opacidad financiera y potencial de desorganización. Una estructura de financiación inusual, un tercero cuyo origen de los fondos es incierto, un subcontratista dotado de acceso extendido a sistemas críticos o una entidad intermedia que oculta el poder de dirección efectivo representan no solo un riesgo normativo o penal, sino también un riesgo para el ejercicio seguro, ininterrumpido y autónomo del servicio esencial. Por ello, el análisis del riesgo de integridad financiera debe integrarse en una valoración más amplia de la continuidad, de la seguridad y de la resiliencia estratégica.

Esta vinculación adquiere creciente importancia porque el entorno contemporáneo de las perturbaciones es de naturaleza híbrida. La frontera entre la influencia financiera y económica, la intrusión digital, el sabotaje físico, la presión geopolítica y la desorganización guiada por la reputación se vuelve progresivamente más difusa. Una dependencia contractual puede proporcionar acceso a redes o instalaciones; una relación de inversión aparentemente ordinaria puede abrir canales estratégicos de información; una desviación aparentemente limitada en los procedimientos de contratación puede comprometer la integridad del mantenimiento, de las piezas de recambio o de las actualizaciones de software. En tales condiciones, el riesgo de integridad financiera no es simplemente un riesgo entre otros, sino con frecuencia la modalidad a través de la cual otras amenazas se arraigan en la organización. El punto analítico esencial es que las relaciones financieras y económicas pueden constituir la infraestructura a través de la cual se construye la vulnerabilidad operativa. Por esta razón, la Gestión integrada del riesgo de delincuencia financiera, dentro de las entidades críticas, no debe limitarse a interrogarse sobre la existencia de una ilegalidad, sino también sobre la posibilidad de que relaciones lícitas, semilícitas o difíciles de calificar comprometan la autonomía efectiva y la capacidad de restablecimiento de la entidad.

Para la gobernanza y la supervisión, ello significa que las categorías de riesgo ya no pueden evaluarse en compartimentos separados sin perder de vista la dinámica real de la amenaza. Cuando las señales de integridad financiera son tratadas como una cuestión estrecha de cumplimiento, permanece invisible el hecho de que pueden traducirse en problemas de seguridad, sensibilidad frente a incidentes o riesgos estructurales de perturbación. Inversamente, las disciplinas de continuidad y seguridad pueden prestar una atención insuficiente a los mecanismos económicos y jurídicos a través de los cuales las vulnerabilidades se arraigan en la organización. Un enfoque integrado exige, por consiguiente, que las decisiones relativas a proveedores, inversiones, externalización, niveles de acceso, flujos de datos, propiedad y poderes de crisis se valoren no solo a la luz de la eficiencia y de la necesidad operativa, sino también en relación con la cuestión de si crean dependencias indeseadas, márgenes de influencia o posiciones de excepción difíciles de circunscribir en el plano normativo. Solo una vez que esta vinculación quede establecida de manera estructural, la gobernanza de la integridad financiera podrá contribuir a una protección creíble de los servicios esenciales frente a la desorganización en sentido amplio.

Los sectores críticos como objetivos de presiones delictivas financieras, híbridas, físicas y digitales

Los sectores críticos operan en un entorno de amenaza en el que las distintas formas de presión no se manifiestan por separado, sino que se refuerzan y condicionan mutuamente. Redes de delincuencia financiera, estrategias de influencia estatales o semiestatales, actores cibernéticos oportunistas, amenazas internas, saboteadores físicos y sujetos que persiguen una ventaja económica mediante la perturbación o la manipulación actúan cada vez más conforme a esquemas en los que el acceso, la dependencia y la desorganización se construyen a través de múltiples dominios. Los sectores críticos resultan tanto más atractivos cuanto mayores son el impacto potencial, la urgencia del restablecimiento y la escasa tolerancia a la interrupción. Es precisamente esa combinación la que crea un entorno propicio para el uso eficaz de instrumentos de presión. Una penetración financiera y económica puede servir para obtener acceso estructural; una perturbación digital puede utilizarse para aumentar la incertidumbre operativa; incidentes físicos pueden agotar la capacidad de restablecimiento; la asimetría de la información puede oscurecer el proceso decisorio de gobierno. De ello se sigue, para los sectores que aseguran servicios esenciales, que la protección ya no puede entenderse como la suma de medidas de seguridad diferenciadas, sino como un proceso continuo de identificación de patrones de amenaza compuestos.

En este contexto, los riesgos vinculados a la delincuencia financiera deben abordarse con particular gravedad. No se trata únicamente de la posibilidad de que fondos de origen ilícito penetren en un sector, sino también de la cuestión de si relaciones financieras, inversiones, contratos, empresas conjuntas, operaciones de intermediación o estructuras de terceros se utilizan para adquirir influencia, información, acceso o dependencias. Los sectores críticos son vulnerables a estos mecanismos porque las actividades concernidas suelen ser intensivas en capital, técnicamente especializadas e insertas en relaciones contractuales de larga duración. Ello abre espacio a actores que no persiguen principalmente la apropiación directa de recursos, sino la obtención de ventajas posicionales dentro de las cadenas de suministro, de las relaciones de mantenimiento, de los entornos de software, de la explotación de datos o de las estructuras de propiedad. Una falta limitada de transparencia puede, en tales circunstancias, producir consecuencias desproporcionadas, porque los efectos de una selección defectuosa o de una diligencia debida insuficiente no permanecen confinados a una transacción individual, sino que pueden penetrar hasta el propio núcleo de la prestación del servicio. La Gestión integrada del riesgo de delincuencia financiera debe, por tanto, situarse como un instrumento capaz de sacar a la luz este vínculo entre señales financieras y económicas y una exposición estratégica más amplia.

Las dimensiones digital y física de la amenaza hacen esta necesidad aún más acuciante. Las dependencias digitales están, en prácticamente todos los sectores críticos, tan profundamente entrelazadas con los procesos operativos que un incidente cibernético puede producir de inmediato efectos físicos, económicos o sociales. Al mismo tiempo, el acceso físico a instalaciones, medios de mantenimiento, nodos logísticos y personal sigue siendo una variable central del riesgo de perturbación. Cuando presiones financieras, híbridas, físicas y digitales operan en prolongación recíproca, ninguna disciplina aislada está en condiciones de sostener por sí sola el conjunto del cuadro de riesgo. Una vulnerabilidad aparentemente técnica puede tener su origen en una selección insuficiente de proveedores; un fallo físico puede haber sido precedido por señales de conflicto de interés o de cláusulas contractuales atípicas ignoradas por la gobernanza; un incidente cibernético puede verse facilitado por una externalización mal concebida o por derechos de acceso externos excesivamente amplios. La lección administrativa pertinente es que los sectores críticos no deben protegerse prioritariamente frente a un catálogo de peligros diferenciados, sino frente a esquemas de presión multinivel que se implantan en la entidad a través de canales económicos, digitales y organizativos, y que solo se hacen plenamente visibles cuando la gobernanza de la integridad y la gobernanza de la resiliencia se ejercen conjuntamente.

El análisis del riesgo, la elaboración de informes y la supervisión como nuevas exigencias fundamentales para las organizaciones vitales

Para las organizaciones vitales, el análisis del riesgo, la elaboración de informes y la supervisión ya no son procesos de apoyo que demuestran a posteriori el cumplimiento de determinados requisitos formales, sino condiciones primarias de credibilidad administrativa en el nuevo marco de la resiliencia. El punto de partida normativo es que una entidad crítica solo puede ejercer de manera convincente su función esencial si es capaz, de modo sistemático, de identificar qué factores internos y externos pueden incidir sobre la continuidad del servicio, cómo se articulan dichos factores entre sí y de qué manera se aplican medidas organizativas, técnicas y administrativas para hacerles frente. El análisis del riesgo adquiere así un peso reforzado con respecto a los entornos tradicionales de cumplimiento, puesto que no sirve únicamente para hacer operativas obligaciones conocidas, sino para permitir a la entidad identificar a tiempo deslizamientos de la amenaza, efectos en cadena y nuevas dependencias. En ausencia de una base analítica semejante, también la propia elaboración de informes pierde significado: las notificaciones, los expedientes y las producciones de assurance se convierten entonces en meros actos de registro, en vez de instrumentos de dirección. En una situación semejante, la supervisión de las organizaciones vitales examinará cada vez más la calidad del mapa de riesgos subyacente, el grado de coherencia entre las distintas funciones de control y la capacidad del órgano de gobierno para intervenir efectivamente sobre la base de esa información.

