NIS2: los CEOs españoles podrían enfrentarse a multas de hasta 10 millones de euros

El pasado 14 de enero, el Consejo de Ministros aprobó el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, con el que España transpone la Directiva NIS2 (UE 2022/2555). Esta normativa supone un punto de inflexión en la ciberseguridad corporativa, al imponer requisitos más estrictos para empresas esenciales e importantes, además de introducir una responsabilidad personal para los directivos.

El impacto de la NIS2 no solo afecta a las infraestructuras críticas, sino también a sectores clave como financiero, sanitario, telecomunicaciones, energía y transporte. A partir de ahora, los CEOs y altos cargos responderán solidariamente por las infracciones en materia de ciberseguridad, lo que puede traducirse en multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global de la empresa.

Responsabilidad directa de los órganos de dirección

La normativa establece que los órganos de dirección deben asumir un papel activo en la gestión del riesgo cibernético y la protección de la infraestructura digital de sus organizaciones. Entre sus obligaciones destacan:

• Aprobación y supervisión de medidas de seguridad: garantizar que la empresa implementa estrategias y controles adecuados para prevenir ciberataques.
• Formación especializada en ciberseguridad: los directivos deberán capacitarse para evaluar amenazas y vulnerabilidades.
• Fomento de una cultura de seguridad: asegurar que toda la organización participa en la prevención de riesgos digitales.

Si no se corrigen deficiencias dentro del plazo fijado por la autoridad competente, la empresa podría enfrentarse a la suspensión de certificaciones y autorizaciones, así como a la inhabilitación temporal de los directivos responsables de la seguridad.

Un nuevo enfoque en sanciones y cumplimiento normativo

NIS2 introduce un marco sancionador más severo para garantizar el cumplimiento de la normativa:

• Multas de hasta 10M de euros o el 2% de la facturación anual global.
• Sanciones personales para los directivos que incumplan sus responsabilidades.
• Supervisión activa por parte de las autoridades de ciberseguridad, con evaluaciones periódicas y auditorías obligatorias.

En este contexto, las soluciones tecnológicas juegan un papel clave para ayudar a las empresas a automatizar el cumplimiento normativo, reducir riesgos y evitar sanciones.

Soluciones tecnológicas para cumplir con NIS2

Plataformas especializadas como GlobalSuite Solutions facilitan la adaptación de las empresas a los requisitos de NIS2. Algunas de sus funcionalidades incluyen:

• Automatización de la gestión de riesgos: identificación y priorización de amenazas con inventarios y mapas de riesgo.
• Planes de continuidad operativa: gestión de incidentes con simulaciones y respuestas rápidas.
• Notificación de ciberataques: cumplimiento con los plazos de comunicación y trazabilidad de incidentes.
• Evaluación de proveedores: análisis continuo de la seguridad de terceros para mitigar riesgos externos.

En este sentido, Antonio Quevedo, CEO de GlobalSuite Solutions, ha analizado tras la aprobación del anteproyecto de Ley: “Esta normativa no solo refuerza las medidas de protección, sino que también asigna una responsabilidad directa y personal a los órganos de dirección. En GlobalSuite Solutions, estamos comprometidos en acompañar a las organizaciones en este desafío, ofreciendo soluciones tecnológicas que automatizan y optimizan el cumplimiento de NIS2, sumado a la gran experiencia de nuestro equipo de consultoría y proyectos para adaptarlo a cada tipo de empresa. Creemos firmemente que, más allá de una obligación legal, esta es una oportunidad para fortalecer la resiliencia operativa y generar confianza entre clientes y socios”.

Con la entrada en vigor de la directiva, las empresas deben replantear su estrategia de seguridad y adoptar soluciones tecnológicas avanzadas para garantizar el cumplimiento normativo y evitar las sanciones que podrían derivarse del incumplimiento de NIS2.