8 obligaciones de la Ley de Ciberseguridad para los directivos de las empresas

Supervisar la gestión de riesgos, formarse de manera continua, responder solidariamente de las infracciones… Repasamos las obligaciones de la Ley de Ciberseguridad para los directivos de las compañías

Este año se aprobará, previsiblemente, la Ley de Coordinación y Gobernanza de la Ciberseguridad, una norma que transpone la directiva NIS2 y que afectará a unas 5.000 empresas españolas… y a sus cargos directivos.

¿Por qué? En el borrador actual del anteproyecto se contemplan diversas obligaciones de la Ley de Ciberseguridad para los directivos de las compañías que sean consideradas entidades esenciales o importantes por dicha norma.

¿Cuáles son los criterios que se emplearán para determinar si una empresa es una entidad importante?

1. Operar en uno de los 20 sectores críticos para la economía y la sociedad españolas.
2. Contar con 50 o más trabajadores.
3. Haber registrado en el año anterior una facturación superior a los 10 millones de euros.

¿En qué casos las compañías serán calificadas como entidades esenciales? Cuando:

1. Realicen sus actividades en sectores de alta criticidad: energía, transporte, banca, salud, agua potable o residual…
2. Estén conformadas por 250 o más trabajadores.
3. Presenten un volumen de negocio de más de 50 millones de euros anuales o un balance general anual de 43 millones de euros.

¿Cuál es el objetivo de las obligaciones de la Ley de Ciberseguridad para los directivos? Conseguir que los órganos de dirección de las empresas se involucren directamente en la gestión de la ciberseguridad de las organizaciones que dirigen y asuman responsabilidades por los incumplimientos de sus compañías.

A continuación, desgranamos las principales obligaciones de la Ley de Ciberseguridad para los directivos, de cara a ayudarlos a que sean conscientes de la responsabilidad que tendrán en la gestión de riesgos de seguridad de las compañías que dirigen.

1. Aplicar y supervisar la implantación de las medidas para la gestión de riesgos de ciberseguridad

El artículo 14 de la ley establece que los órganos de dirección de las compañías consideradas esenciales o importantes deberán:

1. Aplicar las medidas para la gestión de riesgos de ciberseguridad:
   • Políticas de seguridad de las redes y sistemas de información.
   • Análisis de riesgos.
   • Gestión de incidentes de seguridad.
   • Gestión de copias de seguridad y disaster recovery.
   • Gestión de crisis.
   • Seguridad de la cadena de suministro.
   • Gestión de vulnerabilidades.
   • Evaluación de la eficacia de las medidas adoptadas.
   • Buenas prácticas de ciberseguridad y formación de las plantillas.
   • Utilización de criptografía y mecanismos de cifrado.
   • Políticas de control de acceso y gestión de activos.
   • Implementación de soluciones de autenticación multifactor y sistemas de comunicaciones de emergencia seguros.
2. Supervisar la correcta implementación de dichas medidas.
3. Asumir la responsabilidad por incumplir estas medidas.

Es decir, entre las obligaciones de la Ley de Ciberseguridad para los directivos de las compañías debemos destacar que han de dirigir la implementación de las estrategias de seguridad y, además, se considerarán responsables cuando las medidas de seguridad no se implementen o se haga de manera deficiente.

2. Recibir formación adecuada y continua sobre ciberseguridad

La formación juega un papel clave en lo que respecta a las obligaciones de la Ley de Ciberseguridad para los directivos de las compañías. Así, en su versión actual, la norma contempla que los miembros de los órganos de dirección de las empresas deben recibir formación:

1. Adecuada.
2. Periódicamente.
3. Para adquirir los conocimientos y las destrezas necesarios de cara a:
   • Detectar riesgos de seguridad que afecten a sus organizaciones.
   • Evaluar la gestión de riesgos de sus compañías.
   • Entender el impacto de los incidentes de seguridad en los servicios que proporcionan sus empresas.

De esta forma, la futura ley busca conseguir que todos los cargos directivos dispongan de conocimientos esenciales en materia de ciberseguridad para que así puedan tomar decisiones relacionadas con las estrategias de seguridad.

3. Organizar formaciones para el conjunto de la plantilla

Las obligaciones de la Ley de Ciberseguridad para los directivos no solo giran en torno a la formación de los miembros de los órganos de dirección, sino que también incluyen el deber de organizar formaciones en ciberseguridad para todos los profesionales que forman parte de las empresas.

Estas formaciones deberán ser, según la futura ley, periódicas y tener unos contenidos «similares» a las acciones formativas para directivos.

El objetivo de esta medida es garantizar que todos los empleados de una empresa cuentan con unos conocimientos mínimos en materia de ciberseguridad y están concienciados de los riesgos a los que se exponen las empresas. De tal manera que se puedan prevenir malas prácticas y acciones inseguras. Por ejemplo, descargar un documento proveniente de una dirección de email no verificada.

