nis²insights.com

En vigor desde el 17 oct 2024·Día 565·

Gobernanza18 abr. 202510 min

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegar

El artículo 20 de la Directiva 2022/2555 lleva formalmente la ciberseguridad al consejo. Estas son las cinco responsabilidades que ahora recaen personalmente sobre los administradores.

Artículo 20 NIS2: 5 responsabilidades del consejo que los administradores no pueden delegarGobernanza

La Directiva NIS2 — formalmente la Directiva (UE) 2022/2555 — entró en vigor el 17 de octubre de 2024. Los Estados miembros debían transponerla a su Derecho nacional en esa misma fecha. Dieciocho meses después, el panorama europeo es desigual, pero un cambio es universal: toda organización dentro del ámbito de aplicación tiene hoy una exposición personal en el consejo de administración.

Lo llamativo no es el volumen de obligaciones. NIS2 codifica un conjunto de prácticas que cualquier programa de seguridad razonablemente maduro ya implementa. Lo nuevo es que la responsabilidad recae ahora, expresa y personalmente, sobre los órganos de dirección — y que las autoridades nacionales competentes pueden sancionarlos directamente al amparo del artículo 32.

El artículo 20 de la directiva — titulado escuetamente «Gobernanza» — está en el centro de ese cambio. Tiene dos apartados. Leído estrictamente, enumera dos deberes. Leído en contexto, con los considerandos 80 y 81 y los apartados correspondientes del artículo 21, formula cinco responsabilidades que recaen personalmente sobre los administradores y que no son delegables.

1. Aprobar el programa de ciberseguridad — con comprensión documentada

El artículo 20, apartado 1, es inequívoco: los órganos de dirección aprueban las medidas de gestión de riesgos de ciberseguridad adoptadas por las entidades para cumplir el artículo 21. El peso jurídico recae en aprueban, no en son informados de.

En las autoridades nacionales competentes europeas — ANSSI en Francia, BSI en Alemania, INCIBE en España, ACN en Italia, NCSC-IE en Irlanda — la misma expectativa aparece en sus directrices publicadas: aprobar implica una comprensión documentada. Un acta del consejo que recoja una discusión sustantiva del registro de riesgos de la entidad, los riesgos residuales aceptados y los compromisos adoptados entre tratamiento del riesgo y coste operativo. Una firma sin ese rastro documental es, en la práctica, una posición de partida para una actuación sancionadora, no una defensa frente a ella.

Aprobar no es firmar. Es tomar una posición documentada, contestable, con pleno conocimiento del registro de riesgos.

El elemento no delegable aquí es la comprensión, no el acto de firmar. Los consejos pueden apoyarse en la recomendación del CISO o equivalente — no pueden apoyarse en ella sin cuestionarla.

2. Supervisar la implementación de forma continua

La segunda parte del artículo 20, apartado 1, suele pasar desapercibida: los órganos de dirección deben supervisar la implementación. Una aprobación en un momento puntual no basta. El considerando 80 lo deja explícito al enmarcar la supervisión como una obligación continua vinculada al papel de gobernanza del órgano de dirección.

En la práctica, supervisar significa:

  • Un punto fijo en el orden del día del consejo, no escondido en «ruegos y preguntas».
  • Un cuadro de mando de riesgos que reporte el delta desde la sesión anterior, no el estado estático.
  • Un canal de escalado claro para el CISO o función equivalente hasta el presidente del consejo cuando aparezcan riesgos materiales entre revisiones programadas.

Un consejo que aprueba el programa en marzo y vuelve a tratar la ciberseguridad en octubre no cumplirá, en prácticamente todos los Estados miembros, esta exigencia.

3. Asumir la responsabilidad personal — incluida la prohibición de ejercer funciones de dirección

La cláusula final del artículo 20, apartado 1, es donde la directiva enseña los dientes: los órganos de dirección pueden ser declarados responsables de los incumplimientos de las entidades respecto del artículo 21. La dimensión financiera la fija el artículo 34: hasta 10 millones de euros o el 2 % del volumen de negocios anual mundial para las entidades esenciales, prevaleciendo la cantidad mayor; hasta 7 millones de euros o el 1,4 % para las entidades importantes.

La dimensión no financiera es más rotunda y se discute menos. El artículo 32, apartado 5, autoriza a los Estados miembros a prever la suspensión temporal de cualquier persona física que ejerza responsabilidades directivas al nivel de director general o representante legal, o una prohibición temporal de ejercer funciones de dirección en la entidad. En román paladino: una prohibición de ejercer.

Varios Estados miembros han transpuesto esta disposición de forma contundente en su Derecho nacional. El mensaje para el consejo: aceptar estas responsabilidades ya no es una cuestión de cultura corporativa. Es una exposición personal, y ninguna póliza D&O cubre una inhabilitación administrativa.

