Análisis | La nueva responsabilidad jurídica de la ciberseguridad

ByRedacción

17 de julio de 2026

Departamento de Análisis de Prensamedia

Cuando un ciberataque deja de ser solo un problema tecnológico y se convierte en una cuestión de gobierno corporativo

Durante años, la ciberseguridad fue considerada un ámbito reservado a los departamentos informáticos. La dirección de las empresas aprobaba presupuestos, contrataba proveedores tecnológicos y delegaba en especialistas la protección de redes, servidores y bases de datos. Cuando se producía un ataque, la respuesta se concentraba en restaurar los sistemas, investigar la intrusión y reducir sus efectos. Ese modelo ha quedado definitivamente superado. La digitalización de la economía, la dependencia de proveedores tecnológicos y el aumento de los ataques contra empresas, administraciones e infraestructuras esenciales han convertido la ciberseguridad en una cuestión jurídica, organizativa y estratégica. El nuevo marco europeo, encabezado por la Directiva NIS2 y el Reglamento de Resiliencia Operativa Digital —DORA—, impone obligaciones mucho más amplias de prevención, supervisión, notificación y continuidad de negocio. La responsabilidad ya no recae únicamente sobre técnicos y responsables de seguridad. Alcanza directamente a los órganos de administración, que deben conocer los riesgos, aprobar las medidas necesarias y supervisar su aplicación. Un ciberataque puede seguir siendo inevitable; lo que deja de ser admisible es afrontarlo sin preparación, sin protocolos y sin una adecuada cultura de cumplimiento.

La ciberseguridad entra en el consejo de administración

El cambio más importante del nuevo marco jurídico europeo es la incorporación expresa de la ciberseguridad al gobierno corporativo. NIS2 exige que los órganos de dirección de las entidades afectadas aprueben las medidas de gestión de riesgos y supervisen su ejecución. También establece la necesidad de que sus integrantes reciban formación suficiente para comprender las amenazas y evaluar las prácticas adoptadas por la organización. La norma europea deja así claro que la protección digital no puede delegarse por completo en un departamento técnico.

Para administradores y altos directivos, esta evolución supone un cambio profundo. Ya no basta con demostrar que la empresa disponía de antivirus, cortafuegos o copias de seguridad. Será necesario acreditar que existía una política de gestión del riesgo, que se habían identificado los activos esenciales, que se evaluaba a los proveedores, que los empleados recibían formación y que la organización disponía de mecanismos eficaces para detectar, contener y comunicar incidentes.

La ciberseguridad comienza a integrarse, por tanto, en los deberes generales de diligencia. Un órgano de administración que ignore advertencias, retrase inversiones imprescindibles o no supervise el cumplimiento de las obligaciones puede quedar expuesto a consecuencias regulatorias, patrimoniales y reputacionales.

La pregunta jurídica ya no será únicamente quién ejecutó el ataque. También habrá que determinar si la empresa hizo todo lo razonablemente exigible para evitarlo o limitar sus consecuencias.

NIS2 amplía el número de entidades obligadas

La Directiva NIS2 crea un marco común de ciberseguridad para dieciocho sectores considerados críticos o de especial importancia para el funcionamiento de la economía y la sociedad europeas. Su ámbito alcanza a actividades relacionadas con energía, transporte, salud, banca, infraestructuras digitales, administración pública, gestión de residuos, alimentación, fabricación de determinados productos, servicios postales y plataformas digitales, entre otras.

La ampliación resulta jurídicamente relevante porque muchas empresas que hasta ahora no se consideraban operadores críticos pasan a estar sometidas a obligaciones específicas. La ciberseguridad deja de afectar únicamente a grandes compañías energéticas, entidades financieras o administraciones públicas. También puede alcanzar a empresas medianas cuya actividad resulte esencial dentro de una cadena de suministro.

NIS2 distingue entre entidades esenciales e importantes y establece mecanismos de supervisión y sanción adaptados a su relevancia. Todas ellas deberán adoptar medidas técnicas, operativas y organizativas proporcionadas a los riesgos existentes.

Estas medidas incluyen la gestión de incidentes, la continuidad de negocio, la seguridad de las cadenas de suministro, la protección de las redes, el control de accesos, el uso de sistemas de autenticación y la formación del personal.

La norma obliga además a abandonar una visión aislada de la seguridad. Una empresa puede disponer de sistemas internos sólidos y, sin embargo, quedar comprometida por la vulnerabilidad de un proveedor de software, una plataforma en la nube o una compañía encargada del mantenimiento remoto.

La obligación de notificar cambia la gestión de las crisis

Otro de los pilares del nuevo modelo es la obligación de comunicar rápidamente los incidentes significativos. NIS2 configura un sistema escalonado de notificación destinado a facilitar una reacción temprana, evitar la propagación de los ataques y permitir que las autoridades conozcan la evolución de las amenazas.

Esta exigencia transforma la forma de gestionar una crisis. Cuando se detecta una intrusión, la empresa debe actuar simultáneamente en varios frentes: contener el ataque, proteger las pruebas, evaluar el impacto, mantener los servicios esenciales, informar a la dirección y determinar qué autoridades deben recibir la notificación.

En muchos casos también será necesario analizar si se ha producido una violación de datos personales sujeta al Reglamento General de Protección de Datos, si procede informar a clientes o usuarios y si el incidente puede afectar a obligaciones contractuales o aseguradoras.

La respuesta exige, por tanto, una coordinación inmediata entre responsables tecnológicos, asesores jurídicos, delegados de protección de datos, departamentos de comunicación, dirección financiera y órganos de administración.

Las primeras horas resultan decisivas. Un protocolo insuficiente puede provocar retrasos, comunicaciones contradictorias, pérdida de pruebas o incumplimientos adicionales.