Desde esta perspectiva, la elaboración de informes asume una función distinta del papel más limitado que tradicionalmente desempeñaba en algunas organizaciones. No se trata simplemente de transmitir a tiempo los incidentes o de documentar las desviaciones constatadas, sino de construir un sistema de información de gobierno capaz de distinguir el ruido operativo de las señales de debilitamiento estructural. Para las entidades críticas, esta función es esencial, porque un incidente raramente se presenta de forma aislada. Con frecuencia existe una historia de señales fragmentadas: responsabilidades poco claras, excepciones reiteradas, patrones atípicos de proveedores, accesos de auditoría limitados, estructuras de propiedad insuficientemente trazables, riesgo de concentración en la externalización o lentitud en la escalada de cuestiones de integridad. Cuando la elaboración de informes no es capaz de agregar tales patrones y traducirlos en urgencia administrativa, el órgano de gobierno sigue operando sobre la base de una imagen demasiado estrecha o adquirida demasiado tarde. La Gestión integrada del riesgo de delincuencia financiera no debe, por consiguiente, orientarse exclusivamente a la detección de infracciones individuales, sino también a la producción de información que haga visible el punto en el que las vulnerabilidades de integridad financiera convergen con indicadores más amplios de desorganización.

La supervisión completa este triángulo al hacer visible que el nivel de exigencia aplicable a las organizaciones vitales es estructuralmente más elevado que el correspondiente a las organizaciones que no desempeñan una función esencial de continuidad. El criterio pertinente no consiste únicamente en verificar si se ha vulnerado una determinada norma, sino en valorar si la entidad es capaz de traducir de manera demostrable sus obligaciones de resiliencia en un sistema coherente de análisis, decisión, control y restablecimiento. Ello implica que las autoridades supervisoras examinarán cada vez más la calidad de la gobernanza, la fiabilidad de la clasificación del riesgo, la profundidad de la evaluación de terceros, el funcionamiento de los cauces de escalada, la coherencia de la gestión de incidentes y el grado en que el órgano de gobierno integra las señales de integridad financiera en las cuestiones de continuidad. Para las organizaciones vitales, ello significa que el análisis del riesgo, la elaboración de informes y la supervisión no constituyen una carga externa de cumplimiento, sino condiciones fundamentales de legitimidad institucional. Solo cuando estas funciones sean realmente capaces de producir una representación nítida, actual e integrada de las vulnerabilidades, será posible hablar de un modelo de gobernanza que trate la protección de los servicios esenciales no como una obligación formal, sino como una responsabilidad pública permanente y demostrablemente dirigida.

La gestión integrada del riesgo de criminalidad financiera como ampliación de la conformidad clásica dentro de las entidades críticas

Dentro de las entidades críticas, la gestión integrada del riesgo de criminalidad financiera ya no puede entenderse de manera convincente como una función especializada de conformidad limitada a la detección y al control del blanqueo de capitales, del riesgo de sanciones, del fraude, de la corrupción, del soborno, de los conflictos de interés y de cuestiones análogas de integridad en sentido estricto. Ese enfoque clásico presupone implícitamente que el riesgo de integridad financiera constituye, en esencia, un problema normativo, jurídico o reputacional que puede controlarse mediante políticas, seguimiento, formación, cribado y gestión de incidentes dentro de fronteras organizativas relativamente claras. Para las entidades que prestan servicios esenciales, tal presupuesto resulta cada vez más insuficiente. Desde el momento en que la continuidad de una función socialmente vital depende de cadenas de suministro, estructuras de externalización, acceso digital, relaciones contractuales transfronterizas, estructuras de propiedad y proveedores estratégicos, el riesgo de integridad financiera queda inevitablemente entrelazado con la cuestión de si la entidad puede seguir funcionando, en términos prácticos, de manera administrativamente autónoma, normativamente delimitada y operativamente resiliente. A la luz de ello, la gestión integrada del riesgo de criminalidad financiera evoluciona de una categoría clásica de conformidad hacia una forma más amplia de dirección, que también debe ser capaz de poner de manifiesto los puntos en los que determinados patrones financieros y económicos crean las condiciones para la influencia, la dependencia, la desorganización o el debilitamiento de la prestación de servicios esenciales.

