Acerca de operadores lógicos
Articulo 4 Resiliencia de las entidades críticas
Artículo 4. Estrategia para la resiliencia de las entidades críticas
1. Tras una consulta que, en la medida de lo posible, esté abierta a las partes interesadas pertinentes, cada Estado miembro adoptará a más tardar el 17 de enero de 2026 una estrategia para aumentar la resiliencia de las entidades críticas (en lo sucesivo, «estrategia»). La estrategia establecerá objetivos estratégicos y medidas de actuación, basándose en estrategias nacionales y sectoriales, planes o documentos similares existentes en la materia, con vistas a alcanzar y mantener un alto nivel de resiliencia por parte de las entidades críticas y abarcará, como mínimo, los sectores indicados en el anexo.
2. Cada estrategia incluirá, como mínimo, los elementos siguientes:
a) los objetivos estratégicos y las prioridades con el fin de aumentar la resiliencia global de las entidades críticas, teniendo en cuenta las dependencias e interdependencias transfronterizas e intersectoriales;
b) un marco de gobernanza para alcanzar los objetivos estratégicos y las prioridades, incluida una descripción de las funciones y responsabilidades de las diferentes autoridades, entidades críticas y otras partes implicadas en la aplicación de la estrategia;
c) una descripción de las medidas necesarias para aumentar la resiliencia global de las entidades críticas, incluida una descripción de la evaluación de riesgos a que se refiere el artículo 5;
d) una descripción del proceso por el que se identifican las entidades críticas;
e) una descripción del proceso de apoyo a las entidades críticas de conformidad con el presente capítulo, incluidas las medidas para mejorar la cooperación entre el sector público, por una parte, y el sector privado y las entidades públicas y privadas, por otra;
f) una lista de las principales autoridades y partes interesadas pertinentes, distintas de las entidades críticas, que participen en la ejecución de la estrategia;
g) un marco de actuación a efectos de la coordinación entre las autoridades competentes con arreglo a la presente Directiva (en lo sucesivo, «autoridades competentes») y las autoridades competentes con arreglo a la Directiva (UE) 2022/2555 a efectos del intercambio de información sobre los riesgos, amenazas e incidentes relacionados con la ciberseguridad y los riesgos, amenazas e incidentes no relacionados con ella y el ejercicio de las tareas de supervisión;
h) una descripción de las medidas ya adoptadas con el fin de facilitar el cumplimiento de las obligaciones con arreglo al capítulo III de la presente Directiva por parte de las pequeñas y medianas empresas en el sentido del anexo de la Recomendación 2003/361/CE de la Comisión (31) identificadas como entidades críticas por el Estado miembro en cuestión.
Tras una consulta que, en la medida de lo posible, esté abierta a las partes interesadas pertinentes, los Estados miembros actualizarán sus estrategias como mínimo cada cuatro años.
3. Los Estados miembros comunicarán a la Comisión sus estrategias, así como sus actualizaciones sustanciales, en el plazo de tres meses a partir de la fecha de su adopción.