Responsabilidad personal del órgano de dirección conforme a NIS 2
El artículo 20 de la Directiva NIS 2 asigna tres deberes al órgano de dirección: aprobar las medidas de gestión del riesgo de ciberseguridad, supervisar su implementación y recibir formación. El derecho societario nacional convierte el incumplimiento de esos deberes en una reclamación personal contra la persona física.
Qué dice realmente el artículo 20
El artículo 20 de la Directiva (UE) 2022/2555 sitúa el deber de ciberseguridad en el órgano de dirección de toda entidad esencial e importante. El órgano de dirección debe aprobar las medidas de gestión del riesgo exigidas por el artículo 21, debe supervisar su implementación y puede ser considerado responsable de las infracciones del artículo 21 por parte de la entidad.
El artículo 20(2) añade una obligación independiente: los miembros del órgano de dirección deben seguir una formación que les proporcione conocimientos suficientes para identificar riesgos y evaluar las prácticas de gestión del riesgo de ciberseguridad. La directiva también fomenta una formación similar para los empleados.
Estos son deberes de la persona física, no de la empresa. NIS 2 no crea por sí misma una acción privada contra el directivo, pero eleva el estándar de conducta frente al que el derecho societario nacional mide el comportamiento del directivo. En Alemania, ese estándar es la Sorgfaltspflicht del §43 GmbHG y del §93 AktG.
Directiva de la UE
Los Estados miembros velarán por que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión del riesgo de ciberseguridad adoptadas por dichas entidades para cumplir el artículo 21, supervisen su aplicación y puedan ser considerados responsables del incumplimiento de dicho artículo por parte de las entidades.
Artículo 20(1) NIS 2 (Directiva (UE) 2022/2555). El deber se asigna directamente al órgano de dirección, no a la empresa como persona jurídica independiente.
Reglamento de Ejecución de la UE
Las entidades esenciales e importantes establecerán, aplicarán y mantendrán un marco apropiado de gestión del riesgo de ciberseguridad que defina las políticas, los procesos, los procedimientos y las funciones pertinentes para la gestión de los riesgos de ciberseguridad.
Reglamento de Ejecución (UE) 2024/2690 de la Comisión, anexo sección 1. El reglamento vincula a la categoría restringida de proveedores de infraestructura digital y de servicios digitales enumerada en el artículo 1; para todos los demás sectores es un punto de referencia de calidad, no el estándar vinculante.
Transposición nacional
Die Geschäftsleitungen besonders wichtiger Einrichtungen und wichtiger Einrichtungen müssen die von diesen Einrichtungen zur Einhaltung ihrer Pflichten nach §30 zu ergreifenden Risikomanagementmaßnahmen billigen und ihre Umsetzung überwachen.
§38(1) BSIG (en la redacción del NIS2UmsuCG, la ley alemana de implementación de NIS 2). El §38(3) exige que el órgano de dirección reciba formación periódica. El anclaje de la responsabilidad personal reside en el derecho societario general al que remite el §38, no en el propio §38.
Aprobar, supervisar, formarse
El artículo 20(1) exige que el órgano de dirección apruebe las medidas del artículo 21 y supervise su implementación. El artículo 20(2) exige formación. Ambos deberes recaen sobre el miembro individual del órgano de dirección.
Transposición alemana
El §38 BSIG reproduce el deber de aprobación, supervisión y formación en el derecho alemán. El §38 no establece por sí mismo una cifra de daños; define el estándar de conducta. Las sanciones económicas residen en el §65 BSIG y se dirigen a la entidad, no al directivo.
La Sorgfaltspflicht como puente de responsabilidad
El §43 GmbHG exige al Geschäftsführer aplicar la diligencia de un empresario prudente, y el §43(2) lo hace responsable solidario frente a la empresa por los daños causados por un incumplimiento de su deber. El §93 AktG fija el estándar equivalente para el Vorstand de una Aktiengesellschaft. El incumplimiento del deber del artículo 20 se convierte en prueba de que se vulneró la Sorgfaltspflicht.
La responsabilidad personal corre frente a la empresa, no frente a terceros
Las reclamaciones del §43 GmbHG y del §93 AktG son reclamaciones de la empresa contra su propio directivo. Se vuelven operativas cuando el órgano de supervisión, los socios, un administrador concursal o una dirección sucesora deciden ejercerlas. NIS 2 no crea una reclamación directa de los reguladores o de terceros afectados contra la persona física; crea el incumplimiento subyacente.
La Sorgfaltspflicht se mide frente a la práctica del sector
Los tribunales alemanes evalúan la Sorgfaltspflicht frente a lo que habría hecho un empresario prudente en el mismo cargo y sector. NIS 2 más el reglamento de ejecución definen ahora parte de ese punto de referencia para la ciberseguridad. Un órgano de dirección que ignore las medidas del artículo 21 se enfrenta a un estándar que ahora está escrito en la ley.
