Ultima revision
4 de julio de 2026

Muchas empresas siguen tratando la ciberseguridad como un asunto técnico con traducción ejecutiva de cortesía: un dashboard trimestral, dos semáforos en verde, una mención a ransomware y todos a casa. NIS2 rompe esa comodidad. No porque convierta a los consejeros en analistas de amenazas —no lo hace—, sino porque eleva la supervisión de ciberseguridad al rango de obligación de gobierno.
Ese cambio no está escondido en una nota al pie. Está en dos preceptos que, leídos juntos, tienen bastante más pólvora de la que algunos departamentos legales querrían admitir: el artículo 20, sobre gobernanza, y el artículo 21, sobre medidas de gestión de riesgos de ciberseguridad.
Aquí está el quid: la directiva no pide al órgano de dirección que “apoye” la seguridad, ni que “impulse una cultura” en un sentido vaporoso. Le atribuye tareas concretas de aprobación y supervisión. Y cuando una norma europea usa esos verbos, no está decorando un PowerPoint.
Conviene ir al texto, porque alrededor de NIS2 ya circula bastante folklore regulatorio. El artículo 20.1 establece que los Estados miembros garantizarán que los órganos de dirección de las entidades esenciales e importantes aprueben las medidas de gestión de riesgos de ciberseguridad adoptadas por la entidad para cumplir el artículo 21, supervisen su aplicación y puedan ser considerados responsables de los incumplimientos por parte de la entidad.
No hace falta retorcer mucho el lenguaje para entender la novedad. “Aprobar” no es recibir una actualización pasiva. “Supervisar” no es escuchar una presentación una vez al año. Y la referencia a la posible responsabilidad por incumplimientos deja claro que Bruselas no quería un consejo ornamental en materia de ciberseguridad.
El artículo 20.2 añade otra pieza menos comentada y bastante relevante: los miembros de los órganos de dirección deberán seguir formación, y los Estados miembros fomentarán que las entidades ofrezcan formación similar a sus empleados de manera periódica. Dicho de otro modo, la clásica excusa del “yo no soy técnico” empieza a cotizar a la baja.
Luego llega el artículo 21, que es donde la directiva aterriza las obligaciones materiales. Las entidades esenciales e importantes deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que amenazan la seguridad de las redes y sistemas de información que utilizan en sus operaciones o en la prestación de sus servicios, y para prevenir o minimizar el impacto de los incidentes en destinatarios del servicio y en otros servicios.
El artículo 21.2 enumera, además, un catálogo mínimo de materias que esas medidas deben cubrir. No es una lista decorativa. Incluye, entre otras:
Quien lea esto y siga pensando que basta con delegarlo todo al CISO quizá no tiene un problema de ciberseguridad. Tiene un problema de lectura.
Ahora bien, una cosa conviene dejarla limpia de exageraciones. Del artículo 20 no se desprende literalmente un deber autónomo redactado como “el consejo debe demostrar que entendió el marco de riesgo” en esos términos exactos. Lo que sí establece la directiva es algo más sobrio y, jurídicamente, más útil: el órgano de dirección debe aprobar las medidas del artículo 21 y supervisar su aplicación.
Esa diferencia importa. Importa porque evita vender como mandato textual lo que en realidad es una consecuencia práctica de gobernanza. Si una entidad debe acreditar cumplimiento ante su autoridad competente, es razonable esperar que la aprobación y la supervisión del órgano de dirección no queden en el terreno de lo oral o lo implícito. Pero esa expectativa nace de la lógica del cumplimiento y de la mecánica de la supervisión, no de una frase literal de NIS2 que detalle un paquete cerrado de evidencias.
En otras palabras: la directiva fija el qué. El cómo lo documentas depende del marco de control interno de la entidad, de la transposición nacional y de la práctica supervisora. Conviene no confundir una inferencia operativa sensata con una obligación expresamente descrita palabra por palabra en el texto legal.
Una objeción frecuente, sobre todo en consejos poco habituados a la jerga técnica, es que NIS2 no puede pretender que el órgano de dirección entre en la gestión diaria. Y esa objeción, bien formulada, es correcta. La directiva no exige que los consejeros revisen reglas de firewall, firmen playbooks de respuesta ni validen configuraciones de IAM. El artículo 20 habla de aprobación y supervisión; el artículo 21, de medidas adecuadas y proporcionadas. La ejecución sigue siendo de la dirección y de las funciones de control y seguridad.
El problema aparece cuando esa objeción se usa como coartada para vaciar la obligación. Aprobar no significa microgestionar, pero tampoco mirar desde la barrera. Supervisar no significa operar, pero desde luego tampoco desentenderse. Entre ambos extremos hay un espacio muy concreto de responsabilidad: fijar apetito de riesgo, entender exposiciones materiales, decidir prioridades, pedir remediación, exigir seguimiento y comprobar si los problemas persistentes tienen dueño, presupuesto y plazo.
Eso ya no es una conversación técnica. Es gobierno corporativo puro.
Hay un detalle de NIS2 que merece más atención de la que ha recibido: el artículo 20.2 no se queda en la retórica de la concienciación. Ordena que los miembros de los órganos de dirección sigan formación. Ese matiz desplaza la discusión desde “sería deseable” a “hay una expectativa normativa clara”.
¿Qué debe contener esa formación? La directiva no fija un temario cerrado ni una duración concreta. No dice cuántas horas, no prescribe certificaciones, no impone un proveedor. Pero sí cambia el umbral de exigencia. Un consejo que aprueba y supervisa medidas de ciberseguridad sin un nivel mínimo de alfabetización sobre riesgo, continuidad, cadena de suministro, notificación de incidentes y dependencia tecnológica se coloca en una posición débil.
Además, este punto conecta con una realidad incómoda: muchos programas de formación para consejeros en ciberseguridad son poco más que sesiones de sensibilización premium. Mucha geopolítica, algún titular sobre ransomware, tres gráficas de tendencias y muy poco aterrizaje en decisiones de negocio. NIS2 empuja justo en la dirección contraria. Si el órgano de dirección tiene una función formal en la aprobación y supervisión de medidas del artículo 21, la formación útil no es la que impresiona; es la que permite preguntar mejor.
Preguntas del tipo: ¿qué servicios críticos dependen de un único proveedor? ¿Dónde están las excepciones de control más antiguas? ¿Cuál es el tiempo real de recuperación probado, no prometido? ¿Qué vulnerabilidades conocemos pero aceptamos temporalmente y quién aprobó esa aceptación? Si tu consejo no formula preguntas así, la formación probablemente ha servido para muy poco.
Una de las contribuciones más serias de NIS2 está en el artículo 21.2, letra d), sobre seguridad de la cadena de suministro. No es casualidad. La directiva asume que una entidad puede fallar no solo por sus propias debilidades, sino por la exposición heredada de proveedores directos y prestadores de servicios.
Eso tiene una consecuencia de gobernanza bastante menos abstracta de lo que parece. Si el órgano de dirección debe aprobar y supervisar las medidas de riesgo del artículo 21, entonces la dependencia de terceros críticos deja de ser una cuestión que pueda enterrarse en procurement o en el área tecnológica. Pasa a ser una cuestión de concentración de riesgo, resiliencia operativa y continuidad de negocio.
Para sectores regulados esto además dialoga con otros marcos. En financiero, por ejemplo, DORA dedica el capítulo V a la gestión del riesgo derivado de terceros prestadores de servicios TIC, y el artículo 28 obliga a gestionar ese riesgo como parte integrante del marco de gestión del riesgo de TIC. NIS2 no copia DORA, pero la dirección es parecida: la externalización no externaliza la responsabilidad.
Esta convergencia importa porque muchos grupos están intentando resolver NIS2, DORA y, en algunos casos, requisitos sectoriales nacionales con programas separados. Mala idea. Duplicar inventarios de proveedores, matrices de criticidad y evaluaciones de riesgo solo genera fatiga documental. El consejo, precisamente, debería empujar a una arquitectura de control integrada.
“Aprobar” tiene un componente ceremonial conocido: se vota, se deja constancia, se archiva. “Supervisar” es bastante más incómodo, porque exige continuidad. Y aquí es donde muchas organizaciones pueden tropezar.
La directiva no define en el artículo 20 una cadencia concreta de supervisión, ni impone un formato único de reporting al consejo. Tampoco enumera de manera cerrada qué documentación debe revisarse. Pero si la supervisión existe de verdad, tiene que manifestarse de alguna forma en la gobernanza ordinaria: seguimiento de riesgos, revisión de incidentes significativos, control de planes de remediación, decisiones sobre inversión o priorización, y trazabilidad de escalados.
No hace falta adornarlo con teorías probatorias grandilocuentes. Basta con asumir un principio elemental: lo que el órgano de dirección aprueba y supervisa debería poder reconstruirse después con un grado razonable de claridad. En algunas entidades eso se reflejará en actas más robustas; en otras, en comités especializados, mapas de riesgo, seguimiento de excepciones o evidencias de formación. El punto jurídico seguro no es que NIS2 imponga una lista documental exacta. El punto seguro es que la obligación de aprobación y supervisión pierde credibilidad si no deja rastro en la práctica de gobierno.
Y sí, esa frase tiene consecuencias para secretarías del consejo, compliance, risk y seguridad. Durante años han preparado materiales para “informar” a la alta dirección. NIS2 empuja a preparar materiales para permitir decisión y seguimiento. Parece un matiz. No lo es.
El inciso más delicado del artículo 20.1 es el que permite que los órganos de dirección puedan ser considerados responsables de los incumplimientos por parte de la entidad. La redacción no armoniza un régimen europeo único y detallado de responsabilidad personal. Lo que hace es obligar a los Estados miembros a garantizar ese anclaje de responsabilidad en su marco nacional de supervisión y ejecución.
Eso significa dos cosas a la vez. La primera: no conviene vender certezas uniformes donde la directiva deja espacio a la transposición nacional. La segunda: tampoco conviene minimizar la señal política y jurídica del precepto. Que la responsabilidad de la entidad pueda proyectarse sobre el órgano de dirección no es un accidente verbal. Es una forma de evitar que la ciberseguridad siga orbitando como un riesgo relevante pero institucionalmente huérfano.
Quien espere encontrar en NIS2 una tabla europea cerrada de cuándo responde cada consejero, con qué estándar subjetivo y bajo qué procedimiento, no la va a encontrar. Quien concluya a partir de ahí que el artículo 20 es inocuo también se equivoca. Entre ambos extremos hay un mensaje bastante claro: la gobernanza de ciberseguridad entra en el perímetro de responsabilidad del órgano de dirección, y los Estados miembros deben darle dientes en su derecho interno.
El régimen de supervisión y ejecución de NIS2 se desarrolla en los artículos 32 y 34, con diferencias entre entidades esenciales e importantes. Para las esenciales, el artículo 32 prevé medidas de supervisión ex ante y ex post más intensas; para las importantes, el artículo 33 se inclina más hacia la supervisión ex post cuando haya indicios, pruebas o información de incumplimiento.
Dentro de ese engranaje, el artículo 32.5 merece lectura cuidadosa, sin dramatismo de tertulia ni falsa tranquilidad. Ese precepto permite a los Estados miembros prever que, respecto de entidades esenciales, cuando las medidas de ejecución adoptadas en virtud del artículo 32.4 no hayan sido eficaces, las autoridades competentes puedan imponer una prohibición temporal a cualquier persona que ejerza funciones directivas a nivel de director general o de representante legal en la entidad para ejercer funciones directivas en esa entidad, hasta que cumpla las medidas requeridas por la autoridad competente para subsanar las deficiencias o los incumplimientos.
La diferencia entre describir esto bien o mal no es menor. No se trata de afirmar, de forma genérica y sin precisión, que la autoridad “suspende temporalmente a una persona física de sus funciones” como si el artículo operara automáticamente y de manera uniforme en toda la Unión. Lo correcto es reconocer tres límites del texto:
Aun con esos matices, el mensaje es difícil de ignorar. La directiva contempla expresamente una medida que puede afectar al ejercicio de funciones directivas en la propia entidad. No es la disposición que más probabilidades tiene de aparecer mañana en una primera plana, pero sí una de las que más claramente muestra que el legislador no concibió NIS2 como un manual de buenas intenciones.
