La directiva europea NIS2 obliga a las empresas a documentar la gestión del ciberriesgo

La directiva europea NIS2 obliga a las empresas a documentar la gestión del ciberriesgo

PABEMAR, la delegación de Recoletos Consultores, señala que la directiva europea NIS2 exige gestionar el ciberriesgo con medidas técnicas, supervisión documentada y revisión coordinada de las coberturas y responsabilidad de administradores.


La Directiva NIS2 consolida un cambio relevante para las empresas

La ciberseguridad deja de ser una cuestión limitada al departamento informático y pasa a formar parte de la responsabilidad de gobierno del órgano de administración. PABEMAR advierte de que los administradores y directivos deben conocer los riesgos, aprobar medidas razonables y poder demostrar que han supervisado su aplicación.

El nuevo marco europeo obliga a determinadas entidades a adoptar medidas técnicas, operativas y organizativas de gestión del riesgo. Entre ellas.

  • Análisis de riesgos
  • Gestión de incidentes
  • Copias de seguridad
  • Continuidad de negocio
  • Control de accesos
  • Seguridad de proveedores
  • Formación interna

La consecuencia práctica es que la empresa debe acreditar no solo que dispone de herramientas, sino que existe una política de gestión del ciberriesgo aprobada, aplicada y revisable.

La implicación de la dirección es el aspecto que más afecta a los órganos de administración. Ya no basta con delegar la materia en sistemas o informática: el administrador debe hacer las preguntas adecuadas, validar criterios de protección, exigir evidencias de implantación y conservar trazabilidad de las decisiones adoptadas.

El efecto de NIS2 puede alcanzar a empresas no obligadas directamente

Las compañías que actúen como proveedoras de entidades esenciales o importantes pueden recibir nuevas exigencias contractuales de seguridad, continuidad y respuesta ante incidentes. En este contexto, la ciberseguridad pasa a ser un factor de acceso a clientes, licitaciones y cadenas de suministro.

El seguro de ciberriesgo sigue siendo una herramienta relevante, pero no sustituye a una gestión preventiva. Las aseguradoras valoran de forma creciente la madurez de las medidas de seguridad antes de aceptar un riesgo o responder ante un siniestro. Por ello, PABEMAR recomienda revisar de forma conjunta el programa de ciberriesgo y la póliza de responsabilidad de administradores y directivos, especialmente cuando un incidente pueda derivar en reclamaciones por falta de supervisión.

Francisco Pérez, director de PABEMAR

«El administrador no tiene que convertirse en técnico, pero sí debe poder demostrar que ha preguntado, aprobado medidas razonables y supervisado su implantación. En ciberseguridad, la diligencia no se improvisa después del incidente: se documenta antes.

La firma recomienda a las empresas revisar su exposición real a NIS2, ordenar sus procedimientos de gestión del ciberriesgo y comprobar si sus coberturas aseguradoras están alineadas con su nivel de riesgo operativo, contractual y reputacional.

También te puede interesar: