§ 38 BSIG: los deberes de la dirección
Implementar, supervisar, formarse: tres deberes que permanecen en manos de la dirección.
Qué exige el § 38 BSIG
El § 38 BSIG transpone el artículo 20 NIS 2 al Derecho alemán y no se dirige a la entidad, sino a las personas que la encabezan. Las direcciones de las entidades especialmente importantes e importantes deben implementar las medidas de gestión de riesgos del § 30 BSIG y supervisar su implementación. La ciberseguridad es, así, expresamente una tarea de la dirección, y no un asunto exclusivo del área de TI.
El artículo 20 NIS 2 habla de aprobar y supervisar; el § 38 BSIG formula el deber como implementar y supervisar. El sentido es el mismo: la dirección debe conocer las medidas, responder por ellas y mantener bajo control su eficacia. Quien se limita a dar el visto bueno no cumple el deber de supervisión.
Implementación de las medidas del § 30
La dirección debe velar por que las medidas de gestión de riesgos del § 30 apartado 2 BSIG se implementen efectivamente. Esta responsabilidad no puede transferirse al área de TI ni a un proveedor de servicios.
Supervisión de la implementación
Implementar por sí solo no basta. La dirección debe supervisar de forma continua si las medidas surten efecto, y poder acreditarlo. Los informes periódicos a la gerencia y la constancia documentada de su toma de conocimiento son la prueba habitual.
Participación en formaciones
Conforme al § 38 apartado 3 BSIG, los miembros de la dirección deben participar periódicamente en formaciones para poder identificar y evaluar por sí mismos los ciberriesgos. La ley no exige ninguna certificación determinada; lo decisivo es la participación acreditable.
El § 38 apartado 2 BSIG regula una responsabilidad interna: si los miembros de la dirección incumplen sus deberes del apartado 1, responden ante su propia entidad por el daño causado culpablemente por ello. Es una responsabilidad frente a la propia empresa, no frente a las autoridades ni frente a terceros.
Esta responsabilidad interna se suma a la responsabilidad general de los órganos derivada del § 43 GmbHG y del § 93 AktG. Es la razón por la que el deber de implementación y supervisión no es una mera formalidad: un proceso de supervisión documentado es, al mismo tiempo, el descargo de las personas que actúan.
El deber de formación del § 38 apartado 3 BSIG recae personalmente en las personas de la dirección. Se exige conocimiento suficiente para identificar los ciberriesgos y valorar la adecuación de las medidas, no un conocimiento técnico especializado.
Como la ley no prescribe ningún proveedor ni ninguna certificación, la acreditación es sencilla: una participación periódica y demostrable. Un certificado de participación y una cita recurrente bastan como base.
La dirección la integran los representantes legales de la entidad, por ejemplo los gerentes de una GmbH o el consejo de administración de una AG. Los deberes del § 38 BSIG afectan directamente a estas personas, con independencia del tamaño del área interna de TI.
Lo delegable es la ejecución operativa, no la responsabilidad. Puede transferir la implementación a un equipo o a un proveedor de servicios y vincular la supervisión a una línea de reporte; la responsabilidad última por la implementación y la vigilancia permanece en la dirección.
Preguntas frecuentes
¿Se aplica el § 38 BSIG también a las pequeñas empresas?
Sí, en cuanto la entidad se clasifica como especialmente importante o importante. Los deberes de la dirección dependen de que la entidad esté sujeta a la norma, no de su tamaño dentro del umbral.
¿Puede la gerencia transferir la responsabilidad al área de TI o a un proveedor de servicios?
No. La implementación operativa es delegable; la responsabilidad por la implementación y la supervisión, no. La responsabilidad última permanece en la dirección.
¿Qué formación cumple el § 38 apartado 3 BSIG?
La ley no prescribe ninguna formación ni certificación determinada. Se exige conocimiento suficiente para identificar y evaluar los riesgos; se acredita mediante una participación periódica y demostrable.
¿De qué responde exactamente la dirección?
Conforme al § 38 apartado 2 BSIG, los miembros de la dirección responden ante su propia entidad por el daño que causen mediante un incumplimiento culpable de sus deberes de implementación y supervisión. Es una responsabilidad interna frente a la empresa.
¿En qué se diferencia el § 38 del § 30 BSIG?
El § 30 BSIG determina qué medidas debe adoptar la entidad. El § 38 BSIG determina que la dirección implementa esas medidas, las supervisa, se forma y responde por ellas.