🚨 La NIS2 ya está en vigor. La sensibilización en materia de seguridad es ahora una obligación legal en la UE.

Comprobar el cumplimiento
Comience su prueba gratuita
Volver al Centro de recursos

NIS2 y la responsabilidad del consejo de administración: lo que todo consejero debe saber

Con la NIS2, la ciberseguridad ya no es algo que el consejo de administración pueda delegar y dejar de lado. La directiva atribuye la responsabilidad directamente al equipo directivo y, en determinadas circunstancias, considera a los consejeros responsables a título personal. Subestimar esto no solo supone un riesgo para la organización, sino también un riesgo jurídico personal.

Lo que establece la NIS2 sobre la función de los consejeros

El artículo 20 de la Directiva NIS2 es muy claro: los órganos de gobierno de las organizaciones sujetas a la directiva deben aprobar las medidas de ciberseguridad y supervisar activamente su aplicación. Se trata de un cambio fundamental con respecto a la Directiva NIS1 original, en virtud de la cual la ciberseguridad recaía, en la práctica, principalmente en el departamento de TI.

La Directiva NIS2 exige que los miembros del consejo de administración posean los conocimientos suficientes sobre los riesgos de ciberseguridad para desempeñar su función de supervisión de manera eficaz. La directiva incluso establece explícitamente que la dirección debe recibir formación en este ámbito. No basta con designar a un responsable de seguridad de la información (CISO) o a una empresa de seguridad externa; la responsabilidad última recae en el consejo de administración.

Responsabilidad civil: qué significa en la práctica

En los Países Bajos, la Directiva NIS2 se ha transpuesto a la Ley de Ciberseguridad (Cyberbeveiligingswet, Cbw). Dicha ley establece un régimen de responsabilidad que va más allá de las multas a las organizaciones. Cuando se pueda demostrar que ha habido negligencia por parte de un directivo, la autoridad supervisora podrá prohibirle temporalmente el ejercicio de funciones directivas. La medida se dirige contra la persona, no contra la organización.

En concreto, un consejero que haya incumplido de forma reiterada su obligación de garantizar unas medidas de ciberseguridad adecuadas, o que haya ignorado u ocultado un incidente grave, puede ser destituido temporalmente de su cargo. Esta facultad se ha concebido expresamente como un instrumento para obligar a los consejeros a tomarse en serio sus responsabilidades.

La disposición sobre responsabilidad personal de la Ley de Ciberseguridad solo se aplica cuando se pueda demostrar la negligencia de un consejero concreto. No es una consecuencia automática de todos los incidentes, sino que se reserva para situaciones en las que el consejo de administración haya incumplido de manera sistémica su función de supervisión.

¿Qué organizaciones están sujetas a estas normas?

La NIS2 distingue entre entidades esenciales y entidades importantes. Las entidades esenciales son grandes organizaciones de sectores críticos como la energía, el transporte, la sanidad, el agua potable y las infraestructuras digitales. Las entidades importantes son organizaciones de tamaño medio de esos mismos sectores, a las que se suman industrias como la química, la producción alimentaria y los proveedores de servicios digitales.

Las obligaciones a nivel del consejo de administración previstas en el artículo 20 se aplican a ambas categorías. La diferencia radica en el grado de supervisión: las entidades esenciales pueden ser objeto de auditorías proactivas por parte de la autoridad competente, mientras que la supervisión de las entidades importantes es, en principio, reactiva y se pone en marcha a raíz de notificaciones o incidentes.

Categoría Tamaño Supervisión Multa máxima
Entidad esencial Grandes (más de 250 empleados o más de 50 millones de euros de facturación) Proactivo 10 millones de euros o el 2 % de la facturación global
Entidad importante Mediana (de 50 a 250 empleados) Reactivo 7 millones de euros, lo que supone el 1,4 % de la facturación global

¿Qué se espera realmente de los consejeros?

La ley no establece requisitos técnicos específicos para los miembros del consejo de administración, pero sí establece requisitos organizativos y de procedimiento. En la práctica, estos se reducen a cuatro responsabilidades:

  • Aprobación de la política: el consejo de administración debe adoptar formalmente la política de ciberseguridad y revisarla periódicamente, y no limitarse a recibirla a título informativo.
  • Asignación de presupuesto: unas medidas de seguridad adecuadas requieren recursos. El consejo de administración es responsable de garantizar la disponibilidad de dichos recursos.
  • Ejercer la supervisión: deben existir vías de comunicación que permitan al consejo evaluar el estado de seguridad de la organización, incluso sin conocimientos técnicos.
  • Seguimiento de los incidentes: cuando se produce un incidente grave, el consejo de administración debe participar activamente en la respuesta y cumplir con las obligaciones de notificación frente a las autoridades de supervisión.

La obligación de notificación y el papel del consejo de administración en ella

La Directiva NIS 2 impone requisitos estrictos de notificación para los incidentes graves. Se debe enviar una alerta temprana a la autoridad competente en un plazo de 24 horas desde su detección. A continuación, se debe presentar un informe detallado en un plazo de 72 horas y un informe final en el plazo de un mes. Este plazo parte de la base de que el consejo de administración sea informado de inmediato y pueda actuar con rapidez.

Un director que no conozca los procedimientos internos de escalamiento, o que solo se entere de un incidente grave días después, está creando dificultades innecesarias, tanto en el fondo como desde el punto de vista jurídico. Al fin y al cabo, el cumplimiento de la obligación de notificación es uno de los aspectos que las autoridades de control pueden verificar con relativa facilidad.

Cómo prepararse como director

La preparación comienza con una visión clara. Un director no tiene por qué ser un experto en seguridad, pero debe comprender a qué riesgos se enfrenta la organización, qué medidas se han adoptado y cómo reacciona la organización cuando surge un problema. Para ello, es necesario presentar informes periódicos sobre seguridad al consejo de administración, establecer líneas de escalamiento claras y contar con un plan de respuesta ante incidentes con el que el consejo esté familiarizado.

La NIS2 también exige expresamente que los consejeros reciban formación en ciberseguridad. No se trata de que adquieran conocimientos técnicos, sino de que sean capaces de valorar los riesgos y evaluar las políticas. Las organizaciones que se toman esto en serio también documentan dicha formación, de modo que puedan demostrar durante una auditoría que el consejo de administración ha cumplido con sus obligaciones.

La concienciación en materia de seguridad es un eslabón subestimado de esa cadena, y no solo para los empleados. Un directivo que detecta un intento de phishing es consciente de lo que está en juego cuando un miembro del personal no lo hace. Guardey ayuda a las organizaciones a integrar esa concienciación en todos los niveles, desde la planta de producción hasta la sala de juntas.

El cumplimiento de la NIS2 empieza aquí

Crea una cultura de seguridad antes de que el regulador llame a tu puerta.

Solicitar una demostración
Dinela Lokvancic
Dinela Lokvancic Especialista en marketing Dinela se encarga de mantener actualizada la presencia online de Guardey. Crea contenidos que hacen accesibles temas complejos relacionados con la ciberseguridad y ayuda a las organizaciones a comprender por qué la formación en materia de seguridad es importante para sus equipos.
¿LISTO PARA EMPEZAR?

Únete a las más de 500 empresas que ya protegen a sus equipos con Guardey

Empieza tu prueba gratuita de 14 días
14 días gratis · Sin tarjeta de crédito · Acceso completo · Configuración en 5 minutos
O bien, solicita una demostración personalizada