NIS2 Gobernanza de la Ciberseguridad

NIS2 exige que el órgano de dirección apruebe las medidas de gestión de riesgos de ciberseguridad adoptadas para cumplir las normas y supervise su aplicación. Básicamente, deben asumir la titularidad real del cumplimiento de NIS2 por parte de la organización, y no pueden simplemente delegarlo en el departamento de TI.

Cómo define NIS2 la responsabilidad de la dirección

Según la NIS2, el «órgano de dirección» es el grupo responsable en última instancia de supervisar la ciberseguridad dentro de una organización. Depende del tipo de organización:

En las empresas privadas, el órgano de dirección suele ser el consejo de administración, si la empresa tiene uno, o la dirección ejecutiva, si la empresa sólo tiene un equipo directivo. En las empresas que tienen tanto un equipo directivo como un consejo de supervisión, el equipo directivo se considera el órgano de dirección. En las empresas que no tienen ni consejo de administración ni dirección ejecutiva, el órgano de dirección es cualquier órgano de gobierno que tenga la misma autoridad que un consejo de administración o un equipo ejecutivo.

En las administraciones públicas, el órgano de gestión es la cúpula administrativa, como el director general, el equipo directivo o los jefes de departamento.

En otras palabras, la definición se adapta a la estructura de gobierno de la organización, pero en todos los casos se refiere al grupo en la cúspide con autoridad última para tomar decisiones.

Delegación de tareas

Muchas organizaciones crean comités o grupos de trabajo dedicados a la ciberseguridad o la seguridad de la información. Estos grupos pueden preparar y supervisar aspectos de la gestión de la ciberseguridad, pero el órgano de dirección en su conjunto sigue teniendo la responsabilidad general. Las tareas pueden delegarse, pero la responsabilidad no. Por tanto, la dirección debe supervisar y garantizar que las tareas delegadas se llevan a cabo correctamente.

Responsabilidad de la dirección en materia de ciberseguridad

El órgano de dirección es responsable de dirigir los riesgos de ciberseguridad del mismo modo que gestiona los riesgos financieros u operativos. Debe aprobar las medidas técnicas, organizativas y operativas que protegen las redes y los sistemas de información de la organización. Esto incluye decidir qué constituye un nivel adecuado de seguridad a la luz de la exposición al riesgo de la organización y la importancia de los servicios que presta.

Las decisiones de gestión marcan la dirección a nivel estratégico, por ejemplo, qué medidas priorizar, qué recursos asignar y cuándo es suficiente la protección.

Supervisión

La aprobación de las medidas de seguridad por parte de la dirección es sólo el principio. La dirección también debe hacer un seguimiento para asegurarse de que esas medidas se aplican y son eficaces frente a los riesgos identificados. La supervisión por parte de la dirección puede adoptar varias formas, como:

informes periódicos de gestión que incluyan objetivos, planes de acción y avances,
actualizaciones de estado sobre incidentes, vulnerabilidades y tiempos de respuesta,
procesos de auditoría interna que informan directamente a la dirección,
auditorías externas de los requisitos del NIS2, con conclusiones comunicadas a la dirección,

La clave es que la dirección reciba información clara y periódica y la utilice para decidir si son necesarios ajustes o nuevas acciones.

Cumplimiento digital

RGPD

Ley de IA

NIS2

Recursos

Guías

Plataforma de Sensibilización sobre el RGPD

Servicios