Esa ampliación se refiere, ante todo, a la unidad de análisis. La conformidad clásica suele examinar la admisibilidad de conductas, transacciones o relaciones dentro de los marcos normativos existentes. La gestión integrada del riesgo de criminalidad financiera dentro de las entidades críticas, por el contrario, debe valorar también el lugar que esas conductas, transacciones o relaciones ocupan dentro del funcionamiento más amplio de la organización. Un tercero con un perfil de riesgo formalmente aceptable puede, en un contexto crítico, representar sin embargo un potencial elevado de desorganización cuando está profundamente integrado en el mantenimiento, en la gestión de software, en la administración de accesos, en la continuidad operativa o en el entorno de datos. Una estructura de propiedad puede ser jurídicamente admisible y, sin embargo, introducir tal grado de opacidad en el control efectivo que la agilidad administrativa y la toma de decisiones en situación de crisis queden sometidas a presión. Una relación de financiación puede estar formalmente bien estructurada y, no obstante, desplazar la orientación estratégica de la entidad de una forma que debilite la garantía de la continuidad pública. La cuestión, por tanto, ya no se limita a determinar si una norma ha sido afectada, sino que se extiende al significado estructural que las relaciones financieras y económicas tienen para la fiabilidad del servicio esencial y para la capacidad de la organización de actuar con autonomía y coherencia en circunstancias adversas.

De ello se sigue que la gestión integrada del riesgo de criminalidad financiera dentro de las entidades críticas no puede seguir siendo una actividad aislada de segunda línea que opere en los márgenes de la toma de decisiones. La función debe proyectarse sobre la selección y la reevaluación periódica de terceros, sobre las decisiones de inversión y desinversión, sobre las cuestiones de gobernanza relativas al acceso y al control, sobre los protocolos de escalada, sobre la planificación de la continuidad y sobre la interpretación de incidentes que, a primera vista, no son reconocidos como incidentes de integridad financiera. Una perturbación de datos, una deficiencia de mantenimiento, una modificación contractual inusual o un cambio inesperado en el comportamiento de un proveedor pueden contener, en efecto, huellas de vulnerabilidades de integridad más profundas. La ampliación de la gestión integrada del riesgo de criminalidad financiera no consiste, por ello, en una mera expansión semántica, sino en una reordenación fundamental del lugar que ocupa la gobernanza de la integridad dentro de las organizaciones críticas. La cuestión central ya no es si la conformidad sigue desempeñando una función de apoyo, sino si la gobernanza de la integridad financiera está anclada en la organización de tal manera que contribuya a la protección de los servicios esenciales frente a la influencia, la perturbación y la pérdida de control administrativo.

La dependencia de las cadenas, los terceros y las dependencias digitales como vulnerabilidades determinantes

Las entidades críticas rara vez operan en un vacío institucional u operativo. La prestación de servicios esenciales descansa cada vez más sobre cadenas estratificadas de proveedores, subcontratistas, suministradores de software, encargados del tratamiento de datos, socios de mantenimiento, entornos en la nube, nodos logísticos, prestadores especializados y relaciones financieras que, en conjunto, sostienen el funcionamiento efectivo de la entidad. Esa interconexión hace a la organización más eficiente, más especializada y más escalable, pero al mismo tiempo incrementa la complejidad de las dependencias que se hacen visibles cuando sobreviene una perturbación. La dependencia de la cadena no es, por tanto, únicamente un dato de economía empresarial, sino una categoría de riesgo jurídico y administrativo de primer orden. Para las entidades críticas, la cuestión decisiva no es si una dependencia se ha creado de manera comercialmente racional, sino si esa dependencia, en condiciones de presión, interrupción, conflicto o influencia, conduce a una pérdida de capacidad de actuación, de capacidad de recuperación o de control normativo. Cuando los servicios esenciales se prestan a través de cadenas largas y técnicamente especializadas, el centro de gravedad de la protección se desplaza desde la frontera de la propia organización hacia la cuestión más amplia de si el entorno total de ejecución es suficientemente transparente, verificable y administrativamente gobernable.

Los terceros ocupan dentro de ese conjunto una posición particularmente sensible, porque a menudo disponen de una combinación de acceso, información, influencia operativa y arraigo contractual mayor de lo que haría suponer la visibilidad formal de su función. Un servicio informático externalizado, un contrato de mantenimiento para instalaciones físicas, un proveedor externo de gestión de identidades o accesos, un componente de software especializado o un socio logístico con posición exclusiva de suministro pueden constituir, en la práctica, un eslabón decisivo para la continuidad de un servicio esencial. Ello significa que la gestión de terceros dentro de las entidades críticas no puede reducirse a un proceso estándar de gestión de proveedores con cribado básico, cláusulas contractuales y evaluación periódica. Lo que se requiere es un régimen más profundo en el que el acceso, la sustituibilidad, las posibilidades de salida, la estructura de propiedad, la sensibilidad a las sanciones, la calidad de la gobernanza, la subexternalización subyacente y la concentración operativa se evalúen conjuntamente como un perfil de dependencia. La gestión integrada del riesgo de criminalidad financiera debe desempeñar un papel especialmente marcado en ese contexto, porque los indicadores de integridad financiera suelen revelar en una fase temprana los puntos en los que un tercero representa no solo un riesgo de conformidad, sino también un riesgo de desorganización. Un control opaco, estructuras de pago inusuales, ajustes contractuales atípicos, derechos de auditoría limitados o un grado llamativo de influencia informal pueden señalar vulnerabilidades que inciden directamente en la fiabilidad del servicio esencial.

Las dependencias digitales profundizan todavía más esta problemática, porque con frecuencia escapan a las intuiciones tradicionales relativas a la propiedad, al control y a la proximidad física. Mientras que las infraestructuras clásicas podían todavía abordarse a través de activos tangibles, ubicaciones y estructuras operativas directas, el funcionamiento de las entidades críticas contemporáneas se sostiene, en una medida considerable, mediante capas de software, flujos de datos, plataformas externas, mecanismos de identidad y acceso, almacenamiento en la nube, gestión remota, actualizaciones automatizadas y conexiones digitales con prestadores externos. De ello puede resultar una dependencia que, en términos jurídicos, parece contractualmente limitada, pero que técnica y operativamente es muy profunda. Una perturbación en un proveedor digital aparentemente periférico puede traducirse, en poco tiempo, en parálisis funcional, pérdida de información, dirección errónea o pérdida de visibilidad sobre los procesos nucleares. Dentro de las entidades críticas, la valoración de la dependencia de la cadena debe, por tanto, examinar no solo qué partes son formalmente relevantes, sino sobre todo qué relaciones externas son, de hecho, determinantes para la continuidad operativa, la respuesta a incidentes y el control administrativo. La vulnerabilidad no reside únicamente en una afectación maliciosa, sino también en la sobreconcentración, en la falta de sustituibilidad, en una exigibilidad contractual insuficiente y en una comprensión administrativamente subestimada de hasta qué punto las dependencias digitales afectan a la propia ejecutabilidad esencial del servicio.

La resiliencia digital como condición de la continuidad operativa y de la confianza sistémica

Dentro de las entidades críticas, la resiliencia digital debe entenderse como una condición previa para la preservación de la continuidad operativa, de la gobernabilidad administrativa y de la confianza sistémica. En prácticamente todos los sectores vitales, los sistemas digitales ya no son meramente auxiliares del proceso principal, sino elementos constitutivos de su funcionamiento. El control de procesos, el tratamiento de datos, la interacción con los clientes, los pagos, la coordinación logística, la gestión de identidades, la planificación del mantenimiento, la comunicación de crisis y la toma de decisiones internas pasan cada vez más por infraestructuras digitales y sistemas interconectados. Como consecuencia, la perturbación digital no es solamente un incidente técnico, sino un acontecimiento capaz de afectar, en su núcleo, a la ejecutabilidad del servicio esencial. La distinción entre daño digital y daño operativo se vuelve así, en gran medida, artificial. Cuando los sistemas dejan de estar disponibles, los datos son manipulados, los derechos de acceso se vuelven inciertos o se materializan dependencias en cadenas de software y de computación en la nube, no es solo la gestión de la información la que queda bajo presión, sino la cuestión de si la entidad puede seguir desempeñando de manera fiable su función pública o económica. La resiliencia digital pierde así el carácter de dominio informático especializado y se convierte en un componente central de la robustez institucional.

Para las entidades críticas, ello tiene además consecuencias directas en la manera en que debe construirse y mantenerse la confianza sistémica. La confianza sistémica presupone que usuarios, autoridades supervisoras, socios de cadena y gobiernos puedan confiar razonablemente en que el servicio esencial no solo funciona hoy, sino que también permanece administrativa y operativamente controlado bajo condiciones de presión digital. Esa confianza no descansa sobre garantías abstractas, sino sobre un control demostrable de los derechos de acceso, de la segmentación, del registro de eventos, de la detección, de la integridad de las copias de seguridad, del orden de recuperación, de la gestión del cambio, del acceso de terceros y del vínculo entre la respuesta digital a incidentes y la escalada administrativa. Una organización técnicamente avanzada, pero administrativamente carente de visibilidad suficiente sobre sus dependencias digitales, no posee una resiliencia digital convincente. Tampoco basta con que existan formalmente medidas de ciberseguridad cuando la toma de decisiones sobre excepciones, prioridades y trayectorias de recuperación permanece insuficientemente delimitada en el plano normativo. Es precisamente ahí donde la resiliencia digital se cruza con el ámbito de la gestión integrada del riesgo de criminalidad financiera. Las vulnerabilidades de integridad financiera pueden, en efecto, manifestarse en la elección de proveedores, en estructuras de externalización, en la delegación de accesos, en presiones contractuales inusuales o en acuerdos de gobernanza que profundizan las dependencias digitales sin que se valore adecuadamente la sensibilidad más amplia frente a la perturbación.

La importancia central de la resiliencia digital reside, por tanto, en su capacidad para conectar la continuidad operativa con la fiabilidad administrativa. Una entidad crítica solo puede considerarse creíblemente resiliente cuando los procesos digitales no están meramente protegidos en el plano técnico, sino integrados en la gobernanza y en la dirección del riesgo de tal manera que las perturbaciones no conduzcan inmediatamente a improvisaciones desprovistas de marco normativo, a soluciones de emergencia no documentadas o a desplazamientos opacos del poder decisorio. Ello exige un enfoque en el que los riesgos digitales no se clasifiquen de forma aislada, sino que se pongan en relación con la propiedad, con los terceros, con el acceso contractual, con los poderes de crisis, con las notificaciones de incidentes y con la supervisión. La relevancia práctica de ello es considerable. No solo los ataques digitales, sino también los errores de configuración, las actualizaciones fallidas, una coordinación deficiente de proveedores, una distribución poco clara de responsabilidades o una migración imprudente hacia la nube pueden afectar a la continuidad del servicio esencial. La resiliencia digital no constituye, por tanto, un suplemento técnico añadido a la gobernanza existente, sino una condición integral para determinar si las entidades críticas pueden seguir desempeñando su función con suficiente estabilidad, capacidad de recuperación y credibilidad institucional en un entorno interconectado y sensible a las amenazas.