Cuando se habla de responsabilidad de la alta dirección en ciberseguridad, el péndulo suele irse a un extremo u otro. O bien se trivializa todo con el clásico “ya lo vemos en comité”, o bien se cae en el fetichismo documental: más plantillas, más actas, más anexos, más firmas, como si el problema pudiera resolverse a base de papel bien ordenado.
NIS2 no avala ninguno de los dos extremos. El artículo 21 no exige burocracia por la burocracia. Exige medidas adecuadas y proporcionadas. Eso remite a riesgo real, impacto operativo, criticidad de servicios y capacidad de prevenir o minimizar incidentes. La gobernanza que pide el artículo 20 tampoco es una coreografía vacía para satisfacer al supervisor. Si el órgano de dirección aprueba medidas manifiestamente insuficientes, tolera excepciones indefinidas o no reacciona ante fallos repetidos, el hecho de que existan más documentos no arregla gran cosa.
La pregunta útil, por tanto, no es “¿qué carpeta querrá ver el regulador?”, porque la directiva no lo especifica de forma exhaustiva. La pregunta útil es otra: ¿puede la entidad explicar de manera coherente cómo se aprueban, priorizan, financian y supervisan sus medidas del artículo 21? Si la respuesta es no, el problema no es de archivo. Es de gobierno.
No hace falta inventarse obligaciones nuevas para ver que muchas organizaciones deben rehacer parte de su modelo de gobernanza si quieren tomarse NIS2 en serio. La directiva no te da una receta de diez pasos cerrados, pero sí marca con bastante claridad qué piezas no pueden faltar.
Primero, la ciberseguridad debe entrar en la agenda formal del órgano de dirección con una lógica de decisión, no solo de información. Eso exige materiales distintos: riesgos priorizados, opciones, impacto de no actuar, dependencias críticas, estado de remediación y temas que requieran aprobación real.
Segundo, la aprobación de medidas del artículo 21 no debería ser una aprobación abstracta del “programa de seguridad” en bloque y sin granularidad. Hay ámbitos que merecen visibilidad propia por su exposición material: continuidad, terceros críticos, gestión de vulnerabilidades, accesos privilegiados, capacidades de detección y respuesta, y procesos de evaluación de eficacia. Si todo se mezcla en un informe generalista, el consejo aprueba mucho y entiende poco.
Tercero, la supervisión necesita cadencia y escalado. NIS2 no impone una frecuencia cerrada, pero la ausencia de una dinámica periódica de seguimiento deja el verbo “supervisar” bastante hueco. Una supervisión sensata distingue entre reporting ordinario y escalado extraordinario de incidentes, desviaciones o retrasos relevantes.
Cuarto, la formación del órgano de dirección debería abandonar el formato de seminario genérico y centrarse en decisiones reales de la entidad. El artículo 20.2 pide formación; convertir esa formación en una sesión cosmética sería cumplir la letra para vaciar el fondo. Un consejo necesita entender sus dependencias, sus escenarios de interrupción y las limitaciones de sus propios controles, no un repaso turístico del panorama global de amenazas.
Quinto, conviene alinear NIS2 con marcos ya existentes de riesgo, continuidad y terceros. En grupos que también están bajo DORA, por ejemplo, separar por completo la conversación de gobernanza suele producir duplicidades absurdas: dos mapas de proveedores, dos taxonomías de incidentes, dos circuitos de escalado, dos vocabularios para describir casi el mismo problema. Luego llega el consejo, mira el conjunto y descubre que tiene más documentos que claridad. Justo lo contrario de lo que hacía falta.
Hay un punto sobre el que NIS2, como tantas normas de gobernanza, tiene límites evidentes. Puede obligar a aprobar, supervisar, formar y establecer responsabilidad. Lo que no puede garantizar por sí sola es la calidad del criterio con el que el órgano de dirección ejercerá esas funciones.
Un consejo puede recibir formación y seguir sin hacer las preguntas correctas. Puede aprobar medidas ambiciosas y luego tolerar retrasos crónicos. Puede supervisar con disciplina formal y, aun así, no captar una concentración de riesgo obvia. La directiva crea incentivos y deberes; no fabrica lucidez.
