NIS2 artículo 20: 5 responsabilidades que los consejos de administración ya no pueden delegar

El artículo 20 de la Directiva 2022/2555 traslada formalmente la ciberseguridad al consejo de administración. En España, el CCN-CERT y el INCIBE vigilan la aplicación. Cinco responsabilidades recaen ahora personalmente sobre los órganos directivos de las entidades esenciales e importantes — ninguna puede delegarse completamente al área TI, al CISO o al comité de auditoría.

Responsabilidad 1 — Aprobar formalmente las medidas de gestión de riesgos

El consejo debe "aprobar" (no solo tomar nota de) las medidas del artículo 21: análisis de riesgos, gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, criptografía, control de acceso, autenticación multifactor, higiene cibernética, seguridad del personal, evaluación de eficacia. La aprobación debe constar en acta, al menos anualmente, con votación documentada.

Responsabilidad 2 — Supervisar la implementación de forma continua

Aprobar una vez no basta. El consejo recibe informes periódicos sobre el plan de tratamiento de riesgos, incidentes ocurridos, resultados de pentests, consumo de presupuesto y conformidad con marcos internos (ISO 27001, NIST CSF). La periodicidad trimestral se está consolidando como estándar para entidades esenciales. Un consejo que aprueba un presupuesto de ciberseguridad del 0,3 % de los ingresos sin cuestionar la mediana sectorial (alrededor del 1-2 % según ENISA) no puede sostener de forma creíble que ha supervisado.

Responsabilidad 3 — Asumir responsabilidad personal por incumplimiento

El artículo 32, apartado 6, permite a las autoridades competentes imponer inhabilitaciones temporales para ejercer funciones directivas en caso de incumplimientos graves. La responsabilidad se evalúa según el criterio de la diligencia: un directivo que aprobó medidas proporcionadas, las supervisó con indicadores trazables y asignó recursos razonables no será considerado personalmente responsable de un incidente aislado. Un directivo que ignoró alertas repetidas del CISO o rechazó presupuestos documentados, sí.

Responsabilidad 4 — Completar formación en ciberseguridad

El artículo 20, apartado 2, obliga a los miembros de los órganos directivos a seguir formación que les permita identificar riesgos y prácticas de gestión, y evaluar su impacto en los servicios de la entidad. La asistencia debe quedar registrada. Un módulo de 4 a 8 horas anuales, renovado en cada cambio de mandato, se considera proporcionado. El CCN-CERT recomienda además formación regular del personal — sin ella, no puede cumplirse la obligación de resultado sobre higiene cibernética y seguridad del personal prevista en el artículo 21.

Responsabilidad 5 — Asignar recursos adecuados

Aprobar sin presupuesto es una aprobación vacía. El consejo valida anualmente el presupuesto de ciberseguridad (como porcentaje del presupuesto TI), los recursos humanos dedicados (CISO, SOC, ingenieros de seguridad) y los servicios externos contratados. Las entidades esenciales maduras dedican entre el 8 % y el 12 % del presupuesto TI a ciberseguridad, con al menos un CISO a tiempo completo reportando al comité ejecutivo.

Qué examina el CCN-CERT en una inspección

Actas del consejo sobre ciberseguridad, decisiones formales de aprobación, informes periódicos del CISO, certificados de formación, política de seguridad firmada, plan plurianual de presupuesto, mapa de riesgos validado y registro de incidentes. La ausencia de pruebas escritas se trata como ausencia de diligencia.

Por dónde empezar

Cuatro pasos en doce meses. Primero: incluir ciberseguridad como punto permanente del orden del día del consejo, trimestral como mínimo. Segundo: organizar una sesión formativa inicial para todos los miembros, con certificación nominativa. Tercero: solicitar al CISO un expediente estructurado — mapa de riesgos, plan de tratamiento, presupuesto, indicadores. Cuarto: aprobarlo formalmente en sesión, con acta detallada.

*Este artículo es meramente informativo y no constituye asesoramiento jurídico.*