4. Designar al responsable de la seguridad de la información

Uno de los pilares de la Ley de Ciberseguridad es la figura del responsable de seguridad de la información.

Los órganos de toma de decisiones de las empresas deben designar «a una persona, unidad u órgano colegiado como responsable de la seguridad de la información».

Los responsables de la seguridad de la información deben estar capacitados técnicamente y gozar de una sólida formación en ciberseguridad.

Además, en el caso de las entidades esenciales, estas personas deberán estar acreditadas por el Ministerio del Interior.

Igualmente, el texto legal contempla que los responsables de la seguridad de la información de entidades esenciales deberán ocupar puestos que les permitan:

1. Desarrollar sus funciones.
2. Participar en todas las cuestiones relacionadas con la seguridad de su empresa.
3. Mantener una comunicación fluida y efectiva con el consejo de administración de la compañía.

5. El amplio abanico de funciones del responsable de la seguridad de la información

Esto implica, en la práctica, que los responsables de la seguridad de la información vayan a ser en muchos casos directivos, como ya ocurre con los CIOs (Chief Information Officer), que están llamados a ejercer este rol en las compañías.

¿Cuáles son las obligaciones de los responsables de la seguridad de la información?

1. Elaborar la estrategia de ciberseguridad y someterla a aprobación, incluyendo las medidas técnicas y organizativas de gestión de riesgos incluidas en la ley.
2. Coordinar la implementación de las políticas de seguridad y realizar controles periódicos de seguridad.
3. Supervisar que la compañía cumple con la normativa.
4. Ejercer como capacitador en materia de buenas prácticas.
5. Notificar los incidentes de seguridad y las vulnerabilidades detectadas a las autoridades de control.
6. Recibir y supervisar la aplicación de las instrucciones y guías de las autoridades de control, de cara a optimizar la estrategia de seguridad y subsanar las deficiencias detectadas.
7. Preparar y enviar documentación a la autoridad de control y al CSIRT.
8. Elaborar «el documento de aplicabilidad de sistemas o activos».
9. Vigilar que los proveedores siguen los criterios de seguridad de la compañía.

6. Asegurarse de que se subsanan las deficiencias y se cumplen los requisitos de la autoridad de control

La futura ley facultará a la autoridad de control a que fije un plazo para que una entidad esencial adopte las medidas necesarias para subsanar deficiencias o cumplir los requisitos de la ley.

Así, entre las obligaciones de la Ley de Ciberseguridad para los directivos de las empresas se encuentra el deber de garantizar que se adoptan dichas medidas. De lo contrario, la autoridad de control podrá:

1. Suspender temporalmente o solicitar que se suspenda una certificación o autorización de la compañía incumplidora.
2. Solicitar que se prohíba temporalmente «a cualquier persona que ejerza responsabilidades de dirección a nivel de director general» que lleve a cabo sus funciones.

Es decir, que los directores generales o representantes legales de las empresas consideradas entidades esenciales deben asegurarse personalmente de que se cumplen las medidas exigidas por las autoridades si no quieren ser apartados temporalmente de sus cargos.

7. Supervisar el cumplimiento de la Ley de Ciberseguridad

Igualmente, el anteproyecto de ley establece que:

• Las personas físicas que ejerzan de representantes de las entidades esenciales.
• Los órganos competentes en la toma de decisiones.

Son responsables de supervisar el cumplimiento de la ley. Hasta el punto de que deben asumir su «responsabilidad por el incumplimiento de este deber».

8. Responder solidariamente de las infracciones cometidas por sus compañías

Sin irnos del terreno de la responsabilidad, debemos señalar que entre las obligaciones de la Ley de Ciberseguridad para los directivos de las empresas se encuentra el deber de responder solidariamente de las infracciones que las compañías cometan.

Así, la futura norma dicta que la responsabilidad por las infracciones recae sobre las empresas, pero que los miembros de sus órganos de dirección «responderán solidariamente».

Esta cuestión tiene una enorme trascendencia ya que el anteproyecto de ley prevé multas que van desde los 10.000 euros hasta los 10 millones de euros o el 2% del volumen de negocio a nivel mundial de la compañía incumplidora.

En definitiva, las obligaciones de la Ley de Ciberseguridad para los directivos de las compañías que deberán cumplir con esta norma:

1. Obligan a los órganos y cargos de dirección a situar la ciberseguridad en el centro de sus estrategias y a asegurarse de que las compañías cuentan con los servicios de ciberseguridad adecuados para hacer frente a los riesgos.
2. Buscan garantizar un nivel de formación y concienciación óptimo de los directivos de las empresas que desarrollan sus actividades en sectores críticos, pero también de sus empleados.
3. Hacen responsables a los directivos de los incumplimientos de las empresas en materia de ciberseguridad, de cara a conseguir que dichos incumplimientos no tengan lugar.