Riesgo Cibernético y Responsabilidad Legal: ¿Qué Riesgos para los Consejos de Administración?

El contexto ha cambiado radicalmente: el riesgo cibernético se ha convertido en un riesgo empresarial real y potencialmente alto, con impactos directos en el negocio, la reputación, la continuidad operativa y, sobre todo, en la responsabilidad personal de los administradores. Ya no se trata simplemente de “ataques hackers” que contener, sino de eventos sistémicos capaces de detener plantas de producción, exponer datos sensibles, causar daños económicos y generar consecuencias legales relevantes.

Por eso, cada vez más la pregunta no es “¿qué tan protegidos estamos?”, sino “¿quién es responsable si algo sale mal?”

Gobernar el riesgo cibernético es hoy una responsabilidad del consejo

El error más común, incluso en organizaciones estructuradas, es pensar que la seguridad informática es “tarea de TI” y que basta con aprobar un presupuesto o nombrar un CISO para cumplir con los deberes. Este enfoque ya está obsoleto. Las autoridades reguladoras, los legisladores e incluso los tribunales están dejando claro un punto esencial: la responsabilidad final en la gestión del riesgo cibernético recae en el consejo de administración.
No se trata de sustituir a los técnicos, sino de hacer las preguntas adecuadas, comprender los datos clave y supervisar las decisiones con un nivel de implicación demostrable y coherente con la dimensión y criticidad de la organización.

Un marco normativo cada vez más claro y exigente

Hoy existen normativas explícitas que refuerzan este principio, identificando claramente al consejo como responsable de la seguridad.

Estas son las dos más relevantes:

NIS2 (EU Directive 2022/2555)
Extiende la obligación de adoptar medidas de seguridad más allá de los operadores críticos, abarcando múltiples sectores estratégicos. El elemento central: la alta dirección (incluido el consejo) debe supervisar directamente las medidas adoptadas y su eficacia, asumiendo responsabilidad legal en caso de negligencia.

DORA (Digital Operational Resilience Act)

Pensada para el sector financiero y asegurador, exige que la resiliencia digital se gestione a nivel estratégico y que el consejo apruebe, supervise y revise periódicamente las políticas de gestión del riesgo TIC.

Del riesgo operativo al riesgo de responsabilidad personal

Las consecuencias de este escenario son muy concretas: en caso de un grave incidente cibernético, ya no se examina solo al CISO o al responsable de TI, sino el nivel de vigilancia ejercido por el consejo. Si se evidencia falta de atención, supervisión o documentación, la responsabilidad puede recaer directamente sobre los administradores, tanto a nivel administrativo como civil e incluso penal.

Paralelamente, el riesgo reputacional personal también está aumentando, especialmente en sectores regulados o empresas cotizadas, donde la presión de medios, accionistas y autoridades de control es alta.

Gobernanza y cultura del riesgo: la respuesta no es técnica

La verdadera respuesta no está en “instalar más seguridad”, sino en hacer el riesgo cibernético comprensible y gestionable también por parte del consejo. Se necesita un cambio cultural que integre la ciberseguridad en la estrategia empresarial, con herramientas que faciliten el diálogo entre lo técnico, lo legal y lo gerencial.

• Integrar el riesgo cibernético en el marco de gestión de riesgos empresariales (ERM);
• Recibir informes no técnicos sino orientados al negocio: impactos, exposición, prioridades;
• Evaluar el nivel de preparación normativa frente a NIS2, DORA y GDPR;
  
  
• Solicitar indicadores objetivos, actualizados y fácilmente interpretables;
• Exigir una gobernanza clara: quién hace qué, con qué herramientas y con qué responsabilidades.

No se espera que los miembros del consejo se conviertan en expertos en ciberseguridad. Pero ya no es aceptable considerar el riesgo cibernético como un asunto técnico a delegar ciegamente. Las amenazas digitales son ahora parte integrante de los riesgos empresariales: tienen impactos reales, medibles y en muchos casos irreversibles.

Por eso, el papel del consejo no es entrar en detalles técnicos, sino garantizar que la organización esté estructurada, informada y preparada para responder de manera eficaz, documentada y proporcional. En un mundo donde lo digital es la base de la empresa, el riesgo cibernético es, en todo sentido, riesgo empresarial.

Hemos creado un cuestionario para profesionales del riesgo cibernético, para ayudarte a evaluar el nivel de preparación de tu organización respecto a la Directiva NIS2.

👉Descubre ahora tu nivel de cumplimiento.