NIS 2 para el órgano de dirección en cinco minutos
NIS 2 no es un asunto de TI. El artículo 20 de la Directiva (UE) 2022/2555 pone el deber de ciberseguridad sobre el órgano de dirección de toda entidad esencial e importante, de forma expresa. Esta página es la versión breve que un director gerente o un miembro del consejo necesita antes del lunes por la mañana.
Por qué esto está sobre tu mesa
Si formas parte del órgano de dirección de una empresa que NIS 2 cubre, el artículo 20 te nombra. No al responsable de TI, no al CISO, no al proveedor de servicios externo. La directiva traza una línea desde los deberes de ciberseguridad del artículo 21 directamente hasta las personas que firman por la empresa.
De ahí se derivan tres cosas. El órgano de dirección ha de aprobar las medidas de gestión de riesgos que la empresa implanta. Ha de supervisar que esas medidas se implementen realmente. Y sus propios miembros han de recibir formación para poder leer lo que aprueban. La directiva establece las tres.
Alemania incorpora la misma regla a su Derecho nacional a través del §38 BSIG, que nombra los mismos tres deberes uno por uno y añade una cláusula de responsabilidad personal. El reloj para todo esto corre desde la fecha de transposición de la directiva, el 17 de octubre de 2024.
Artículo 20, apartado 1, de la Directiva NIS 2 (2022/2555)
Los Estados miembros velarán por que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad adoptadas por dichas entidades para cumplir el artículo 21, supervisen su aplicación y puedan ser considerados responsables del incumplimiento por parte de las entidades de dicho artículo.
El artículo 20 es el artículo de gobernanza de la directiva. El apartado 1 fija los tres deberes sobre el órgano de dirección: aprobar, supervisar, poder ser considerado responsable. El apartado 2 añade el deber de formación para el propio órgano de dirección y pide a la entidad que ofrezca formación periódica a todo el personal.
CIR (UE) 2024/2690, Anexo §1.1
La política de seguridad de las redes y los sistemas de información establecerá el enfoque de las entidades pertinentes para gestionar la seguridad de sus redes y sistemas de información. El marco de gestión de riesgos a que se refiere el punto 2.1 identificará, y dispondrá la gestión de, los riesgos para la seguridad de las redes y los sistemas de información.
El Reglamento de Ejecución de la Comisión no operativiza el artículo 20 en sí. Operativiza las medidas del artículo 21 que el órgano de dirección ha de aprobar conforme al artículo 20, apartado 1. El §1 es el paraguas de la política, el §2 el marco de gestión de riesgos. Para los proveedores de DNS, los operadores de nube y de centros de datos, los MSP y los demás sectores nombrados en el Anexo del CIR, esto es lo que el órgano de dirección aprueba.
§38 BSIG (Alemania)
Die Geschäftsleiter besonders wichtiger Einrichtungen und wichtiger Einrichtungen haben die von diesen Einrichtungen nach § 30 zu ergreifenden Risikomanagementmaßnahmen im Bereich der Cybersicherheit zu billigen und ihre Umsetzung zu überwachen.
Alemania incorpora el artículo 20, apartado 1, a su Derecho nacional a través del §38 BSIG y nombra al destinatario expresamente como los Geschäftsleiter, las personas físicas que dirigen la entidad. El §38(2) añade que los miembros del órgano de dirección responden frente a la entidad por el incumplimiento de estos deberes. El §38(3) traslada el deber de formación. Los demás Estados miembros tienen leyes de transposición paralelas (Cyberbeveiligingswet en NL, NISG en AT, NIS2-Wet en BE).
Confirmar si la directiva se aplica
NIS 2 se aplica si la entidad se encuentra en uno de los sectores nombrados en el Anexo I o el Anexo II y alcanza el umbral de tamaño (mediana empresa tal como se define en la Recomendación 2003/361/CE, es decir, 50 empleados o más de 10 millones de euros de volumen de negocio). Un puñado de tipos de entidad están cubiertos con independencia del tamaño: prestadores cualificados de servicios de confianza, registros de nombres de dominio de primer nivel, proveedores de servicios de DNS, Administración pública, prestadores únicos en un Estado miembro. El primer cometido del órgano de dirección es saber cuál de estos se aplica.
Aprobar, supervisar, formarse
El artículo 20, apartado 1, da al órgano de dirección dos deberes operativos: aprobar las medidas de gestión de riesgos de ciberseguridad que la entidad implanta conforme al artículo 21, y supervisar su aplicación. El artículo 20, apartado 2, añade un tercero: recibir formación tú mismo, y hacer que la entidad ofrezca formación periódica al personal. Los tres deberes se nombran sobre el órgano de dirección. Ninguno de ellos recae en el responsable de TI.
El reloj corre desde el 17 de octubre de 2024
El artículo 41 de NIS 2 fijó el 17 de octubre de 2024 como la fecha en la que los Estados miembros debían transponer la directiva. Desde esa fecha, los deberes de los artículos 20, 21 y 23 se aplican a las entidades dentro del ámbito de aplicación. La ejecución nacional corre sobre relojes nacionales (la NIS2UmsuCG de Alemania va con retraso, pero el deber a escala de la UE no espera a la ley nacional). Los profesionales tratan octubre de 2024 como la línea de salida operativa.
La responsabilidad recae sobre la persona física
El artículo 20, apartado 1, establece que el órgano de dirección 'puede ser considerado responsable' del incumplimiento por parte de la entidad del artículo 21. El §38(2) BSIG lo convierte en una reclamación de responsabilidad interna: los miembros del órgano de dirección responden frente a la propia entidad por el incumplimiento de los deberes del §38(1). Puedes delegar la ejecución de las medidas de ciberseguridad. No puedes delegar la aprobación ni la supervisión. La directiva traza la línea en las personas que firman.
La proporcionalidad permite a la entidad ajustarse a su riesgo
El artículo 21, apartado 1, párrafo segundo, establece que las medidas han de ser 'adecuadas y proporcionadas' al riesgo al que se enfrenta la entidad. En esa decisión entran seis factores: la exposición de la entidad, su tamaño, la probabilidad de un incidente, la gravedad del impacto (incluidos los efectos sociales y económicos), el estado de la técnica y el coste de implementación. El órgano de dirección es el órgano que juzga esa decisión de proporcionalidad y firma por ella. No se espera que un Stadtwerk de 60 personas gaste como un banco.
BSI como autoridad competente
El Bundesamt für Sicherheit in der Informationstechnik (BSI) es la autoridad competente alemana conforme al §29 BSIG. Supervisa las medidas de gestión de riesgos del §30 BSIG, gestiona el canal de notificación de incidentes del §32 BSIG y opera el portal de registro del §33 BSIG. Para el órgano de dirección, el BSI es la dirección a la que dirigir preguntas, registros, notificaciones de incidentes y auditorías.
ENISA como referencia
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) es la agencia de ciberseguridad a escala de la UE. El artículo 18 de NIS 2 le otorga un papel de elaboración de informes sobre el estado de la ciberseguridad. También publica la Guía Técnica de Aplicación (TIG) para el Reglamento de Ejecución de la Comisión, incluidas tablas de correspondencia con ISO/IEC 27001:2022 y NIST CSF 2.0. ENISA no supervisa, pero los auditores y los reguladores nacionales tratan su orientación como una lectura razonable.
Aufsichtsrat como supervisión paralela
Si la entidad tiene un consejo de supervisión (Aufsichtsrat en una AG alemana, Beirat en una GmbH más grande), los deberes de NIS 2 del órgano de dirección corren en paralelo con los deberes vigentes del consejo de supervisión conforme al §111 AktG de supervisar a la dirección. El consejo de supervisión no puede retirar el artículo 20, apartado 1, de la mesa del órgano de dirección, pero puede pedir las mismas pruebas de aprobación y supervisión que NIS 2 espera, y la mayoría lo hace.
Esto lo delegué en TI.
Puedes delegar la ejecución. No puedes delegar la aprobación ni la supervisión. El artículo 20, apartado 1, nombra al órgano de dirección como el órgano que aprueba las medidas y supervisa su aplicación. El §38 BSIG nombra a los Geschäftsleiter como destinatarios. El responsable de TI, el CISO, el proveedor de servicios externo pueden ejecutar el programa. No pueden firmar por él en tu nombre. La directiva traza la línea en las personas que representan legalmente a la entidad.
Esperemos a que la ley nacional sea definitiva.
El artículo 20 se aplica desde la fecha de transposición, el 17 de octubre de 2024. La NIS2UmsuCG alemana va con retraso, pero el deber de la directiva no espera a la ley nacional. El Reglamento de Ejecución 2024/2690 de la Comisión es directamente vinculante para su ámbito sectorial desde octubre de 2024 sin necesidad alguna de transposición. Los profesionales tratan octubre de 2024 como la línea de salida operativa y documentan su escalonamiento conforme a la proporcionalidad del artículo 21, apartado 1.
La ciberseguridad es un problema de TI.
El artículo 20 la convierte deliberadamente en un problema de gobernanza. La directiva pone el deber sobre el órgano de dirección, no sobre la función de TI, porque los costes, las decisiones de aceptación del riesgo y las compensaciones solo tienen sentido a ese nivel. El equipo de TI implementa las medidas. El órgano de dirección es dueño de la imagen de riesgo, firma por el riesgo residual y es el órgano con el que el auditor y el BSI hablan al respecto.
Lo que vemos en el Mittelstand alemán: el órgano de dirección celebra una sesión de trabajo cada trimestre, recorre el registro de riesgos, aprueba las medidas del artículo 21 que están dentro del ámbito para ese periodo y documenta la decisión de proporcionalidad en dos o tres líneas. Esa es la forma operativa del artículo 20, apartado 1, para una entidad que no tiene un equipo de GRC dedicado.
El deber de formación del artículo 20, apartado 2, requiere menos de lo que la gente cree. No existe un certificador acreditado por la UE para la formación del órgano de dirección en NIS 2. La inscripción y un registro de finalización son el suelo legal. Un curso de dos horas que cubra la estructura de la directiva, la imagen de riesgo propia de la entidad y el papel del órgano de dirección satisface el tenor literal. La cuestión es que las personas que firman puedan leer lo que firman.
La plataforma registra los tres deberes del órgano de dirección como artefactos discretos. Las aprobaciones corren como firmas de conformidad frente a las medidas del artículo 21, con el nombre de la persona física en el registro. La supervisión corre a través de la vista de panel que muestra el estado de implementación, los riesgos abiertos y las pruebas de eficacia en un solo lugar. Los registros de formación residen en el perfil del usuario con las fechas de inscripción y finalización.
Los tres alimentan el mismo rastro de auditoría, de modo que las pruebas que el artículo 20 espera (quién aprobó qué, cuándo, sobre qué base) se producen como efecto secundario de utilizar la plataforma. El curso para directivos está incluido en la plataforma. La plataforma es gratuita y de código abierto, sin lock-in.
- Directiva (UE) 2022/2555 (NIS 2), artículos 20, 21 y 41 — eur-lex.europa.eu/eli/dir/2022/2555/oj
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión (CIR), Anexo §1 — eur-lex.europa.eu/eli/reg_impl/2024/2690/oj
- Ley del BSI (BSIG), §29, §30, §32, §33 y §38 — gesetze-im-internet.de/bsig_2009
- Aktiengesetz (AktG), §111 — gesetze-im-internet.de/aktg
- Guía Técnica de Aplicación de ENISA para el CIR (UE) 2024/2690 — enisa.europa.eu