Ir al contenido principal
NIS2Certify
Volver al resumen

NIS2 y responsabilidad personal de los directivos: lo que todo consejero debe saber

Por NIS2Certify
nis2responsabilidad-directivosgobernanzaarticulo-20consejeros

La mayoría de las regulaciones de ciberseguridad se dirigen a la organización. NIS2 va un paso más allá: se dirige a ti personalmente como directivo.

El artículo 20 de la Directiva NIS2 sitúa la responsabilidad de la ciberseguridad explícitamente en el órgano de dirección. Si tu organización no implementa medidas adecuadas, tú — como directivo individual — puedes ser considerado personalmente responsable.

¿Qué dice exactamente el artículo 20?

¿Se aplica la NIS2 a su organización?
1
¿Opera su organización en un sector esencial o importante (energía, transporte, salud, infraestructura digital, etc.)?
No
2
¿Tiene su organización 50 o más empleados, o un volumen de negocio anual superior a 10 millones de euros?
No
3
¿Es su organización un operador de infraestructura crítica o un prestador cualificado de servicios de confianza?
No
La NIS2 no se aplica directamente a su organización.
La NIS2 se aplica a su organización como entidad esencial o importante.
!
La NIS2 podría aplicarse a su organización — solicite asesoramiento jurídico para confirmar su estatus.
Se aplica
Posiblemente aplica
No se aplica

1. Aprobar medidas de gestión de riesgos

El consejo debe aprobar formalmente las medidas del artículo 21 — políticas de seguridad, evaluaciones de riesgos, planes de respuesta a incidentes y asignación de recursos.

2. Supervisar la implementación

La aprobación sola no basta. El consejo debe supervisar activamente que las medidas aprobadas se implementen realmente.

3. Ser personalmente responsable

Si la organización incumple NIS2, los directivos individuales pueden ser personalmente responsables: multas personales, prohibición temporal de funciones directivas, divulgación pública.

4. Recibir formación en ciberseguridad

Los directivos deben recibir formación para identificar riesgos y evaluar la adecuación de las medidas implementadas.

¿Por qué es diferente de otras regulaciones?

RGPDNIS2
¿Quién es responsable?La organizaciónLa organización y directivos individuales
¿Consecuencias personales?RaramenteExplícitamente previsto
¿Formación del consejo?No requeridaSí — obligatoria
¿Supervisión activa?ImplícitaExplícitamente requerida

Sanciones

Para la organización

  • Entidades esenciales: hasta 10 M€ o 2% de la facturación global
  • Entidades importantes: hasta 7 M€ o 1,4% de la facturación global

Para directivos individuales

  • Multas personales — independientes de las multas corporativas
  • Prohibición temporal de ejercer funciones directivas
  • Daño reputacional — divulgación pública
  • Responsabilidad civil — posibles demandas de accionistas

La defensa "no lo sabía" no funciona

NIS2 exige explícitamente formación y supervisión activa. La ignorancia no es una defensa viable.

¿Qué deben hacer los directivos ahora?

  1. Comprender las obligaciones — artículos 20 y 21 de NIS2
  2. Evaluar la situación actual — ¿qué medidas del artículo 21 están implementadas?
  3. Recibir formación en ciberseguridad — no es opcional bajo NIS2
  4. Formalizar la supervisión — informes regulares de ciberseguridad al consejo
  5. Aprobar políticas de seguridad — punto permanente en la agenda
  6. Asignar recursos suficientes — presupuesto insuficiente = responsabilidad compartida
  7. Documentar todo — decisiones del consejo, formaciones, medidas implementadas
  8. Monitorizar riesgos de cadena — comprender las dependencias clave

Empieza con un quickscan NIS2 gratuito

Nuestro quickscan NIS2 gratuito evalúa tu preparación en las 10 categorías de medidas del artículo 21. Comparte los resultados con tu consejo.

Lee también

Hacer el quickscan gratuito →

    NIS2 y responsabilidad personal de los directivos: lo que todo consejero debe saber — NIS2Certify