La cooperación público-privada como condición para la protección de las funciones vitales

En el contexto actual, la protección de las funciones vitales no puede organizarse de manera convincente mediante un modelo en el que el Estado establece normas y las entidades privadas o semipúblicas las aplican posteriormente de forma aislada. Las entidades críticas se sitúan en la intersección entre intereses públicos y capacidad privada de ejecución. Ello significa que la protección depende de una interacción continua entre estrategia nacional, especialización sectorial, dirección supervisora, intercambio de información, preparación operativa y procesos compartidos de aprendizaje. La cooperación público-privada no debe tratarse, por tanto, como un complemento deseable de la regulación formal, sino como una condición para la efectividad práctica de las obligaciones de resiliencia. Sin cooperación, la parte pública permanece demasiado alejada de las realidades operativas, mientras que la parte privada no puede mantener una visibilidad suficiente sobre el panorama general de amenazas, sobre las vulnerabilidades intersectoriales y sobre las expectativas que el interés general impone a la prestación de servicios críticos. La protección de las funciones vitales presupone así una constelación administrativa en la que información, responsabilidad e interpretación normativa no coinciden por completo, pero sí se alinean suficientemente como para que el riesgo de perturbación sea reconocido a tiempo y afrontado conjuntamente.

No obstante, esa cooperación exige un elevado grado de precisión, porque los intereses y las lógicas institucionales de los actores públicos y privados no coinciden de manera natural. Las entidades críticas suelen operar bajo presiones comerciales, contractuales, tecnológicas y organizativas que imponen su propio ritmo y su propia jerarquización a la toma de decisiones. Los gobiernos y las autoridades supervisoras abordan la misma realidad desde la perspectiva de la seguridad nacional, de la continuidad social, de las garantías del Estado de Derecho y de la responsabilidad sistémica. Cuando esas perspectivas no se conectan de forma suficiente, surge el riesgo de que las lecturas del riesgo se crucen sin encontrarse. Una entidad puede considerar una dependencia como manejable porque los niveles de servicio parecen contractualmente adecuados, mientras que los actores públicos pueden juzgar esa misma dependencia como indeseable debido al impacto social de una interrupción o a la sensibilidad geopolítica de la parte implicada. A la inversa, una preocupación pública relativa a escenarios de perturbación puede no encontrar suficiente traducción dentro de la organización si su paso a opciones operativas, estructuras de costes y prioridades permanece oscuro. La gestión integrada del riesgo de criminalidad financiera puede cumplir, en este campo de tensión, una función de conexión, porque ofrece un lenguaje en el que las señales financieras y económicas, las vulnerabilidades de gobernanza, las relaciones con terceros y el potencial de desorganización pueden discutirse de forma conjunta entre actores públicos y privados.

En definitiva, la calidad de la cooperación público-privada se mide por la contribución que realiza a una conciencia situacional compartida, a una escalada oportuna y al fortalecimiento práctico de las funciones críticas. Ello exige algo más que una coordinación ocasional o un intercambio reactivo de información tras un incidente. Lo que se necesita es un proceso continuo en el que entidades, autoridades supervisoras, organismos sectoriales y gobiernos aprendan conjuntamente de cuasiincidentes, perturbaciones de cadena, hallazgos de auditoría, cambios geopolíticos y variaciones en los patrones de amenaza. Para las entidades críticas, es de gran importancia que esa cooperación no se perciba como una mera supervisión externa, sino como parte de la responsabilidad más amplia que deriva de su posición como portadoras de continuidad social. Para los actores públicos, por el contrario, la cooperación solo resulta eficaz si desarrollan una comprensión suficiente de la complejidad operativa y contractual con la que las entidades lidian cotidianamente. La protección de las funciones vitales se convierte así en una tarea compartida con roles diferenciados: el Estado vela por la orientación, por el establecimiento de normas y por la coordinación sistémica; la entidad asume la ejecución concreta, el control interno y la traducción administrativa; y la supervisión garantiza que la conexión entre ambos no permanezca en un plano meramente declarativo, sino que se proyecte de forma visible en elecciones, medidas y mejoras demostrables.

