Responsabilidad NIS-2 del consejo: lo que los directivos asumirán personalmente desde 2026

La Directiva NIS-2 2022/2555 traslada la responsabilidad de la ciberseguridad del departamento de IT a la dirección. Quien firme en 2026 responderá personalmente en 2027. Este texto se dirige a consejeros, directores generales y consejos de vigilancia que necesitan saber qué firman.

Lo que NIS-2 cambia realmente para la dirección

El deber de protección ya no es un deber de IT. Es deber de la dirección. Esto rompe con la práctica anterior, en la que CISOs y directores de IT asumían la responsabilidad operativa y el consejo aprobaba el presupuesto.

El Article 20 de la Directiva NIS-2 2022/2555 exige que los órganos de dirección de las entidades afectadas aprueben las medidas de ciberseguridad, supervisen su aplicación y respondan por las infracciones. A esto se suma una obligación de formación para la propia dirección. No para el departamento de IT. Para el consejo.

El Article 32 añade la dimensión de responsabilidad personal. Si una entidad esencial incumple sus obligaciones, las autoridades competentes pueden inhabilitar temporalmente a las personas físicas que ocupen cargos directivos. La Ley alemana de transposición NIS2UmsuCG recoge esta lógica y concreta la responsabilidad personal del administrador.

La carga de la prueba se invierte. No basta con que la dirección afirme haber cumplido sus deberes. Debe demostrar activamente que la gestión de riesgos, la formación y los canales de notificación funcionan. Quien no tiene documentación no tiene defensa en litigio.

Marco sancionador y escalones de escalada

Las sanciones distinguen dos categorías de entidades afectadas. Para las entidades esenciales el marco sancionador alcanza 10 millones de euros o el 2 por ciento de la facturación mundial del grupo, el importe que sea mayor. Fuente: EUR-Lex CELEX 32022L2555.

Para las entidades importantes el marco es de 7 millones de euros o el 1,4 por ciento de la facturación mundial. También aquí prevalece el valor superior. En un grupo con 800 millones de euros de facturación, la exposición llega a 16 millones para entidades esenciales y a 11,2 millones para entidades importantes.

La escalada no acaba en el dinero. Como ultima ratio NIS-2 prevé dos sanciones adicionales:

1. Prohibición de ejercicio para miembros de la dirección en casos de reincidencia.
2. Suspensión de la certificación o autorización que la empresa necesita para operar.

Una prohibición de ejercicio significa en la práctica el final de la carrera. Una certificación suspendida significa el final de la actividad. Ninguno de los dos escenarios es teórico. Las autoridades de supervisión tienen el mandato de aplicarlos.

Qué empresas deben revisarlo ahora

NIS-2 abarca diez sectores como esenciales (energía, transporte, banca, infraestructuras del mercado financiero, salud, agua potable, aguas residuales, infraestructura digital, gestión de servicios TIC, administración pública, espacio) y otros ocho como importantes (servicios postales y de mensajería, gestión de residuos, química, alimentación, industria manufacturera, servicios digitales, investigación).

El umbral se aplica a partir de 50 empleados o 10 millones de euros de facturación anual. Quien queda por debajo no está automáticamente fuera. Determinados proveedores (DNS, registros TLD, servicios de confianza) entran en el ámbito de aplicación con independencia del tamaño.

No existe una lista oficial que comunique si uno está afectado. La autoclasificación es obligatoria. Quien se clasifica mal y no lo notifica se arriesga a la sanción íntegra más la imputación de elusión dolosa.

El efecto cadena de suministro amplía el círculo considerablemente. Las pymes sin obligación propia bajo NIS-2 quedan indirectamente alcanzadas al suministrar a entidades esenciales. El cliente debe asegurar su cadena de suministro según el Article 21. Esto traslada obligaciones contractuales hacia abajo. Quien presta la limpieza al hospital, el mantenimiento al operador energético o el servicio de seguridad al centro de datos queda contractualmente obligado a procesos conformes con NIS-2, sin estar directamente afectado.

Recomendación práctica: quien recorra la Lista de verificación KRITIS-Dachgesetz en paralelo con la revisión NIS-2 detecta pronto la doble afectación. Cerca del 60 por ciento de los obligados por KRITIS también lo son por NIS-2.

La arquitectura de prueba

El Article 21 exige una gestión de riesgos documentada. No es un documento que se redacte una vez y se archive. Es un proceso vivo con diez componentes mínimos: análisis de riesgos, gestión de incidentes, continuidad del negocio, seguridad de la cadena de suministro, seguridad en la adquisición y operación de sistemas IT, evaluación de la eficacia, criptografía, control de accesos, gestión de activos, comunicación de emergencia.

La obligación de notificación de incidentes significativos se aplica en tres pasos. Primera alerta temprana en 24 horas. Evaluación en 72 horas. Informe final en un mes. Quien pierde el plazo de 24 horas no puede subsanar la infracción notificando más tarde.