Orientación del BSI
El Bundesamt für Sicherheit in der Informationstechnik (BSI) enmarca el §38 BSIG como un deber de dirección indelegable. La Handreichung zur Geschäftsleitungs-Schulung (abril de 2026, v1.0) es una aportación de investigación, no un plan de estudios vinculante; sí describe el contenido sustantivo que el BSI espera que el órgano de dirección conozca.
Jurisprudencia del derecho societario alemán
El Bundesgerichtshof ha sostenido desde hace tiempo, conforme al §43 GmbHG, que un Geschäftsführer debe organizar la empresa de modo que los deberes legales se cumplan realmente, incluso estableciendo líneas de información y supervisión. NIS 2 especifica en detalle uno de esos deberes legales.
ENISA Technical Implementation Guidance
La Agencia de la Unión Europea para la Ciberseguridad (ENISA) publica la Technical Implementation Guidance para las medidas del artículo 21 de NIS 2 y las mapea con ISO 27001, NIST CSF 2.0, ETSI 319 401 y CEN/TS 18026. La orientación no es vinculante, pero es el texto de referencia que los auditores y los tribunales tratan como el estado del arte.
Delegamos la ciberseguridad en el CISO, así que el órgano de dirección queda exento.
El artículo 20(1) sitúa el deber de aprobación y supervisión en el propio órgano de dirección. La ejecución operativa puede delegarse, pero los deberes de aprobar las medidas y supervisar la implementación no. La jurisprudencia del §43 GmbHG trata el fallo organizativo como un incumplimiento primario del Geschäftsführer, con independencia de quién tuviera encomendada la tarea operativa.
Si un Geschäftsführer no es técnico, el deber no puede aplicarse a él personalmente.
El artículo 20(2) exige que los miembros del órgano de dirección reciban una formación que les proporcione conocimientos suficientes para evaluar las prácticas de gestión del riesgo de ciberseguridad. La falta de experiencia es precisamente lo que aborda el artículo 20(2); no es una defensa frente al §43 GmbHG.
El seguro D&O cubre cualquier responsabilidad de NIS 2.
Las pólizas D&O suelen responder a las reclamaciones de la empresa contra el directivo conforme al §43 GmbHG o al §93 AktG, que es donde recae el incumplimiento del artículo 20. Las pólizas excluyen con regularidad las multas regulatorias (p. ej., las multas a nivel de entidad del §65 BSIG), los actos dolosos y las infracciones conscientes. Las exclusiones, las franquicias y los desencadenantes de cobertura son específicos de cada póliza y aquí se describen, no se prejuzgan.
En la práctica, el deber del artículo 20 produce tres artefactos. Una aprobación por escrito de las medidas de gestión del riesgo del artículo 21 por parte del órgano de dirección. Un registro de supervisión que demuestre que el órgano de dirección recibió actualizaciones de estado y reaccionó. Un registro de formación para cada miembro del órgano de dirección.
Los auditores, las aseguradoras y, en un escenario adverso, una dirección sucesora o un administrador concursal buscarán estos tres artefactos. Su ausencia es lo que convierte el deber del artículo 20 en una reclamación del §43 GmbHG.
La plataforma modela el deber del artículo 20 como la categoría GOV en el registro de obligaciones de NIS 2. La aprobación de las medidas de gestión del riesgo se sitúa sobre un requisito de aprobación (sign-off) asignado al órgano de dirección. La supervisión es el registro de auditoría a lo largo de los requisitos del artículo 21. La formación se registra por miembro con evidencia de finalización.
La cuestión sustantiva de si un tribunal apreciaría un incumplimiento de la Sorgfaltspflicht en un caso concreto es una cuestión para la asesoría jurídica. La plataforma produce el registro documental sobre el que se decide la cuestión jurídica.
- Directiva (UE) 2022/2555 (NIS 2), artículo 20 y artículo 21. Fuente: EUR-Lex.
- Reglamento de Ejecución (UE) 2024/2690 de la Comisión, anexo sección 1. Fuente: EUR-Lex.
- BSI-Gesetz, §38 (deber de gobernanza de los órganos de dirección) y §65 (sanciones). Fuente: gesetze-im-internet.de.
- §43 GmbHG (Sorgfaltspflicht del Geschäftsführer). Fuente: gesetze-im-internet.de.
- §93 AktG (Sorgfaltspflicht del Vorstand). Fuente: gesetze-im-internet.de.
- Handreichung zur Geschäftsleitungs-Schulung del BSI conforme al §38(3) BSIG, v1.0 (abril de 2026). Aportación de investigación no vinculante. Fuente: bsi.bund.de.
- ENISA Technical Implementation Guidance para las medidas de gestión del riesgo de NIS 2. Fuente: enisa.europa.eu.