norppa.io
Guías

Guía NIS2 · 7 min

NIS2 y la responsabilidad de la dirección: lo que el consejo y la alta dirección deben saber

NIS2 hace algo que las normas de ciberseguridad anteriores apenas hacían: pone la ciberseguridad expresamente sobre la mesa del órgano de dirección. La dirección debe aprobar las medidas de gestión de riesgos, supervisarlas y puede ser considerada personalmente responsable si fallan. Esta guía explica qué espera la directiva del consejo y los directivos, qué preguntas plantear a su equipo de seguridad, cómo es un buen reporte y cuánto cuesta equivocarse.

Puntos clave

  • Los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos cibernéticos — y pueden ser responsables de los incumplimientos (art. 20).
  • La dirección debe recibir formación en ciberseguridad; el deber no puede delegarse por completo en TI.
  • Las sanciones alcanzan 10 M€ o el 2 % del volumen de negocios mundial para entidades esenciales, 7 M€ o el 1,4 % para las importantes (art. 34).
  • El consejo debe esperar un reporte conciso y basado en evidencias — cobertura, rapidez de remediación y riesgo abierto — no una garantía anual.

La dirección está señalada y comprometida

Conforme al artículo 20, el órgano de dirección de una entidad esencial o importante debe aprobar las medidas de gestión de riesgos cibernéticos de la entidad y supervisar su aplicación. No es una formalidad delegable: la directiva hace a la dirección responsable de que las medidas estén realmente implantadas y funcionen.

Es crucial que los miembros de los órganos de dirección puedan ser considerados responsables de los incumplimientos de la entidad. Esa responsabilidad está inscrita en la propia directiva; su forma concreta depende de la transposición nacional. La ciberseguridad es, por tanto, una cuestión de gobernanza, no solo de TI — pertenece al orden del día del consejo junto al riesgo financiero y jurídico.

Los cuatro deberes de un órgano de dirección

En la práctica, las expectativas de gobernanza de la directiva se reducen a cuatro cosas que la dirección debe hacer:

  • Aprobar las medidas — validar las medidas de gestión de riesgos (la base del art. 21) con suficiente comprensión de lo que aprueba.
  • Supervisar la aplicación — asegurar que las medidas se implanten realmente y sean eficaces con el tiempo, con reporte periódico al consejo.
  • Recibir formación — los miembros deben recibir formación en ciberseguridad para identificar riesgos y juzgar la idoneidad de las medidas (art. 20(2)); debe ofrecerse formación similar al personal.
  • Ser responsable — asumir el resultado. La responsabilidad por los incumplimientos recae en el órgano de dirección, y las autoridades de control pueden actuar directamente contra la dirección.

Preguntas para su equipo de seguridad

No necesita ser ingeniero de seguridad para ejercer la supervisión. Un consejo puede cumplir gran parte de su deber formulando las preguntas adecuadas y exigiendo respuestas basadas en evidencias:

¿Estamos dentro del ámbito como entidad esencial o importante — y cuáles de nuestros clientes lo están, trasladándonos obligaciones por contrato?
¿Tenemos implantadas las medidas del art. 21, y cuándo las revisó y aprobó por última vez este órgano?
¿Podemos cumplir los plazos de notificación de 24/72 horas si un incidente — incluido el de un proveedor — afecta a nuestros servicios?
¿Cómo gestionamos el riesgo cibernético de proveedores y terceros, y cómo lo demostraríamos en una inspección?
¿Cuáles son ahora mismo nuestros principales riesgos abiertos, y quién responde de la remediación y para cuándo?

Cómo es un buen reporte al consejo

La supervisión necesita señal, no un anexo de 60 páginas. Una línea de reporte NIS2 útil para el consejo es breve, comparable en el tiempo y basada en evidencias:

Cobertura

Qué proporción de los proveedores y activos en ámbito se supervisa realmente — las sorpresas vienen de los huecos.

Rapidez de remediación

Tiempo medio para resolver los hallazgos críticos y altos — la tendencia importa más que cualquier cifra aislada.

Riesgo abierto

Los hallazgos críticos/altos actuales y los riesgos documentados y aceptados — NIS2 espera riesgo gestionado, no cero hallazgos.

Preparación ante incidentes

¿Pueden cumplirse los plazos de notificación, y se han ensayado, incluso para incidentes causados por proveedores?

Lo que cuesta equivocarse — y acertar

Las sanciones del artículo 34 alcanzan hasta 10 millones € o el 2 % del volumen de negocios anual mundial total (el importe que sea mayor) para las entidades esenciales, y hasta 7 millones € o el 1,4 % para las importantes. Las autoridades de control también pueden emitir instrucciones vinculantes, ordenar la divulgación de incidentes y — en entidades esenciales — suspender temporalmente funciones de dirección. Para la dirección, la exposición reputacional y la responsabilidad personal pueden pesar más que la propia multa.

Bien hecho, suele tratarse menos de gasto nuevo que de reorientar controles existentes: las medidas del art. 21 se solapan ampliamente con controles que muchas organizaciones ya operan (ISO 27001, continuidad, control de acceso). El cambio que impone NIS2 va de la garantía puntual a una gestión continua y basada en evidencias — lo que también hace que el reporte de supervisión sea realmente informativo y no una formalidad.

Fuente: Directiva (UE) 2022/2555 (NIS2), artículos 20 y 34 — consulte su ley nacional de transposición para las disposiciones exactas de responsabilidad y formación en su país.

Cómo ayuda norppa.io

norppa.io convierte el riesgo cibernético de proveedores y terceros en el tipo de evidencia que un consejo puede usar de verdad: una puntuación de riesgo clara por proveedor, hallazgos asignados a los artículos NIS2 y un informe ejecutivo mensual diseñado para la dirección, no para ingenieros.

La cobertura, el historial de remediación y el riesgo abierto se ven de un vistazo, con el rastro de auditoría completo exportable — así la dirección puede demostrar una supervisión activa, y la misma evidencia responde a las preguntas de una autoridad de control.

Dé a su consejo evidencias, no afirmaciones

Vea el informe de proveedor ejecutivo — puntuación de riesgo, asignación NIS2 y evidencias — en dos minutos.

Ver informe de ejemplo

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

Evaluación del ciberriesgo del proveedor: qué comprueba el monitoreo NIS2 automatizado

Todas las categorías de comprobación explicadas: ransomware, filtraciones dark web, TLS/DNSSEC, seguridad de cookies, CVE/EPSS, sanciones, listas negras MX y SAQ. Ciclo de vida de hallazgos y mapeo de artículos NIS2.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.

Notificación de incidentes NIS2: los plazos de 24 y 72 horas explicados

Qué es un incidente significativo, el calendario del artículo 23 (alerta a 24 h, notificación a 72 h, informe final a un mes) y cuándo el incidente de un proveedor se convierte en su obligación.

ISO 27001 y NIS2: lo que su SGSI ya cubre — y las brechas que no

Si tiene ISO 27001: qué se traslada a NIS2 y qué no — notificación legal, responsabilidad de la dirección, registro y garantía continua de la cadena de suministro — y cómo cerrar la brecha.