La gestión jurídica de la crisis debe prepararse antes de que ocurra el ataque. Improvisar cuando los sistemas ya están comprometidos aumenta considerablemente el riesgo.

DORA transforma la responsabilidad del sector financiero

En el sector financiero, el Reglamento DORA introduce un marco específico y directamente aplicable sobre resiliencia operativa digital. Desde el 17 de enero de 2025, las entidades incluidas deben cumplir requisitos armonizados en materia de gestión del riesgo tecnológico, notificación de incidentes, pruebas de resiliencia y control de proveedores externos.

DORA parte de una idea esencial: una entidad financiera no puede considerarse segura únicamente porque disponga de solvencia económica suficiente. También debe ser capaz de mantener o recuperar sus funciones críticas ante un ataque, una avería, una interrupción tecnológica o el fallo de un proveedor.

El órgano de administración asume la responsabilidad última sobre el marco de gestión del riesgo tecnológico. Debe definir estrategias, aprobar políticas, conocer los principales incidentes y garantizar la asignación de recursos.

El Reglamento presta especial atención a la externalización. Bancos, aseguradoras, empresas de inversión y otras entidades dependen cada vez más de servicios en la nube, programas especializados y proveedores tecnológicos. DORA obliga a mantener registros detallados de estos contratos, evaluar riesgos de concentración, establecer cláusulas de auditoría y prever mecanismos de salida.

La externalización de un servicio no implica la externalización de la responsabilidad. La entidad regulada continúa respondiendo frente a supervisores y clientes aunque el origen del incidente se encuentre en un tercero.

Los contratos tecnológicos adquieren una nueva dimensión

La nueva regulación convierte los contratos con proveedores tecnológicos en una pieza central de la estrategia jurídica de ciberseguridad. Las cláusulas genéricas de confidencialidad o disponibilidad ya no resultan suficientes.

Los contratos deben definir con precisión los niveles de servicio, las medidas de seguridad, los procedimientos de notificación, el acceso a la información, las responsabilidades ante incidentes, los derechos de auditoría, la conservación de pruebas y las condiciones de terminación.

También será necesario determinar cómo se gestionan los subcontratistas. Muchas empresas conocen a su proveedor directo, pero ignoran qué otras compañías intervienen en el almacenamiento, procesamiento o transmisión de sus datos.

La dependencia de un número reducido de grandes proveedores en la nube añade un riesgo de concentración que preocupa especialmente a las autoridades europeas. Un incidente en una plataforma ampliamente utilizada puede afectar simultáneamente a numerosas organizaciones.

El cumplimiento exige, por tanto, conocer la cadena tecnológica completa y disponer de alternativas reales para garantizar la continuidad del negocio.

La prueba de la diligencia será decisiva

Tras un incidente, una de las principales cuestiones jurídicas consistirá en demostrar qué medidas había adoptado la organización. La documentación se convertirá en una prueba esencial.

Evaluaciones de riesgos, actas del consejo, informes de auditoría, contratos, protocolos, ejercicios de simulación, registros de formación y decisiones presupuestarias permitirán acreditar que la empresa actuó con diligencia.

No se exige una seguridad absoluta, porque ningún sistema puede garantizar la inexistencia de ataques. Lo jurídicamente relevante será demostrar que las medidas eran adecuadas, proporcionadas y revisadas periódicamente.

Este criterio obligará a las empresas a mantener una trazabilidad completa de sus decisiones. No bastará con disponer de políticas formales que nadie aplica. Las autoridades podrán comprobar si existía una verdadera cultura de cumplimiento y si los controles funcionaban de manera efectiva.

La ciberseguridad se aproxima así a otros ámbitos consolidados del cumplimiento normativo, como la prevención del blanqueo, la protección de datos o la prevención de riesgos laborales.

De coste tecnológico a deber jurídico

La nueva responsabilidad jurídica de la ciberseguridad modifica definitivamente la posición de empresas y administraciones. La protección digital deja de ser una inversión voluntaria condicionada por el presupuesto para convertirse en un deber de organización y diligencia.

Los departamentos jurídicos deberán participar en la prevención, no solo en la respuesta posterior al incidente. Los consejos de administración tendrán que recibir información comprensible y periódica. Los proveedores deberán aceptar mayores obligaciones contractuales. Y las organizaciones tendrán que demostrar que están preparadas para continuar operando cuando la tecnología falle.

El objetivo europeo no consiste en sancionar cada ataque, sino en evitar que la falta de previsión multiplique sus consecuencias. Una empresa puede ser víctima de un ciberdelincuente y, al mismo tiempo, responsable por no haber adoptado las medidas que le correspondían.

En este nuevo escenario, la verdadera diferencia jurídica no estará entre las organizaciones atacadas y las que nunca sufrieron un incidente. Estará entre las que habían construido una estrategia de resiliencia y aquellas que continuaban tratando la ciberseguridad como un asunto exclusivamente informático.

Contexto

NIS2 y DORA consolidan un marco europeo que amplía las obligaciones de gestión del riesgo digital, supervisión, notificación de incidentes, continuidad operativa y control de proveedores tecnológicos.

Implicaciones

Los órganos de administración deberán participar activamente en las decisiones de ciberseguridad y acreditar que las medidas adoptadas eran adecuadas, proporcionadas y efectivamente aplicadas.

Perspectivas

La litigación y la actividad supervisora se centrarán cada vez más en la diligencia de empresas, administradores y proveedores, convirtiendo la documentación, la prevención y la resiliencia operativa en elementos esenciales de la defensa jurídica.

Copyright todos los derechos reservados grupo Prensamedia.