¿Quién responde en tu empresa si ocurre un ciberataque?

Responsabilidad en la Gestión de Seguridad de la Información: Cumplimiento  del Artículo 16° - REDTISEG

La ciberseguridad ha dejado de ser una cuestión exclusivamente técnica para convertirse en un asunto de responsabilidad jurídica, organizativa y de gobierno corporativo.

Con la llegada de la Directiva NIS2 y su transposición en España a través del Anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (puedes consultar nuestro artículo del anteproyecto en la web clica aquí), aparece una figura obligatoria para determinadas organizaciones: el Responsable de la Seguridad de la Información.

El artículo 16 del Anteproyecto regula esta figura y plantea un cambio importante: las empresas deben definir de forma expresa quién asume la responsabilidad ante los incidentes de ciberseguridad.

Este enfoque fue analizado durante la jornada «Ciberseguridad en el diseño en salud: integración del NIS2, CRA y MDR», organizada por el Basque Health Cluster, donde Andoni García destacó la relevancia de esta figura como pieza esencial en la ciberseguridad (link del contenido la charla disponible aquí).Si una vulnerabilidad apareciera en uno de los productos digitales que utiliza su empresa, el reto no es solo detectarla, sino saber quién la analiza, cómo se evalúa su impacto y con qué rapidez se actúa para contenerla antes de que sea explotada. ¿Se siente capaz de hacerlo?

Una obligación legal para empresas esenciales e importantes

El artículo 16 establece que las entidades clasificadas como esenciales o importantes deberán designar un Responsable de la Seguridad de la Información.


No se trata de una recomendación, sino de una obligación legal.


La norma permite cierta flexibilidad organizativa, ya que esta función puede recaer en:
– Una persona física.
– Una unidad especializada.
– Un órgano colegiado.


Sin embargo, existe una exigencia fundamental: siempre debe haber una persona claramente identificada como responsable, así como un sustituto formalmente designado que garantice la continuidad de la función.


Cuando la responsabilidad recaiga en una unidad organizativa o en un órgano colegiado, también deberá nombrarse una persona física representante y su correspondiente sustituto.


El objetivo es evitar cualquier situación de incertidumbre en momentos críticos.


Y aquí surge una pregunta importante desde el punto de vista jurídico: si la empresa sufre un ciberincidente grave, ¿quién es el responsable de liderar la respuesta y coordina las actuaciones?

Comunicación obligatoria a la Administración

El nombramiento de esta figura no tiene efectos únicamente internos.

La designación deberá comunicarse a la autoridad competente en un plazo máximo de tres meses desde su nombramiento. Además, cualquier cambio o sustitución deberá notificarse en el plazo de un mes desde que se produzca.

Esto convierte al Responsable de la Seguridad de la Información en una figura sometida a control administrativo continuo, reforzando su relevancia jurídica más allá de la propia organización.

Entidades esenciales: acreditación y control reforzado

En el caso de las entidades esenciales, las exigencias son aún mayores.

Tanto el Responsable de la Seguridad de la Información como su sustituto podrán estar sujetos a procesos de acreditación vinculados a la normativa de seguridad privada.

Estos procedimientos pueden incluir verificaciones sobre su idoneidad, antecedentes y nivel de confianza institucional por parte del Ministerio del Interior.

La consecuencia es clara: la ciberseguridad deja de ser únicamente una cuestión tecnológica para convertirse también en una materia de confianza supervisada por el Estado.

Una figura de gobernanza, no técnica

El Responsable de la Seguridad de la Información no es un perfil informático u operativo, sino una figura de gobernanza del riesgo digital con funciones estratégicas.

Entre sus principales funciones se encuentran:

  • Definir la estrategia de ciberseguridad de la organización
  • Establecer políticas de seguridad y supervisar su aprobación por la alta dirección
  • Supervisar el cumplimiento normativo en toda la organización y en la cadena de suministro
  • Coordinar la gestión de incidentes de seguridad
  • Garantizar la notificación a las autoridades competentes y a los CSIRT
  • Actuar como punto de contacto oficial con la Administración

En este contexto, surge otra cuestión clave: ¿puede una empresa garantizar que esta función no se improvise en mitad de una crisis?

Independencia y recursos

Para que esta figura sea eficaz, la norma exige tres condiciones básicas:

  1. Independencia respecto de las áreas técnicas
  2. Acceso directo a la alta dirección
  3. Recursos suficientes para desarrollar sus funciones

Sin estos elementos, la figura pierde efectividad y la organización asume un riesgo real de incumplimiento.

Consecuencias del incumplimiento

El incumplimiento de estas obligaciones puede dar lugar a:

  • Sanciones económicas relevantes
  • Responsabilidad de los órganos de administración
  • Dificultades en la gestión de incidentes
  • Impacto reputacional significativo

La ciberseguridad pasa así a ser una cuestión de responsabilidad corporativa directa.

La ciberseguridad ya es gobierno corporativo

El artículo 16 del Anteproyecto supone un cambio profundo en la forma de entender la ciberseguridad empresarial.

Ya no basta con implantar medidas técnicas. Las organizaciones deben definir responsabilidades claras, formalizarlas y dotarlas de capacidad real de actuación.

Tal y como se destacó durante la jornada organizada por el Basque Health Cluster y en la intervención de Andoni García, comprender esta figura es fundamental para anticiparse a las obligaciones derivadas de la Directiva NIS2 y su futura aplicación en España.

La pregunta final es sencilla: Si mañana tu empresa sufriera un ciberataque, ¿está preparada para responder no solo técnicamente, sino también jurídicamente?


Publicaciones Similares