La resiliencia de las entidades críticas como fase siguiente del desarrollo de la gestión integrada del riesgo de criminalidad financiera

La resiliencia de las entidades críticas debe considerarse como una nueva fase de desarrollo en la manera en que toma forma la gestión integrada del riesgo de criminalidad financiera dentro de organizaciones que desempeñan una función social esencial. Esta fase de desarrollo no se caracteriza por la sustitución de los mecanismos clásicos de control de integridad, sino por su reordenación dentro de un marco normativo más amplio y más exigente. La atención tradicional al blanqueo de capitales, a las sanciones, al fraude, a la corrupción, a los conflictos de interés, al soborno, a las transacciones inusuales y a la integridad de terceros sigue siendo plenamente pertinente. Lo que cambia es el criterio conforme al cual se mide la efectividad de ese control. Dentro de las entidades críticas, ya no basta con que el riesgo de integridad financiera sea identificado en sentido formal y tratado de conformidad con procedimientos establecidos. Lo decisivo pasa a ser si esa forma de dirección permite también a la organización reconocer y delimitar vías más amplias de desorganización. El criterio se desplaza así desde el cumplimiento de normas aisladas hacia la cuestión de si la gobernanza de la integridad financiera contribuye efectivamente a la continuidad, a la fiabilidad administrativa y a la capacidad de recuperación del servicio esencial. Se trata de una orientación radicalmente distinta, porque conecta directamente la función de la gestión integrada del riesgo de criminalidad financiera con la capacidad institucional de la propia entidad.

Esta nueva fase de desarrollo implica que la gobernanza de la integridad financiera debe integrarse más profundamente en la toma de decisiones estratégicas, en las elecciones de cadena, en la preparación frente a crisis y en el análisis de la propiedad y de la dependencia. Una entidad crítica puede cumplir, en sentido formal, con obligaciones particulares de conformidad y, sin embargo, seguir siendo vulnerable si la información relativa a la integridad financiera no se pone en relación con cuestiones de continuidad, con la concentración de terceros, con el acceso digital, con las estructuras de inversión o con la sustituibilidad operativa. El desplazamiento esencial consiste, por consiguiente, en que la gestión integrada del riesgo de criminalidad financiera ya no funciona exclusivamente como un mecanismo correctivo o de señalización a posteriori, sino como una fuente de dirección en la propia configuración de la organización. La elección de un proveedor, el diseño de un modelo de externalización, la aceptación de una estructura de financiación, la tolerancia hacia una transparencia limitada en materia de propiedad o la forma de tramitar solicitudes de excepción en situaciones de crisis deben valorarse también a la luz de su significado para la resiliencia de la entidad. La gobernanza de la integridad financiera adquiere así una posición más constitutiva: no como un régimen separado junto a la gestión operativa, sino como una lente a través de la cual se hace visible cómo las decisiones jurídicas, económicas y organizativas pueden reforzar o debilitar la fiabilidad de la función vital.

En último término, esta fase de desarrollo pone de manifiesto que la resiliencia de las entidades críticas y la gestión integrada del riesgo de criminalidad financiera no solo se complementan, sino que se presuponen mutuamente de manera creciente. Una entidad que defina el riesgo de integridad financiera de forma demasiado estrecha carecerá de visibilidad suficiente sobre las vías de influencia y las dependencias que socavan el servicio esencial. Una entidad que aborde la resiliencia en términos puramente técnicos u operativos comprenderá de forma insuficiente a través de qué mecanismos económicos y de gobernanza la vulnerabilidad se incrusta en la organización. La convergencia de ambas perspectivas conduce a un modelo de gobernanza más intenso y refinado en el que la integridad no queda reducida a la pureza jurídica y la resiliencia no se estrecha hasta convertirse en mera seguridad o capacidad de recuperación. Lo que emerge es una forma de dirección en la que la entidad aprende a leer, dentro de un único marco continuo, las señales financieras y económicas, las dependencias digitales, las vulnerabilidades de cadena, la información relativa a incidentes y la toma de decisiones administrativas. En ello reside el verdadero significado de la resiliencia de las entidades críticas como nueva fase de desarrollo de la gestión integrada del riesgo de criminalidad financiera: no una mera ampliación en extensión, sino una profundización de principio de la cuestión de cómo los servicios esenciales siguen estando institucionalmente protegidos frente a la acción combinada del abuso, de la influencia, de la desorganización y de la pérdida de fiabilidad pública.