Más allá de la responsabilidad que pueda derivarse del cargo (CISO, responsable de sistemas, asesor legal, etc.), el artículo 14 del anteproyecto de la NIS2 establece:

“Los órganos de dirección de las entidades esenciales e importantes serán responsables de aplicar las medidas para la gestión de riesgos de ciberseguridad incluidas en esta ley, de supervisar su implantación efectiva y, en su caso, asumirán la responsabilidad por su incumplimiento”.

Aunque ya existe literatura sobre la posible responsabilidad penal o incluso la inhabilitación de directivos, el verdadero marco de obligación se encuentra en la Sentencia del Tribunal Supremo nº 188/2022, de 15 de febrero, que establece el principio de “responsabilidad de medios”. Esto implica que la dirección no responde necesariamente por una violación de seguridad si ha establecido los medios adecuados para evitar que el incidente ocurra.

Es evidente que el nivel de exigencia dependerá del tipo de empresa, su actividad y los datos que maneje, pero lo que está claro es que deberán adoptarse las medidas previstas en la normativa para evitar cualquier tipo de sanción.

Empecemos ya con la implementación de:

  • Sistemas de monitorización de vulnerabilidades.
  • Backups inmutables.
  • Cifrado de datos.
  • Autenticación multifactor.

Porque cuando los datos se comprometen, no solo hay un daño reputacional: también hay sanción.

Suscríbete a nuestra newsletter sobre NIS2

Suscríbete y recibe directamente en tu correo información práctica, actualizaciones legales, guías y consejos sobre cómo adaptarte a esta normativa europea de ciberseguridad.