Hace tiempo que la ciberseguridad y la gestión de los ciber riesgos dejaron de ser un asunto que inquietaba únicamente a los departamentos de tecnología de las compañías; cada vez ocupa más atención en la larga lista de preocupaciones de sus órganos de dirección. Ahora, la Unión Europea ha aumentado el peso de esa carga con la publicación de una nueva norma en materia de ciberseguridad: la Directiva (UE) 2025/2555 (denominada usualmente como Directiva NIS 2). Además de imponer obligaciones más robustas, establece expresamente la responsabilidad de los órganos de dirección en caso de incumplimiento.
Las compañías tenían que abrazar la transformación digital para poder seguir siendo competitivas y, en mayor o menor medida, lo han hecho (y siguen haciéndolo)
En los últimos años, la transformación digital se ha confirmado como uno de los elementos clave en la estrategia actual de las compañías. Ha permitido optimizar procesos, aumentar la eficiencia e, incluso, lanzar nuevos negocios o refinar negocios tradicionales, con un impacto muy favorable en la cuenta de resultados. Las compañías tenían que abrazar la transformación digital para poder seguir siendo competitivas y, en mayor o menor medida, lo han hecho (y siguen haciéndolo).
Sin embargo, toda nueva oportunidad suele ir de la mano con nuevos riesgos. En el caso de la transformación digital, uno de los más evidentes son los riesgos de ciberseguridad. Prácticamente a diario leemos noticias sobre compañías que han sufrido robos de información o que han visto cómo sus sistemas quedaban bloqueados por ataques informáticos (ramsomware). Ello da lugar no sólo a consecuencias regulatorias sino, también, y generalmente es más importante, a una interrupción forzosa de su actividad empresarial.
Consciente de esta situación, la Unión Europea publicó en 2016 su primera norma específica en materia de ciberseguridad: la Directiva (UE) 2016/1148, que se transpuso en España a través del Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información, posteriormente desarrollado por el Real Decreto 43/2021. Generalmente conocida como Directiva NIS, tenía por objeto establecer unos requisitos mínimos aplicables a ciertas compañías en cuestiones como el desarrollo de capacidades y la planificación ante ciber-incidentes, o el intercambio de información para prevenir ciber ataques. Los Estados Miembros tenían la potestad de determinar a qué sectores de actividad afectaba, lo que dio lugar a una elevada fragmentación en la Unión Europea. De hecho, ese ha sido uno de los principales motivos que llevó a la Unión Europea a actualizar la Directiva NIS y sustituirla por su nueva versión, la Directiva NIS 2.
A diferencia de lo que sucedía con anterioridad, los Estados Miembros ya no pueden determinar qué sectores se ven afectados y cuáles no. La Directiva NIS 2 lo hace directamente. La principal consecuencia es que, en varios Estados Miembros, como España, las compañías sujetas a esta norma se ampliarán considerablemente. Una vez se transponga, su aplicabilidad será prácticamente horizontal, afectando a compañías de prácticamente cualquier sector, incluyendo: energía, transporte, banca, sanitario, agua, infraestructura digital, telecomunicaciones, postal, administraciones públicas, gestión de residuos, químico, alimentario o investigación. Se introducen obligaciones reforzadas en cuanto a la prevención y el reporte de incidentes y se prevén sanciones en caso de incumplimiento que pueden ascender, para algunas entidades, hasta 10.000.000 EUR o el 2% del volumen de negocios anual total a nivel mundial durante el ejercicio financiero anterior (la que sea mayor).
La Directiva NIS 2 también introduce obligaciones dirigidas directamente al órgano de dirección de las compañías
Pero, además de ello, la Directiva NIS 2 también introduce obligaciones dirigidas directamente al órgano de dirección de las compañías, vinculadas claramente con su deber general de diligencia: establece que los órganos de dirección tienen el deber de aprobar las medidas para la gestión de los ciber riesgos y de supervisar que se aplican correctamente. También de asistir a formación especializada sobre ciberseguridad, de manera que tengan la capacitación necesaria para detectar riesgos y valorar su impacto en la actividad de la compañía. Además, deberán fomentar que todos los empleados adquieran unos conocimientos suficientes sobre ciberseguridad.
La clave reside en que, si no cumplen con estas obligaciones, podrán responder por el incumplimiento e incluso ser inhabilitados temporalmente para ejercer funciones directivas en la entidad.
La Directiva NIS 2 no establece es en qué tipo de responsabilidad podrían incurrir los directivos que incumplan con sus deberes en materia de ciberseguridad
Lo que la Directiva NIS 2 no establece es en qué tipo de responsabilidad podrían incurrir los directivos que incumplan con sus deberes en materia de ciberseguridad. Así, los Estados Miembros tendrán una papel muy relevante a la hora de transponer esta regla a su normativa interna. Parece razonable pensar que se tratará de una responsabilidad vinculada con la acción social de responsabilidad contra administradores por parte de la sociedad, accionistas y acreedores. No obstante, tampoco podría descartarse que se llegue a contemplar una responsabilidad de tipo administrativo, como ya se ha previsto en la reciente Ley 2/2023, de 20 de febrero, reguladora de la protección de las personas que informen sobre infracciones normativas y de lucha contra la corrupción.
En cualquier caso, las compañías deberán seguir con atención el proceso legislativo de transposición de esta Directiva NIS 2, que debería completarse a más tardar el 17 de octubre de 2024.
SOBRE LA FIRMA Pablo Uslé es Director de Equipo de IPTech en Baker McKenzie.