A partir de 2024, la ciberseguridad en Europa ha dejado de ser una cuestión técnica para convertirse en una responsabilidad estratégica con implicaciones legales directas para las altas direcciones. Normativas como la Directiva NIS2, el Reglamento de Ciberresiliencia (UE) 2024/2847 y el Reglamento General de Protección de Datos (RGPD) ahora contemplan sanciones específicas, tanto económicas como penales, para directivos, cargos técnicos (DPDs, responsables de IT, secretarios jurídicos) y administradores que incumplan sus obligaciones de supervisión y prevención en materia de ciberseguridad.
Desde su entrada en vigor el 18 de octubre de 2024, la Directiva NIS2 (Directiva (UE) 2022/2555) amplía las responsabilidades de los altos cargos de las organizaciones, introduciendo sanciones personales en casos de negligencia grave. Según los artículos 21 y 23, los directivos pueden enfrentarse a multas significativas por incumplimientos, que en algunos casos pueden alcanzar el 2% de la facturación global de la empresa.
Además, la normativa permite que los Estados miembros incluyan penas de responsabilidad penal en situaciones de negligencia manifiesta, especialmente si un incidente cibernético grave deriva en daños sustanciales para infraestructuras críticas o expone datos sensibles.
En España, la transposición de NIS1 a través del Real Decreto-ley 12/2018 actualizado ya establecía sanciones que pueden ser tanto administrativas como penales, dependiendo del grado de negligencia de los responsables y el impacto del incidente.
El Reglamento de Ciberresiliencia (UE) 2024/2847 incluye disposiciones específicas que obligan a las empresas a supervisar la seguridad de los productos digitales durante todo su ciclo de vida. Los artículos 7 y 8 contemplan sanciones económicas para los altos cargos que no garanticen un cumplimiento adecuado, con multas que oscilan entre el 2% y el 4% de la facturación global.
Más grave aún, en caso de una violación grave que involucre negligencia, los administradores podrían enfrentar, de nuevo, cargos penales en aquellos Estados que contemplen esta opción en sus legislaciones nacionales. Lo que oyen. El Consejero Delegado de una empresa española, podrá ser procesado o multado en Suecia o Estonia por vulnerar el Reglamento, y su empresa, por supuesto, multada también.
La decena de nuevas normativas, entre Directivas y Reglamentos, que han entrado o entran en vigor este 1 de enero de 2025 dan una nueva perspectiva a las responsabilidades en la gestión de los datos, personales o no. El Reglamento General de Protección de Datos (RGPD), se ha modificado y actualizado más de en cinco ocasiones desde su promulgación. Sin embargo, la Ley Orgánica 3/2018 (LOPDGDD) en España no lo ha hecho. Pero recordemos que los Reglamentos Europeos no tienen que estar transpuestos para ser plenamente vigentes.
Así, con la nueva lectura, se refuerzan la responsabilidad de las altas direcciones respecto a la protección de datos personales. El artículo 83 del RGPD permite multas de hasta 20 millones de euros o el 4% de la facturación global anual de la organización en caso de incumplimiento. La LOPDGDD, por su parte, permite acciones legales contra administradores que no implementen medidas preventivas adecuadas.
Y no olvidemos, de nuevo, el Código Penal español (artículo 31 bis) que establece que las personas jurídicas pueden ser responsables penalmente por delitos cometidos en su nombre si se demuestra falta de supervisión adecuada. En estos casos, directivos, cargos técnicos y administradores pueden enfrentar inhabilitaciones, sanciones económicas personales y, en casos graves, penas privativas de libertad si se considera que su negligencia permitió la comisión del delito.
Además, el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, refuerza la obligación de las altas direcciones de garantizar la seguridad de los sistemas de información públicos y privados, exigiendo auditorías regulares y la asignación de responsabilidades claras.
El marco normativo en vigor no solo redefine las responsabilidades de las organizaciones, sino que establece consecuencias tangibles para sus líderes.
Negligencia o falta de diligencia en la implementación de medidas de ciberseguridad pueden traducirse en graves consecuencias económicas, daño reputacional y, en algunos casos, penas de prisión. Y para ello, la mayoría de las normas entradas en vigor, establecen, cada una de ellas, protocolos de auditoria y control.
Y eso independientemente si la institución es pequeña o grande, o si es empresa privada o Administración Pública.
A continuación, publicamos un cuadro de las normas que exigen auditoria o controles, y su obligatoriedad. Y recuerden que en la Europa de 2024, la ciberseguridad ya no es un tema relegado a los departamentos técnicos. Es una cuestión de liderazgo estratégico y cumplimiento normativo, donde la responsabilidad recae directamente sobre las altas direcciones. Esto subraya la necesidad de formación continua, asignación adecuada de recursos y un enfoque proactivo en la prevención y gestión de riesgos.
Las auditorias o controles que la norma establece como “Regulares” o “Periódicas”, trasladan a los diversos estados la obligatoriedad y el tiempo de realización de dichos controles, aunque se acepta generalmente que éstos deben efectuarse entre uno y tres años, dependiendo de la criticidad del sistema.
Aunque ya ha sido objeto de otro análisis publicado en Diario16+, el gobierno de Sánchez ha vuelto con la matraca de las Inteligencias Artificiales de los idiomas de España, que saldrían del supercomputador “Marenostrum” de Barcelona.
Todos los LLM grandes que existen en el mercado están lo suficientemente adiestrados como para poder trabajar en todos los idiomas patrios reconocidos.
Apoyarse en un convenio de intenciones presumiblemente sin valor económico con IBM, sin pretender poner un duro, cuando lo único que busca esta multinacional es vitaminar y convertir a su sistema idiomático, “Watson”, para que pueda competir con los otros LLM, y, eso sí, que el dinero lo ponga el Estado Español, pues es, cuanto menos, contradictorio y ridículo. Y sujeto a futura corrupción.
No hay que olvidar que OpenAI, de la mano de Microsoft, acaba de invertir casi la mitad del presupuesto anual de TODO el Estado español en un centro de cálculo para entrenar GPT5 o O-2. A este envite, Mark Zuckerberg, el amo de Facebook,acaba de anunciar que, para el LLM “Llama-4”, ponen en marcha un centro de procesamiento que utilizara 2 Gigawats de potencia, es decir, la energía que consume la ciudad de Valencia, con su puerto, sus ciudadanos y sus polígonos industriales, o, dicho de otra manera, es la potencia que necesita toda la provincia de Toledo al completo. Y unos 351 Marenostrums, puestos uno al lado del otro.
También ha anunciado que Llama tiene 600 millones de usuarios activos, más del doble que OpenAI. No olvidemos que Llama, finalmente, es Open Source, es decir, de uso gratuito y se usa como base para muchos sistemas corporativos.
Y tampoco nos olvidemos de los otros LLM que están en la carrera a la que querría apuntarse Watson.
Así hemos de hablar de Mistral, Perplexity, Gemini, Claude, Inflexion, Nova, NVDIA, Grok, y así hasta más de doscientos, con sus centenares de centros de procesamiento todos mucho más grandes de lo que nuestra mente permite imaginar (algunos incluso bajo el mar o tocando el círculo polar). Y tampoco dejemos de banda a los modelos chinos, que tienen otras tantas IAs. de primer nivel, como Qwen. Ni a los rusos, a los que no tenemos acceso.