La obligación de formación para la propia dirección es la palanca más subestimada. El Article 20 NIS-2 exige que los miembros de los órganos de dirección participen periódicamente en formaciones para adquirir conocimientos suficientes que les permitan evaluar riesgos de ciberseguridad. Anual. Demostrable. Con certificado de asistencia, fecha y contenido.

El flujo de prueba apto para auditoría afecta a tres destinatarios: la autoridad de supervisión en caso de inspección, la aseguradora D&O en caso de siniestro y el consejo de vigilancia en caso de informe. Quien lleva tres sistemas de documentación separados fracasa. Quien construye una arquitectura de prueba consolidada atiende a los tres desde una sola fuente.

Para los obligados múltiples rige la doble conformidad con el KRITIS-Dachgesetz. Las obligaciones se solapan en cerca del 70 por ciento. Un cumplimiento separado duplica el coste sin ganancia de seguridad.

Dónde encaja la seguridad física en el cuadro NIS-2

El Article 21 exige medidas de seguridad basadas en el riesgo expresamente para la capa física y la digital. Esto se pasa por alto con frecuencia porque NIS-2 se percibe como una ley puramente cibernética. El tenor literal de la Directiva exige sin embargo la protección de las redes y sistemas de información "y su entorno físico".

En la práctica significa: quien opera un centro de datos cuyo perímetro no está controlado de forma documentada no cumple el Article 21. Quien opera un nodo de distribución sin vigilancia física continua no cumple el Article 21. La autoridad no pregunta por firewalls. Pregunta por el conjunto.

Protección de perímetro con patrulla autónoma entrega justamente el registro de ronda apto para auditoría que necesita la capa física. Un robot autónomo como QR-3 con LiDAR para emplazamientos KRITIS documenta cada ronda con sello temporal, traza GPS, registro de sensores y detección de anomalías. Eso es prueba, no informe.

La asegurabilidad se convierte en la segunda palanca. Las pólizas D&O y cíber rechazan cada vez más la cobertura sin resiliencia física documentada. En 2025 vemos las primeras pólizas que incorporan expresamente "documented physical access control with continuous monitoring" como criterio de exclusión. Quien no lo tiene paga el siniestro de su bolsillo.

La cuestión de costes no se decide entre vigilancia humana y robótica. Se decide entre ronda documentada y ronda no documentada. Los servicios de Wachschutz clásicos rara vez producen el detalle de prueba que NIS-2 exige. Las cifras comparativas están en nuestro análisis Wachschutz Kosten 2026 TCO.

Lo que los consejeros deben hacer en los próximos 60 días

Estos cinco pasos son la hoja de ruta mínima. Sin ellos la declaración de conformidad 2026 es atacable.

Paso 1: documentar la prueba del umbral. Sector, número de empleados, facturación, vínculo en la cadena de suministro. Por escrito. Fechado. Con fuentes. El documento debe explicar por qué la empresa es esencial, importante o no afectada. Una valoración verbal del letrado no basta.

Paso 2: pedir un Risk Assessment según Article 21. Los diez componentes obligatorios como estructura de capítulos. Dónde está hoy la empresa, dónde hay brechas, qué medidas se aplican con qué plazo. Quien lo recibe del CISO lo hace contrafirmar por el consejo de vigilancia.

Paso 3: cursar la formación propia y acreditarla. No delegar. No "el CISO nos lo explica en la próxima reunión". Una formación formal con certificado de asistencia, al menos cuatro horas, repetida anualmente. El Article 20 es explícito.

Paso 4: informar al corredor de seguros sobre el estatus NIS-2. La póliza D&O debe reflejar el estatus NIS-2. Quien lo oculta y notifica más tarde un siniestro pierde la cobertura por infracción del deber precontractual de declaración.

Paso 5: informar al consejo de vigilancia sobre la exposición de responsabilidad. Un briefing escrito que cuantifique de forma concreta marco sancionador, responsabilidad personal y prohibición de ejercicio. El consejo de vigilancia responde también. Quien no lo informa abre una segunda vía de responsabilidad contra sí mismo.

Quien quiera ejecutar estos cinco pasos en 60 días necesita una visión externa sobre la capa física. El modelo Robotics-as-a-Service mantiene la decisión de inversión fuera del ciclo CapEx y entrega el registro de ronda desde el día uno. Para consejeros que entre prueba del umbral y formación no tienen tiempo para procedimientos de licitación, es la vía más rápida hacia la capa física de conformidad.

Si quiere repasar la arquitectura NIS-2 de su empresa con un coautor del manual del operador KRITIS, contacte directamente con Marcus Köhnlein, Sales Lead Suiza o a través del formulario de contacto. Los primeros 60 días deciden qué se podrá firmar en 2027.