NIS2: lo que todo consejo de administración debe saber antes de octubre

La Directiva NIS2 de la UE ha redibujado la línea de la rendición de cuentas en materia de ciberseguridad. El titular para los administradores es contundente: los órganos de dirección deben aprobar y supervisar las medidas de gestión de riesgos de ciberseguridad, y las transposiciones de los Estados miembros permiten que se les considere personalmente responsables de los fallos. Esto ya no es un asunto que se pueda delegar por completo en el departamento de TI.

Si su organización está dentro del ámbito de aplicación, se clasifica como entidad esencial o importante. Ambas conllevan obligaciones; la diferencia reside principalmente en la intensidad de la supervisión y en la magnitud de las posibles sanciones. La lista de sectores es amplia —energía, transporte, banca, salud, infraestructura digital, administración pública y más— y los umbrales de tamaño alcanzan a muchas empresas de mercado medio que antes daban por hecho que quedaban fuera de cuadro.

Tres cosas que el consejo debe interiorizar

1. El reloj de notificación es rápido. Un incidente significativo activa una alerta temprana a la autoridad competente en aproximadamente 24 horas, una notificación más completa en 72 horas y un informe final en el plazo de un mes. No puede improvisar esto bajo presión: la vía de notificación y los responsables de decidir deben estar definidos de antemano.
2. La responsabilidad es personal y documentada. Se espera que los consejos reciban formación en ciberseguridad y acrediten una supervisión activa. «Confiamos en el proveedor» no es una defensa.
3. La cadena de suministro está dentro del ámbito. Usted responde de la postura de seguridad de sus proveedores y prestadores de servicios clave, no solo de su propio perímetro.

Acciones prácticas del consejo antes de octubre

• Confirme si está dentro del ámbito de aplicación, y como qué clase; obténgalo por escrito.
• Asigne un responsable ejecutivo con nombre y apellidos para NIS2 y exija un punto permanente en el orden del día.
• Encargue una evaluación de brechas frente a las obligaciones de gestión de riesgos de la directiva (gestión de incidentes, continuidad de negocio, seguridad de la cadena de suministro, control de acceso, cifrado, divulgación de vulnerabilidades).
• Ponga en marcha —y pruebe— un proceso de notificación de incidentes capaz de cumplir la ventana de 24 horas.
• Revise los contratos con proveedores en busca de cláusulas de seguridad y deberes de notificación de brechas.

Las organizaciones que tienen dificultades con NIS2 no son las de tecnología débil. Son aquellas en las que nadie a nivel del consejo puede responder a «¿estamos dentro del ámbito y quién es el responsable de esto?».

La presión del plazo es real, pero la directiva premia la sustancia por encima del papeleo. Un consejo capaz de demostrar una supervisión genuina, una capacidad de respuesta probada y un control creíble del riesgo de proveedores está en una posición sólida, con independencia de cómo quede la redacción final de la transposición nacional. Empiece por el ámbito y la responsabilidad; lo demás se sigue.