Por eso la respuesta madura a NIS2 no debería consistir solo en “mapear requisitos”, sino en rediseñar la conversación entre negocio, tecnología, riesgo y consejo. Si la función de seguridad sigue presentando métricas que nadie relaciona con servicios críticos, ingresos, continuidad o dependencia de terceros, la gobernanza seguirá siendo débil aunque el checklist regulatorio esté completo.
Dicho sin rodeos: el mayor riesgo de NIS2 es que algunas empresas la implementen como una mejora de secretaría corporativa cuando en realidad exige una mejora de juicio directivo.
A veces se presenta NIS2 como si la Comisión hubiera formulado de manera explícita, casi pedagógica, un gran manifiesto sobre la rendición de cuentas de la alta dirección. Conviene ser más preciso. Aunque del diseño de la directiva se desprende un refuerzo claro de la gobernanza y de la implicación del órgano de dirección, no hace falta atribuirle una formulación literal sobre el “propósito político” si esa formulación no está respaldada por la fuente concreta que se cita.
La buena lectura jurídica no necesita esa sobreactuación. Basta con atender al propio articulado: el artículo 20 introduce aprobación, supervisión, formación y posible responsabilidad; el artículo 21 describe un núcleo mínimo de medidas; los artículos 32 y 33 articulan supervisión y ejecución. El mensaje normativo sale del texto, no de poner en boca de la Comisión una frase más redonda de la que consta en la fuente.
En regulación, adornar el argumento con una intención política no acreditada suele ser innecesario. Y a veces es contraproducente. Si el articulado ya aprieta, mejor dejar que apriete él.
La tentación con NIS2 es doble: o dramatizarla como si cada consejero estuviera a un incidente de distancia de una sanción personal automática, o rebajarla a una actualización más del programa de compliance. Ninguna de las dos lecturas ayuda.
La lectura sensata es más incómoda y más útil. NIS2 desplaza la ciberseguridad desde la periferia técnica hacia el núcleo del gobierno corporativo. Lo hace con verbos concretos —aprobar, supervisar, formarse— y con un catálogo mínimo de medidas que afecta a riesgos muy materiales: continuidad, terceros, vulnerabilidades, control de acceso, cifrado, gestión de incidentes y evaluación de la eficacia.
También deja espacio. Espacio para que los Estados miembros concreten regímenes de ejecución. Espacio para que las autoridades nacionales desarrollen prácticas supervisoras. Espacio para que cada entidad diseñe su propio sistema de evidencia y trazabilidad. Quien convierta ese espacio en excusa para la pasividad probablemente está leyendo la directiva con el entusiasmo selectivo de quien busca un resquicio, no una solución.
La pregunta útil para cualquier órgano de dirección no es si NIS2 le obliga a convertirse en experto técnico. No. La pregunta útil es si su modelo actual de gobierno le permite aprobar y supervisar de forma creíble las medidas del artículo 21. Si la respuesta depende de una presentación complaciente, una terminología que nadie discute y una cadena de escalado que se activa tarde, la entidad no tiene un problema semántico. Tiene un problema de gobernanza.
Y ese, a diferencia de otros, ya está claramente dentro del perímetro de NIS2.
Guía de referencia
Todo sobre NIS2: artículos, obligaciones y plazos
Resumen semanal gratis
Suscríbete al resumen semanal y te avisamos de cada cambio en NIS2: entidades esenciales/importantes, notificación de incidentes y medidas mínimas.
¿Necesitas priorizar acciones ya? Empieza un GAP Assessment NIS2.
NIS2 (Directiva UE 2022/2555) distingue entre entidades "esenciales" e "importantes" en sectores como energía, transporte, banca, salud, infraestructura digital y administración pública, generalmente medianas y grandes empresas.
Se exige una alerta temprana en un máximo de 24 horas, una notificación de incidente en 72 horas y un informe final en el plazo de un mes (art. 23).
NIS2 es una directiva, por lo que cada Estado miembro la transpone a su legislación nacional. Las obligaciones concretas y la autoridad competente dependen de la transposición de cada país.