Sí, las personas en puestos directivos pueden ser consideradas responsables de las violaciones de la ciberseguridad en virtud de la NIS2.

• Las fuentes indican que los Estados miembros deben garantizar que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de ciberseguridad y supervisen su implementación.
• Los órganos de dirección pueden ser considerados responsables si la entidad que gestionan infringe el Artículo 21 de la Directiva, que establece las medidas de gestión de riesgos de ciberseguridad que las entidades deben adoptar.
• Los Estados miembros también deben garantizar que las personas responsables de una entidad esencial o importante, incluidos los representantes legales y aquellos con poderes de decisión o control, tengan la autoridad para asegurar el cumplimiento de la NIS2.
• Estas personas pueden ser consideradas responsables si no cumplen con su deber de garantizar el cumplimiento de la Directiva.
• Sin embargo, las fuentes también subrayan que, para las entidades de la administración pública, seguirán aplicándose las leyes nacionales sobre la responsabilidad de los funcionarios públicos y de los cargos electos o designados.

NIS2: Consideraciones

La Directiva introduce disposiciones para hacer que las personas en puestos directivos sean responsables de las violaciones de la ciberseguridad, con el objetivo de fomentar una mayor atención a la ciberseguridad en los niveles más altos de la gobernanza corporativa.

Además, la Directiva prevé que los órganos de dirección reciban formación adecuada sobre la gestión de riesgos de ciberseguridad. Este requisito tiene como objetivo garantizar que los directivos tengan las competencias necesarias para comprender y abordar las amenazas informáticas.

Las sanciones por el incumplimiento de la NIS2 pueden incluir multas significativas, limitaciones operativas y responsabilidad personal. Para las organizaciones que desean estructurar un proceso de adaptación a la Directiva NIS2, es útil comenzar con una evaluación de las medidas ya implementadas y de las brechas que deben cubrirse. Los Estados miembros deben establecer medidas de ejecución eficaces para asegurar que las entidades cumplan con los requisitos de ciberseguridad.

Otro aspecto relevante se refiere a la necesidad de un monitoreo continuo por parte de los órganos de dirección. La Directiva prevé que las medidas adoptadas sean revisadas y actualizadas periódicamente para responder a la evolución de las amenazas informáticas. Este enfoque dinámico ayuda a mantener altos estándares de seguridad a lo largo del tiempo.

Finalmente, la NIS2 fomenta la colaboración entre las entidades reguladas y las autoridades competentes, con el fin de mejorar la resiliencia informática general a nivel europeo. Esta cooperación incluye el intercambio de información sobre amenazas y mejores prácticas para la gestión de la ciberseguridad. Para profundizar en el marco normativo de referencia, también es útil consultar cuál es el objetivo principal de la Directiva NIS2.

[Callforaction-NIS2-Footer]