La ciberseguridad ha dejado de ser un tema exclusivo del departamento de IT para convertirse en la mayor preocupación de los consejos de administración en España. Según informa Demócrata, el nuevo Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad, que transpone la directiva europea NIS2, introduce una medida sin precedentes: la responsabilidad solidaria de los órganos de dirección ante infracciones de ciberseguridad.
Este cambio legislativo, analizado hoy 4 de febrero de 2026, implica que los altos cargos ya no podrán escudarse en el desconocimiento técnico; ahora, su patrimonio personal podría estar en juego si la empresa sufre una brecha de seguridad grave por falta de supervisión.
El "Gold-Plating" español: Más allá de lo que pide Europa
Lo que más inquieta a los despachos de abogados y directivos es que el Gobierno español ha ido un paso más allá de lo que exige la directiva de la Unión Europea, una práctica conocida como gold-plating:
Responsabilidad Solidaria (Art. 35): Mientras que la directiva NIS2 habla de responsabilidad de los órganos de gestión, el anteproyecto español especifica que los miembros de la dirección responderán solidariamente por las infracciones. Esto significa que cualquier consejero puede ser reclamado por la totalidad de la sanción o los daños.
Deber de Supervisión (Art. 14): Los directivos tienen la obligación explícita de aprobar las medidas de gestión de riesgos, supervisar su implantación y recibir formación específica en ciberseguridad.
Sanciones Millonarias: Las multas pueden alcanzar los 10 millones de euros o el 2% del volumen de negocio anual mundial para entidades esenciales.
¿A qué empresas afecta?
La ley no solo afecta a los gigantes del IBEX 35. La normativa NIS2 se aplica a entidades "esenciales" e "importantes" que tengan más de 50 empleados o facturen más de 10 millones de euros, especialmente en sectores como:
Energía y Transporte: Electricidad, gas, petróleo, transporte ferroviario y aéreo.
Banca y Sanidad: Servicios financieros y productos farmacéuticos.
Infraestructuras Digitales: Centros de datos, proveedores de nube y servicios gestionados de IT.
Administración Pública: Casi todos los niveles del sector público.
El impacto en el CISO y el Consejo
Para el lector de Kernel Reload, esta noticia marca un cambio de paradigma. El CISO (Chief Information Security Officer) ganará un peso político inmenso dentro de la empresa, ya que su labor es ahora la principal defensa legal del Consejo de Administración.
Expertos jurídicos advierten que esta presión podría generar un "efecto disuasorio" a la hora de aceptar cargos en consejos de administración de sectores regulados, ante el riesgo de que un error técnico de un tercero acabe afectando a los ahorros personales del consejero.