Es Tendencia
Ilp regularización migrantes
Moratoria
Caixabank
Pensiones
Desahucios
Rodalies
Donald Trump
Decreto-ley ómnibus
SMI
Pensiones 2026
Decreto-ley ómnibus
Decreto-ley ómnibus
Accidente de tren en Adamuz 2026
Pedro Sánchez
Viruela del mono
Pensiones
Alvise pérez
Sectores Sanidad Defensa Digital & IA Agricultura & Alimentación Textil Economía & Finanzas Industria & Sostenibilidad Energía Vivienda
Políticas

La responsabilidad solidaria por brechas de ciberseguridad inquieta a los consejos de administración

Gold-plating en ciberseguridad: el Gobierno va más allá en la transposición de la NIS2 y extiende la responsabilidad solidaria a la cúpula empresarial

3 minutos

El ministro del Interior, Fernando Grande-Marlaska, en una imagen de archivo | Alejandro Martínez (Europa Press).

El ministro del Interior, Fernando Grande-Marlaska, en una imagen de archivo | Alejandro Martínez (Europa Press).

Comparte

Comenta

Te podría interesar

Publicado

3 minutos

Más leídas

La regulación en materia de ciberseguridad se posiciona como uno de los principales focos en este 2026. Es el momento. España lleva mucho retraso, entre otras cosas, porque aguarda a los movimientos de una Europa que presiona. El Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que fue aprobado en primera vuelta en enero del 2025, no solo transpone la Directiva (UE) 2022/2555, comúnmente conocida como Directiva NIS2, sino que va más allá, lo que preocupa a los altos cargos de empresas.

La redacción del texto que salió a audiencia pública introduce un cambio relevante en la forma en que se concibe la responsabilidad de los órganos de dirección ante incidentes y brechas de seguridad. Incorpora, por primera vez de forma explícita, la implicación directa de los consejos de administración en la gestión de los riesgos cibernéticos.

En su Artículo 14, dedicado a la gobernanza, el anteproyecto establece que los órganos de dirección de las entidades esenciales e importantes serán responsables de aprobar las medidas de gestión de riesgos de ciberseguridad, supervisar su correcta implantación y asumir las consecuencias de su incumplimiento. No se trata únicamente de una obligación formal: la norma traslada la ciberseguridad al nivel estratégico de la empresa.

Sin embargo, el verdadero punto de fricción se encuentra en el Artículo 35, relativo a los sujetos responsables. En él se recoge que los miembros de los órganos de dirección responderán solidariamente de las infracciones que cometa la entidad. Esta previsión ha encendido las alarmas en el sector, al interpretarse como un endurecimiento del régimen de responsabilidades respecto a lo previsto en la propia Directiva NIS2, que habla de responsabilidad de los órganos de gestión, pero no impone de manera expresa una responsabilidad solidaria automática.

Ilustración Demócrata

Noticia destacada

Políticas

El laberinto de la Ley de Ciberseguridad en España: retrasos, presión de Europa y nuevas exigencias en camino

6 minutos

El debate no es menor. La introducción de esta figura supone que los consejeros podrían verse expuestos a consecuencias jurídicas directas derivadas de una brecha de ciberseguridad, incluso cuando la gestión operativa recaiga en equipos técnicos especializados. Desde el ámbito empresarial y jurídico se advierte de que este enfoque puede ir más allá del marco europeo —lo que se conoce como gold plating— y generar un efecto disuasorio en la asunción de cargos de alta responsabilidad, especialmente en sectores altamente regulados.

Al mismo tiempo, la medida refleja una tendencia clara en la regulación europea: reforzar la cultura de responsabilidad en materia de seguridad digital desde la cúspide de las organizaciones. La NIS2 ya exige que la ciberseguridad forme parte del sistema de gobernanza corporativa, obligando a los consejos a implicarse activamente en la evaluación de riesgos, la asignación de recursos y la supervisión de los planes de respuesta a incidentes.

La cuestión que ahora se abre es si el legislador español mantendrá este planteamiento en su redacción final o si introducirá ajustes para alinearlo de forma más estricta con la Directiva europea, especialmente en un contexto en el que Bruselas prepara nuevas modificaciones al marco comunitario de ciberseguridad.

Las empresas afectadas

La NIS2 sería de aplicación para todas las entidades públicas y privadas, que tengan su domicilio fiscal en España (o en cualquier otro Estado miembro) y desarrolle su actividad en nuestro país. No afecta a todas las empresas, pero sí a una gran mayoría de ellas, en concreto a las encuadradas en sectores considerados de alta criticidad para el normal funcionamiento del país:

  • Energía (electricidad, gas, petróleo, hidrógeno).
  • Transporte (aéreo, ferroviario, marítimo, carreteras).
  • Banca y mercados financieros
  • Sanidad y productos farmacéuticos.
  • Agua potable y aguas residuales.
  • Infraestructuras digitales y servicios tecnológicos (por ejemplo, centros de datos o servicios DNS).
  • Entidades de la administración pública y sector espacial.
  • Industria nuclear.

Asimismo, exigirá su cumplimiento a otros sectores de menos criticidad, como los servicios postales y de mensajería, la gestión de residuos, la producción, transformación y distribución de alimentos; los proveedores de servicios digitales; la investigación científica y la seguridad privada.

En general, la NIS2 se aplica a entidades que son empresas medianas o grandes, es decir:

  • Más de 50 empleados, o
  • Más de 10 millones de euros de facturación/anuales (o balance).

No incluye a micro y pequeñas empresas (menos de 50 empleados y menor facturación) salvo excepciones, cuando su actividad es crítica o son proveedores únicos de servicios esenciales.

También puede afectar a entidades no europeas que prestan servicios dentro de la UE; y puede incluir casos particulares sin importar el tamaño (p. ej., proveedores de servicios de nombres de dominio de primer nivel, proveedores de DNS públicos o comunicaciones electrónicas).