La ciberseguridad: un reto para los Consejos de Administración de las sociedades cotizadas
Publicado el 21st diciembre 2023
Las empresas necesitan adaptar constantemente sus políticas de gobierno corporativo para hacer frente al desafío presentado por la revolución digital
La revolución digital, entre otras cuestiones, ha traído consigo una serie de riesgos cada vez más complejos y ha puesto de manifiesto la relevancia de los riesgos relacionados con la ciberseguridad a los que se enfrentan las sociedades. En este contexto, debido a la rápida evolución de estos factores y los riesgos inherentes a los mismos, la gestión del riesgo empresarial, así como las estrategias y, en definitiva, el buen gobierno corporativo de las empresas deben adaptarse de manera constante.
Concepto de buen gobierno corporativo
En términos generales, el buen gobierno corporativo abarca normas, principios y recomendaciones que pretenden regular la estructura y el buen funcionamiento de los órganos de gobierno y gestión de una compañía.
Los principales objetivos para adoptar esta clase de decisiones y procedimientos son: la mejora de la competitividad de la compañía; el enriquecimiento de la relación de la compañía con sus accionistas e inversores nacionales y extranjeros, así como con las demás partes interesadas (stakeholders), aplicando principios de transparencia; y la optimización del control interno y la responsabilidad corporativa de la entidad.
El buen gobierno corporativo es inalienable a la estrategia y al día a día de las sociedades en general, pero especialmente de las sociedades cotizadas. No solo como tendencia y práctica común a nivel internacional, sino que ya llegó al ordenamiento jurídico español en 2014, con la aprobación de Ley 31/2014, de 3 de diciembre, por la que se modificó la Ley de Sociedades de Capital para la mejora del gobierno corporativo.
Dicha ley, entre otras cuestiones, incorporó:
- las facultades indelegables del Consejo de Administración de las sociedades cotizadas entre las que se encuentran: la determinación de la política de control y gestión de riesgos, así como la determinación de la política de gobierno corporativo de la sociedad (artículo 529 ter.1 b) y c)); y
- la obligación de elaborar y publicar un Informe anual de Gobierno Corporativo, en el cual la sociedad cotizada debe indicar, entre otros, el grado de seguimiento de las recomendaciones de gobierno corporativo establecidas en el Código de Buen Gobierno de las Sociedades Cotizadas aprobado por la Comisión Nacional del Mercado de Valores (CNMV), o, en su caso, la explicación de la falta de seguimiento de dichas recomendaciones (artículo 540).
La ciberseguridad: un nuevo reto
Como consecuencia de la revolución digital, los riesgos cibernéticos se han situado como uno de los riesgos más complejos a los que se enfrentan las sociedades cotizadas, debido al impacto y consecuencias que pueden ocasionar, no solamente en la propia organización, sino también en sus stakeholders que puedan verse afectados por las actividades de la organización. Por este motivo, la ciberseguridad es hoy en día una prioridad estratégica de las sociedades cotizadas, siendo el Consejo de Administración (y por delegación, la Comisión de Auditoría) el máximo responsable en su gestión y supervisión.
A mayor abundamiento, hay un constante desarrollo normativo por parte de los reguladores nacionales e internacionales, cuyo objetivo es fortalecer la ciberseguridad de las entidades. Gran parte de las novedades y cambios normativos en esta materia han venido propiciadas por los cada vez más frecuentes y costosos efectos negativos soportados por las entidades, bien a causa de ciberataques o bien debido a la inadecuada gestión interna de los riesgos en ciberseguridad.
A modo de ejemplo:
- la Directiva UE 2022/2555, conocida como NIS 2, cuyo principal objetivo es una ciberseguridad de alto nivel y eliminar divergencias en la aplicación de la derogada NIS1, la cual está pendiente de trasposición en el ordenamiento jurídico español.
- la normativa aprobada en julio de 2023 por parte de la Securities Exchange Comission, por la cual aquellos emisores privados extranjeros cuyas acciones coticen en los mercados de valores estadounidenses deberán publicar los incidentes relevantes en materia de ciberseguridad, así como información anual en relación con la gestión de riesgos de ciberseguridad, estrategia y gobernanza.
El Código de Buen Gobierno de la Ciberseguridad
En este contexto, el 13 de julio de 2023 fue difundido por la CNMV el Código de Buen Gobierno de la Ciberseguridad (CBGC), el cual ha sido elaborado por el Foro Nacional de Ciberseguridad que se presenta como una "guía de principios destinados a respaldar un modelo de buen gobierno de la ciberseguridad". Su público objetivo principal son los órganos de gobierno de las organizaciones y, en especial, los Consejos de Administración, quienes son los responsables últimos de la gestión de riesgos en ciberseguridad, pues conforme indicado, la determinación de la política de control y gestión de riesgos es una facultad indelegable de los mismos.
Tal y como indica el CBGC, "no es una definición de un nuevo estándar de controles ni un manual de implantación”. Por el contrario, proporciona principios y recomendaciones voluntarias para respaldar el buen gobierno en materia de ciberseguridad, asegurando que las compañías disponen de métodos de prevención, detección y respuesta robustos ante ciberataques. En definitiva, se trata de una hoja de ruta para los Consejos de Administración y alta dirección en la gestión de los riesgos relacionados con la ciberseguridad.
El rol del Consejo de Administración
Así las cosas, la ciberseguridad supone un aspecto clave en el seno de los Consejos de Administración de las sociedades cotizadas, pues forma parte de la estrategia de la compañía, la gestión de riesgos y la política de buen gobierno corporativo. Todas ellas facultades indelegables y responsabilidad del Consejo de Administración.
Dada su cada vez mayor importancia en las agendas de los Consejos de Administración, el CBGC recomienda que haya al menos un consejero con experiencia en ciberseguridad que apoye y valide los objetivos en materia de ciberseguridad con anterioridad a su aprobación por el equipo directivo de la compañía. Así, incorporar a un miembro con ese perfil en el Consejo de Administración puede aportar un valor añadido a su composición, contribuyendo a la profesionalización de su matriz de competencias.
Asimismo, en la práctica, la supervisión de los riesgos relacionados con la ciberseguridad recae en las Comisiones de Auditoría de las sociedades cotizadas, pues de conformidad con el artículo 529 quaterdecies.4 b) de la Ley de Sociedades de Capital, éstas tienen la función de supervisar los sistemas de control interno. A su vez, el CBGC también recomienda que exista una unidad que asuma el control de la ciberseguridad y que su máximo responsable sea el Chief Information Security Officer.
Comentario de Osborne Clarke
En definitiva, estamos ante la consolidación de la ciberseguridad como uno de los ejes de la gestión de riesgos y de la estrategia de los órganos de administración de las sociedades cotizadas. El desarrollo normativo en materia de ciberseguridad posiblemente desembocará en el establecimiento de obligaciones y nuevas asunciones de responsabilidades, así como la introducción de nuevos perfiles cada vez más solicitados en el seno de los Consejos de Administración de las sociedades cotizadas.