4. Recibir formación, en persona

El artículo 20, apartado 2, es inusualmente directo para una directiva europea: los Estados miembros velarán por que los miembros de los órganos de dirección de las entidades esenciales e importantes estén obligados a recibir formación. Obligados. No animados, no recomendados.

La formación tampoco es delegable. Un error de lectura común consiste en pensar que el CISO puede «informar» al consejo en lugar de una formación formal. No es lo que dice el artículo. La directiva enuncia el objetivo de manera explícita: los miembros del órgano de dirección deben adquirir conocimientos y aptitudes suficientes para identificar riesgos y evaluar las prácticas de gestión de riesgos de ciberseguridad y su impacto en los servicios prestados por la entidad.

La directiva no fija un volumen horario, y las transposiciones nacionales varían. A partir de las directrices publicadas por las autoridades nacionales competentes, un umbral defendible se parece a esto:

  • Un programa de incorporación de 6 a 12 horas para los nuevos administradores, que cubra la propia directiva, el panorama de amenazas de la entidad y el registro de riesgos.
  • Una sesión anual de actualización de 2 a 4 horas sobre los cambios materiales desde la sesión anterior.
  • Asistencia y contenidos documentados. Una simple lista de asistentes con la fecha y los materiales utilizados es suficiente.

Es la responsabilidad en la que los consejos fallan con más frecuencia. También es la más fácil de subsanar.

5. Garantizar formación a escala de toda la entidad

La segunda frase del artículo 20, apartado 2, se archiva a veces como una declaración de intenciones: los Estados miembros animarán a las entidades esenciales e importantes a ofrecer una formación similar a sus empleados con regularidad. El verbo animarán es más suave que exigirán.

Es, sin embargo, una responsabilidad del consejo. El artículo 21, apartado 2, letra g) — al que el artículo 20 remite expresamente — enumera «las prácticas básicas de ciberhigiene y la formación en ciberseguridad» entre las categorías de medidas que las entidades esenciales e importantes adoptarán. No es un estímulo; es una obligación. El papel del consejo en virtud del artículo 20 es asegurarse de que la obligación del artículo 21 se cumple efectivamente.

Dicho de otro modo: el consejo no puede formar personalmente a cada empleado, pero puede — y debe — comprobar que existe un programa de formación para empleados, que tiene una cadencia medible y que las tasas de finalización se elevan hasta él.

Cómo se ve cuando está bien hecho

En las directrices publicadas de las autoridades nacionales competentes europeas, tres señales aparecen sistemáticamente.

Primera: un acta del consejo de los últimos doce meses que evidencie una discusión sustantiva del programa de ciberseguridad. No un mero acuse de recibo.

Segunda: un registro de riesgos con fecha, con titularidad al nivel directivo, trazable hasta las acciones tomadas desde la revisión anterior del consejo.

Tercera: la prueba de que el programa de seguridad fue revisado de forma independiente — por una función de auditoría interna o un evaluador externo — en los últimos doce meses, y que sus conclusiones se elevaron al consejo.

Ninguno de estos tres puntos es ambiguo. Son documentos. Existen o no existen. La tarea de los próximos doce meses, para los consejos que aún no han actuado, es asegurarse de que existan.

Fuentes

  1. Directiva (UE) 2022/2555, artículo 20 («Gobernanza»).
  2. Directiva (UE) 2022/2555, artículo 21 («Medidas para la gestión de riesgos de ciberseguridad»), en particular el apartado 2, letra g).
  3. Directiva (UE) 2022/2555, artículo 32, apartado 5 (suspensión y prohibición de ejercer funciones de dirección).
  4. Directiva (UE) 2022/2555, artículo 34 (condiciones generales para la imposición de multas administrativas).
  5. Directiva (UE) 2022/2555, considerandos 80 y 81 (gobernanza y formación de la dirección).
  6. Directrices de aplicación publicadas por las autoridades nacionales competentes: ANSSI (FR), BSI (DE), INCIBE (ES), ACN (IT), NCSC-IE (IE), así como por la ENISA.

Otros artículos

Notificación de incidentes NIS2: la guía práctica de las 72 horasGestión de incidentes

Notificación de incidentes NIS2: la guía práctica de las 72 horas

11 abr. 2025·Leer · 9 min
Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedoresCadena de suministro

Seguridad de la cadena de suministro NIS2: 5 cláusulas que exigir a sus proveedores

9 abr. 2025·Leer · 7 min
Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2Gestión de riesgos

Una plantilla pragmática de registro de riesgos para el artículo 21 NIS2

2 abr. 2025·Leer · 6 min