Volver al Blog
LegalTech & IA

NIS2: El Consejo de Administración no puede delegar su responsabilidad en ciberseguridad (ni aunque nombre un CISO)

Comité Editorial de NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
14 de julio de 2026
10 min de lectura
NIS2: El Consejo de Administración no puede delegar su responsabilidad en ciberseguridad (ni aunque nombre un CISO)

¿El CISO salva al Consejo? Las FAQ de la ACN lo dejan claro

Si tu empresa está sujeta a NIS2, probablemente ya hayas nombrado un CISO. Pero según las nuevas FAQ publicadas por la Agencia de Ciberseguridad (ACN), eso no te libra de tu responsabilidad. El Consejo de Administración sigue siendo el máximo responsable de la ciberseguridad, aunque delegue tareas operativas. Es como si el Consejo fuera el capitán del barco: puede tener un timonel experto, pero si el barco choca, la culpa es del capitán.

Responsabilidad indelegable: el Consejo no puede esconderse

Las FAQ especifican que la responsabilidad de la ciberseguridad es indelegable. El Consejo debe gobernar y supervisar la materia, no solo nombrar a un CISO y olvidarse. Esto implica que los consejeros deben formarse, entender los riesgos y tomar decisiones informadas. Delegar sin supervisión es como firmar un contrato sin leerlo: una receta para el desastre.

Consecuencias prácticas: ¿qué cambia para los consejeros?

Ahora los consejeros deben demostrar que han ejercido su deber de diligencia. Esto significa asistir a sesiones de ciberseguridad, revisar informes de riesgos y aprobar políticas. No basta con decir "yo delegué en el CISO". Si hay un incidente grave, los reguladores preguntarán al Consejo qué hizo para prevenirlo. Y si la respuesta es "nombramos a un CISO", la multa puede ser dolorosa.

Analogía: el Consejo como padre de familia

Imagina que contratas a un niñero para cuidar a tus hijos. Si el niñero comete un error, tú sigues siendo responsable como padre. No puedes decir "yo solo lo contraté". Lo mismo ocurre con el CISO: el Consejo sigue siendo el "padre" de la ciberseguridad. Puede delegar tareas, pero no la responsabilidad final. Así que mejor que los consejeros se pongan las pilas y dejen de ver la ciberseguridad como un problema de IT.

¿Qué deben hacer los consejeros ahora?

Primero, leer las FAQ completas de la ACN (disponibles aquí). Segundo, asegurarse de que el Consejo recibe formación periódica en ciberseguridad. Tercero, establecer un comité de ciberseguridad dentro del Consejo. Y cuarto, no dormirse en los laureles: la ciberseguridad es un proceso continuo, no un checkbox.

FAQ

¿Puede el Consejo delegar toda la responsabilidad de ciberseguridad en el CISO?

No. Según las FAQ de la ACN, la responsabilidad última es indelegable. El Consejo debe gobernar y supervisar, aunque las tareas operativas puedan delegarse.

¿Qué consecuencias tiene para los consejeros no cumplir con NIS2?

Pueden enfrentarse a sanciones económicas, responsabilidad civil e incluso penal en casos graves. Además, el regulador puede exigir medidas correctivas y hacer público el incumplimiento.

¿Cómo puede el Consejo demostrar que cumple con su deber de diligencia?

Documentando su formación en ciberseguridad, las reuniones donde se traten riesgos, las políticas aprobadas y las decisiones tomadas. También es recomendable contar con un comité de ciberseguridad.

Checklist de cumplimiento para el Consejo

Pendiente
Pendiente
Pendiente
Pendiente
Pendiente
NakedPact Logo

Comité Editorial de NakedPact

Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.

¿Eres propietario de un sitio web?

¿Eres propietario de un sitio web?

¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.

🛡️ Protege tus derechos con un clic

No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.

No confíes, verifica.

Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.

Analiza tu Contrato Ahora

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.