La Directiva NIS2: otro desafío normativo y tecnológico para la Alta Dirección
14 de marzo, 2025
La Directiva NIS2 introduce responsabilidades directas para los CEO y la alta dirección de las empresas afectadas, aumentando su riesgo legal, financiero y reputacional. Aquí están los principales riesgos que enfrentan:
- Responsabilidad Personal de los Directivos La NIS2 establece que la alta dirección (incluidos los CEOs) es responsable de supervisar y aprobar medidas de ciberseguridad. En caso de incumplimiento, pueden enfrentarse a sanciones personales, incluyendo prohibiciones para ejercer cargos de dirección.
- Multas y Sanciones Elevadas Las empresas que no cumplan con NIS2 pueden recibir sanciones económicas similares a las del RGPD: hasta el 2% del volumen de negocio anual mundial o 10 millones de euros (lo que sea mayor) para entidades esenciales, y hasta el 1,4% o 7 millones de euros para entidades importantes. Las pérdidas financieras significativas pueden afectar a la estabilidad de la empresa.
- Responsabilidad Penal y Civil Los directivos pueden ser responsabilizados personalmente si se demuestra negligencia en la implementación de medidas de ciberseguridad. Posibles demandas por daños y perjuicios si un incidente de ciberseguridad afecta a clientes o socios.
- Impacto en la Reputación y Confianza Un incumplimiento o ciberataque puede dañar la imagen pública de la empresa y afectar a su relación con clientes e inversores. La pérdida de credibilidad puede afectar la valoración de la empresa y dificultar el cierre de contratos.
- Obligación de Capacitación y Supervisión La NIS2 obliga a los CEOs y directivos a recibir formación en ciberseguridad y a involucrarse en la toma de decisiones estratégicas de seguridad. No delegar adecuadamente las responsabilidades en expertos puede agravar la situación en caso de incidentes.
- Responsabilidad en la Gestión de Incidentes La directiva establece plazos estrictos para la notificación de incidentes: 24 horas para una alerta inicial, 72 horas para un informe detallado y 1 mes para una evaluación final. Si la empresa no reporta un ciberataque a tiempo o lo hace de manera inadecuada, el CEO puede ser considerado responsable.
Conclusión: ¿Cómo Mitigar Estos Riesgos? Para evitar problemas, los CEOs deben involucrarse activamente en la estrategia de ciberseguridad, asegurar formación y concienciación en ciberseguridad para la alta dirección, garantizar inversiones adecuadas en medidas de protección y respuesta, supervisar auditorías y evaluaciones periódicas, y tener planes de respuesta y notificación en caso de incidente.
Vamos a tratar este tema con expertos en el evento híbrido "Revolución NIS2: Estrategias y Soluciones con Nanfor y ADOK para un Futuro Seguro". Este evento, organizado por Nanfor y ADOK, se llevará a cabo el 20 de marzo de 09:30 a 11:30 hs (UTC+1 Madrid).
Leave a comment