NIS2: El Consejo de Administración no puede delegar su responsabilidad en ciberseguridad (ni aunque nombre un CISO)
Índice de Contenidos
¿El CISO salva al Consejo? Las FAQ de la ACN lo dejan claro
Si tu empresa está sujeta a NIS2, probablemente ya hayas nombrado un CISO. Pero según las nuevas FAQ publicadas por la Agencia de Ciberseguridad (ACN), eso no te libra de tu responsabilidad. El Consejo de Administración sigue siendo el máximo responsable de la ciberseguridad, aunque delegue tareas operativas. Es como si el Consejo fuera el capitán del barco: puede tener un timonel experto, pero si el barco choca, la culpa es del capitán.
Responsabilidad indelegable: el Consejo no puede esconderse
Las FAQ especifican que la responsabilidad de la ciberseguridad es indelegable. El Consejo debe gobernar y supervisar la materia, no solo nombrar a un CISO y olvidarse. Esto implica que los consejeros deben formarse, entender los riesgos y tomar decisiones informadas. Delegar sin supervisión es como firmar un contrato sin leerlo: una receta para el desastre.
Consecuencias prácticas: ¿qué cambia para los consejeros?
Ahora los consejeros deben demostrar que han ejercido su deber de diligencia. Esto significa asistir a sesiones de ciberseguridad, revisar informes de riesgos y aprobar políticas. No basta con decir "yo delegué en el CISO". Si hay un incidente grave, los reguladores preguntarán al Consejo qué hizo para prevenirlo. Y si la respuesta es "nombramos a un CISO", la multa puede ser dolorosa.
Analogía: el Consejo como padre de familia
Imagina que contratas a un niñero para cuidar a tus hijos. Si el niñero comete un error, tú sigues siendo responsable como padre. No puedes decir "yo solo lo contraté". Lo mismo ocurre con el CISO: el Consejo sigue siendo el "padre" de la ciberseguridad. Puede delegar tareas, pero no la responsabilidad final. Así que mejor que los consejeros se pongan las pilas y dejen de ver la ciberseguridad como un problema de IT.
¿Qué deben hacer los consejeros ahora?
Primero, leer las FAQ completas de la ACN (disponibles aquí). Segundo, asegurarse de que el Consejo recibe formación periódica en ciberseguridad. Tercero, establecer un comité de ciberseguridad dentro del Consejo. Y cuarto, no dormirse en los laureles: la ciberseguridad es un proceso continuo, no un checkbox.
FAQ
¿Puede el Consejo delegar toda la responsabilidad de ciberseguridad en el CISO?
No. Según las FAQ de la ACN, la responsabilidad última es indelegable. El Consejo debe gobernar y supervisar, aunque las tareas operativas puedan delegarse.
¿Qué consecuencias tiene para los consejeros no cumplir con NIS2?
Pueden enfrentarse a sanciones económicas, responsabilidad civil e incluso penal en casos graves. Además, el regulador puede exigir medidas correctivas y hacer público el incumplimiento.
¿Cómo puede el Consejo demostrar que cumple con su deber de diligencia?
Documentando su formación en ciberseguridad, las reuniones donde se traten riesgos, las políticas aprobadas y las decisiones tomadas. También es recomendable contar con un comité de ciberseguridad.
Checklist de cumplimiento para el Consejo

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

Cláusulas de Arbitraje Obligatorio: La Trampa Oculta en los Contratos de Software que te Quita el Derecho a Demandar

¡Sorpresa del 4 de Julio! Nueva ley de data brokers en Nueva Jersey: ¿estás listo para pagar?

¿Tienes que pagar la tasa de protección de datos al ICO? (UK-GDPR)
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora