Responsabilidad de la dirección bajo NIS2
El §38 BSIG hace personalmente responsables a los gerentes por los fallos de ciberseguridad, una novedad en el Derecho alemán.
La transposición alemana de NIS2 operativiza el art. 20 NIS-2 con una responsabilidad personal explícita del órgano de dirección en el §38 BSIG. Los miembros del órgano de dirección (Geschäftsführung, Vorstand) de toda empresa sujeta a NIS2, ya sea GmbH, AG o KG, son personalmente responsables de garantizar que las medidas de ciberseguridad se implementen, supervisen y mantengan. Esto no es delegable al departamento de TI.
Esto es completamente nuevo. Bajo el marco original de NIS1 (la anterior IT-Sicherheitsgesetz), la responsabilidad recaía en la empresa como persona jurídica. El §38 BSIG cambia las reglas del juego: los gerentes individuales pueden ahora ser considerados responsables con su patrimonio personal si incumplen sus deberes de ciberseguridad. La ley se refiere expresamente a los Geschäftsleiter, las personas que firman en nombre de la empresa.
La ley define tres deberes esenciales para la dirección: aprobación (Billigung) de las medidas de ciberseguridad, supervisión (Überwachung) de su implementación y formación personal (Schulung) en ciberseguridad. Incumplir cualquiera de ellos genera una exposición a la responsabilidad personal, incluso si la propia empresa ha implementado medidas razonables.
Aprobación (Billigung)
La dirección debe aprobar formalmente las medidas de gestión de riesgos de ciberseguridad exigidas por el §30 BSIG. Esto significa revisar y dar el visto bueno a las políticas de seguridad de la información, las evaluaciones de riesgos y los planes de tratamiento de la empresa. Un 'adelante' verbal no es suficiente. Se necesita una aprobación documentada y trazable con fechas y firmas.
Supervisión (Überwachung)
La dirección debe supervisar activamente la implementación de las medidas aprobadas. Esto significa revisiones periódicas del estado, seguimiento del avance y gestión de escaladas. Debe poder demostrar que controló si las medidas se implementaron realmente, no solo que las aprobó y se desentendió. Las revisiones trimestrales de la dirección son la frecuencia mínima defendible.
Formación (Schulung)
La dirección debe completar personalmente una formación en ciberseguridad para adquirir los conocimientos suficientes para evaluar riesgos y medidas. Esta no es la formación general de concienciación de los empleados del §30(2)(7) BSIG. Es una obligación independiente, específica para el órgano de dirección (§38(3) BSIG). La formación debe ser adecuada para comprender el perfil de riesgo de la empresa, las medidas implantadas y los riesgos residuales aceptados.
No se han implementado medidas de ciberseguridad
Multas de hasta 10 millones de euros o el 2 % del volumen de negocios anual global (la cifra que sea mayor) según el §65 BSIG para entidades esenciales. Para wichtige Einrichtungen: hasta 7 millones de euros o el 1,4 % del volumen de negocios. La dirección se enfrenta a reclamaciones de responsabilidad personal por parte de la empresa por los daños derivados de la infracción.
Incidente no notificado al BSI
El §32 BSIG exige una notificación inicial en un plazo de 24 horas, una notificación de seguimiento en un plazo de 72 horas y un informe final en el plazo de un mes. Incumplir estos plazos desencadena medidas de aplicación. Si la dirección tenía conocimiento de un incidente y no garantizó su notificación, se aplica la responsabilidad personal según el §38 por fallo de supervisión.
La dirección no ha completado la formación
Infracción directa del §38(3) BSIG. Esta es la infracción más fácil de probar para el BSI: o se tienen registros de formación o no se tienen. Además socava la defensa en todos los demás puntos. ¿Cómo puede alegarse una supervisión adecuada si falta la formación para evaluar lo que se está supervisando?
No hay supervisión activa de la implementación
Si las medidas se aprobaron pero la dirección no puede demostrar una supervisión continua (reuniones de revisión, informes de estado, registros de escalada), la aprobación por sí sola es insuficiente. La ley exige los tres deberes. Aprobar sin supervisar es como firmar un contrato sin leerlo. La responsabilidad sigue existiendo.
Puedo delegar esto en el departamento de TI
Puede delegar la ejecución, pero no la responsabilidad. El §38 BSIG nombra expresamente a la Geschäftsleitung (todos los miembros del órgano de dirección). No a los responsables de TI, ni a los CISO, ni a consultores externos. Debe aprobar, supervisar y formarse personalmente. Su equipo de TI implementa; usted aprueba y controla. La distinción importa ante un tribunal.
El seguro D&O cubre la responsabilidad bajo NIS2
La mayoría de las pólizas D&O excluyen las multas y sanciones regulatorias. Incluso cuando se cubren las reclamaciones de responsabilidad civil, las aseguradoras pueden rechazar reclamaciones si la dirección incumplió a sabiendas sus deberes legales. Revise las cláusulas de exclusión de su póliza: el 'incumplimiento de normativas obligatorias' es una exclusión estándar en las pólizas D&O alemanas.
No soy técnico, no se me puede hacer responsable
El §38(3) BSIG impone la obligación de formación precisamente para eliminar esta defensa. La ley presume que, tras completar una formación adecuada en ciberseguridad, la dirección tiene conocimientos suficientes para cumplir sus deberes. 'No entiendo de tecnología' no es una defensa. Es la prueba de una infracción de la obligación de formación.
Los socios pueden eximirme de responsabilidad
El §38(2) BSIG establece la responsabilidad personal de los miembros del órgano de dirección por los daños causados por negligencia. Las restricciones a la renuncia y transacción de tales reclamaciones derivan del Derecho societario (§93(4) AktG, §43(3) GmbHG): las renuncias solo son posibles en condiciones estrictas (normalmente solo tres años después de que surja la reclamación, mediante acuerdo de la mayoría de los socios y únicamente si ningún acreedor resulta perjudicado). La junta de socios no puede eximirle de forma general de la responsabilidad bajo NIS2.
Somos demasiado pequeños para que a alguien le importe
El umbral de ámbito de NIS2 comienza en 50 o más empleados O (>10 M€ de volumen de negocios Y >10 M€ de balance total), la definición de pyme de la UE según la Recomendación 2003/361/CE de la Comisión. Si alcanza este umbral en un sector cubierto, está sujeto al régimen completo, incluida la responsabilidad de la dirección del §38. El BSI ya ha comenzado a solicitar el registro a empresas de este rango de tamaño. El tamaño no es una defensa; es un criterio de ámbito, y usted está dentro de él.
Esto es lo que pilla desprevenidos a la mayoría de los gerentes: según el §38 BSIG, usted es responsable frente a su propia empresa. Si la empresa sufre un daño porque usted no implementó, no supervisó o no se formó en las medidas de ciberseguridad, la empresa (o su administrador concursal, o sus socios) puede reclamarle daños personalmente. Se trata de una responsabilidad interna: su propia organización puede demandarle.
El §38(2) BSIG establece la responsabilidad personal del órgano de dirección por los daños causados por negligencia. Los límites del Derecho societario a la renuncia y la transacción (§93(4) AktG, §43(3) GmbHG) se aplican en paralelo. En términos prácticos, si la empresa quiebra a causa de un incidente cibernético, el administrador concursal puede dirigir reclamaciones contra su patrimonio personal, y una renuncia general anticipada por parte de los socios sería por lo general ineficaz.
La obligación de formación del §38(3) BSIG no es un desarrollo profesional opcional. Es un requisito legal que elimina la ignorancia como defensa. Una vez que la ley le exige formarse, su falta de obtención de esa formación constituye en sí misma una infracción. No puede alegar que no entendía los riesgos cuando la ley le exigía aprender sobre ellos.
Aprobar formalmente las medidas de ciberseguridad
Revise la evaluación de riesgos, las políticas de seguridad y los planes de tratamiento elaborados según el §30 BSIG. Dé el visto bueno con su nombre, fecha y cargo. Conserve la aprobación en un sistema auditable, no en una bandeja de correo. Esto crea la evidencia documentada de que cumplió su deber de Billigung. Repítalo siempre que las medidas cambien de forma sustancial.
Establecer procesos de supervisión
Programe revisiones trimestrales de la dirección sobre el estado de la ciberseguridad. Revise el avance de la implementación, los riesgos abiertos, los informes de incidentes y las métricas de eficacia. Documente la asistencia, las decisiones y las tareas pendientes. Esto crea el rastro continuo que prueba su deber de Überwachung: no una aprobación puntual, sino un compromiso continuo.
Completar la formación en ciberseguridad
Complete un programa de formación que cubra el panorama de amenazas de su empresa, las medidas del §30 BSIG, las obligaciones de notificación de incidentes y sus deberes personales según el §38. Documente la formación: proveedor, fecha, contenido tratado, certificado si está disponible. Renuévela anualmente. Esto elimina la brecha de la defensa por ignorancia y cumple su deber de Schulung.