La Directiva NIS2 consolida un cambio relevante para las empresas: la ciberseguridad deja de ser una cuestión limitada al departamento informático y pasa a formar parte de la responsabilidad de gobierno del órgano de administración. PABEMAR advierte de que los administradores y directivos deben conocer los riesgos, aprobar medidas razonables y poder demostrar que han supervisado su aplicación.
El nuevo marco europeo obliga a determinadas entidades a adoptar medidas técnicas, operativas y organizativas de gestión del riesgo, entre ellas análisis de riesgos, gestión de incidentes, copias de seguridad, continuidad de negocio, control de accesos, seguridad de proveedores y formación interna. La consecuencia práctica es que la empresa debe acreditar no solo que dispone de herramientas, sino que existe una política de gestión del ciberriesgo aprobada, aplicada y revisable.
La implicación de la dirección es el aspecto que más afecta a los órganos de administración. Ya no basta con delegar la materia en sistemas o informática: el administrador debe hacer las preguntas adecuadas, validar criterios de protección, exigir evidencias de implantación y conservar trazabilidad de las decisiones adoptadas.
PABEMAR también subraya que el efecto de NIS2 puede alcanzar a empresas no obligadas directamente. Las compañías que actúen como proveedoras de entidades esenciales o importantes pueden recibir nuevas exigencias contractuales de seguridad, continuidad y respuesta ante incidentes. En este contexto, la ciberseguridad pasa a ser un factor de acceso a clientes, licitaciones y cadenas de suministro.
El seguro de ciberriesgo sigue siendo una herramienta relevante, pero no sustituye a una gestión preventiva. Las aseguradoras valoran de forma creciente la madurez de las medidas de seguridad antes de aceptar un riesgo o responder ante un siniestro. Por ello, PABEMAR recomienda revisar de forma conjunta el programa de ciberriesgo y la póliza de responsabilidad de administradores y directivos, especialmente cuando un incidente pueda derivar en reclamaciones por falta de supervisión.
"El administrador no tiene que convertirse en técnico, pero sí debe poder demostrar que ha preguntado, aprobado medidas razonables y supervisado su implantación. En ciberseguridad, la diligencia no se improvisa después del incidente: se documenta antes."
- Francisco Pérez, director de PABEMAR
La firma recomienda a las empresas revisar su exposición real a NIS2, ordenar sus procedimientos de gestión del ciberriesgo y comprobar si sus coberturas aseguradoras están alineadas con su nivel de riesgo operativo, contractual y reputacional.
Sobre PABEMAR
PABEMAR asesora a empresas en gestión de riesgos y programas de seguros, con especial atención a la identificación de exposiciones, la ordenación de coberturas y la protección de administradores y directivos. Recoletos Consultores es una firma especializada en desarrollo de negocio asegurador y gestión global de riesgos, orientada a acompañar a mediadores, corredurías y empresas en la mejora de su protección y capacidad de respuesta.
Acerca de Recoletos Consultores
Recoletos Consultores es una firma especializada en desarrollo de negocio asegurador y gestión global de riesgos. Acompaña a mediadores, corredurías, empresas, despachos profesionales, asociaciones y colectivos en la creación, profesionalización y desarrollo de unidades de negocio asegurador, aportando estructura técnica, jurídica, comercial, marketing, formación y estrategia. Su modelo combina cercanía local, soporte centralizado y una metodología orientada a ordenar los riesgos, mejorar la protección y generar nuevas oportunidades de negocio.