La problemática en torno a los aspectos relacionados con la digitalización, la ciberseguridad y la ciberdelincuencia ha ido asumiendo mayor presencia a través de su reconocimiento como parte de la gestión de riesgos de las sociedades cotizadas. En primer lugar, a estos efectos, el Código de buen gobierno de las sociedades cotizadas, en su última versión de junio 2020 ya recoge ciertos aspectos relacionados con los riesgos no financieros y, entre ellos, con la tecnología. Así es reflejado en el documento de la Comisión Nacional del Mercado de Valores sobre los informes de gobierno corporativo de las entidades emisoras de valores admitidos a negociación en mercados regulados cuando reconoce, al menos en los sectores financiero y energético, que el rápido desarrollo de las nuevas tecnologías digitales contribuye a la transformación digital. Este proceso implica un proceso de cambio de las operaciones, los modelos de negocio y las formas de trabajo, al mismo tiempo que se incrementa la posibilidad de sufrir disrupciones operacionales, robos de propiedad intelectual o de información sensible, fraudes, etc. De este modo, la ciberseguridad constituye un factor relevante debido a la evolución exponencial de los riesgos tecnológicos, su trayectoria impredecible y, en algunos casos, muy sofisticada, que dificulta la capacidad de anticipación y la implementación de medidas preventivas.
Ello incide, además, en la conformación de comisiones y directivos y miembros del consejo de administración y otros miembros de la organización especializados en estas materias. En primer lugar, el Código de buen gobierno de las sociedades cotizadas, en su principio 20, con desarrollo en su recomendación 42, atribuye a la comisión de auditoría, entre otras funciones, la supervisión de la eficacia del control interno, de la auditoría interna y de los sistemas de gestión de riesgos, lo cual resulta compatible con una comisión especializada en riesgos cuando las normas sectoriales lo prevean o si, voluntariamente, la sociedad cotizada optara por su creación. Esta labor de supervisión incluye los sistemas de control y gestión de riesgos financieros y no financieros relativos a la sociedad y, en su caso, al grupo, y dentro de estos últimos ubica los operativos, tecnológicos, legales, sociales, medioambientales, políticos y reputacionales, así como los relacionados con la corrupción.
En este entorno, el principio 21, sin embargo, apunta la supervisión directa de la comisión de auditoría o, en su caso, de otra comisión especializada del consejo de administración. Ello es debido a que determinadas normas sectoriales pueden exigir esta comisión separada de la de auditoria o cuando, dentro de su estructura organizativa, las sociedades cotizadas estimen conveniente su creación. Pero además, todo ello se ha de enmarcar dentro de un sistema de triple escalón. En la cúspide, el artículo 249 bis de la Ley de sociedades de capital incluye, entre las facultades indelegables del consejo de administración, la aprobación de una política de control y gestión de riesgos. En tal sentido, la evaluación del desempeño, que nuestra Ley de sociedades de capital acoge en su artículo 529 nonies, podría permitir valorar la diversidad de competencias del consejo en diferentes materias, entre las que se encuentra la digitalización, a su vez con diferentes perspectivas, como la relativa a la transformación digital de sus actividades o la ciberseguridad de sus sistemas tecnológicos.
En un estadio intermedio se encuentra la comisión de auditoría u otra que asuma tales funciones y, en la base, tal y como acoge la Recomendación 46, aquella unidad o departamento interno de la sociedad que asuma la función interna de control y gestión de riesgos. Entre sus funciones incluye las de identificar, gestionar y cuantificar adecuadamente todos los riesgos importantes que afecten a la sociedad, participar activamente en la elaboración de la estrategia de riesgos y en las decisiones sobre su gestión y comprobar la funcionalidad de los sistemas de control y gestión de riesgos en el marco de la política definida por el consejo de administración. Así, ubicada entre los riesgos no financieros, la política de control y gestión de riesgos tecnológicos, en conjunción con el resto, según la recomendación 45, abarca la identificación de los distintos tipos de riesgo, el modelo de control y gestión el nivel de riesgo que la sociedad considere aceptable, las medidas previstas para mitigar el impacto de los riesgos identificados y los sistemas de información y de control interno.
No obstante esta amplia visión acerca de los distintos tipos de riesgo no financiero, la Comisión Nacional del Mercado de Valores, en comunión con las acciones del Foro Nacional de Ciberseguridad, ha promovido, con fecha de 23 de julio de 2023, la publicación de un Código de buen gobierno de la ciberseguridad. Su vocación tiene efectos informativos, lo cual lo aleja de la fórmula obligatoria del cumplimiento o explicación característica del Código de Buen gobierno de las sociedades cotizadas, de manera que soslaya este criterio del soft law o derecho blando. Excede igualmente de esta tipología societaria, por cuanto “los órganos de gobierno de una organización, con independencia de su tamaño o sector” igualmente puedir seguir sus recomendaciones a fin de desempeñar “una adecuada gobernanza de su ciberseguridad”.
Este carácter voluntarista y su vis expansiva parte, a su vez, de la posición y de la labor asignada a los órganos de administración en las organizaciones, en relación con la supervisión de la gestión y control de los riesgos corporativos, si bien, en este caso, centrado en los de “carácter cibernético” y la gestión de la seguridad de las redes y los sistemas de información. Todo ello se traduce en una serie de principios y recomendaciones, a su vez inspirados en las Directrices internacionales y en las iniciativas legislativas europeas, dentro del marco normativo existente en España. Estos, a su vez, tienen plasmación en los ámbitos de la estrategia y la organización, así como en la gestión, prevención, detección, respuesta y recuperación ante incidentes desde la unidad interna, denominada “unidad de ciberseguridad o seguridad de la información”.
En primer lugar, en el plano organizativo, cabe destacar las recomendaciones 5 a 10 en torno a la presencia de un miembro en el órgano de administración con experiencia en gestión de ciberseguridad, en relación con la preparación de planes de gestión de riesgos en este sede; la asignación de la supervisión ejecutiva de la gestión de la ciberseguridad a alguna de sus comisiones especializadas (como la comisión de riesgos o la comisión de auditoría); y la incorporación de una unidad que asuma la función de definición, impulso y control de la ciberseguridad y que participe en la toma de decisiones y estrategias en este ámbito. Tal unidad, de una parte, ha de resultar dependiente funcionalmente del órgano de administración, de alguna de sus comisiones especializadas o de cualquier otro órgano o miembro de la alta dirección de la organización; de otra, ha de mantener la debida independencia respecto de los responsables de sistemas de redes y de información. Dentro de ella, destaca la participación de un “director de ciberseguridad”, director de seguridad de la información o, en inglés, de un Chief Information Security Officer. Además prevé la creación de un “comité de ciberseguridad”, con participación de este director y de otros responsables de áreas de la organización con relevancia en materia de seguridad de la información que puedan afectar sustancialmente a la actividad de la organización. Y ello sin perjuicio de la creación de “comités de crisis” que deban tener en cuenta los aspectos relacionados con la ciberseguridad.
Junto a esta compleja estructura organizativa, que puede ser modelada en consideración a las dimensiones de la entidades y su exposición a los riesgos asociados a la ciberdelincuencia, y no solo a esta, sino también a eventuales fallos en los sistemas operativos informáticos, las recomendaciones posteriores indicen en algunos aspectos del gobierno corporativo, como la consideración de los mercados en los que opere y sus relaciones con los distintos grupos de interés. Entre las funciones del órgano de administración recomienda la dotación de recursos suficientes a las comisiones encargadas de la ciberseguridad, el fomento de la formación, concienciación y cultura de ciberseguridad en toda la organización y, “aguas abajo”, la exigencia de pruebas periódicas que pongan a prueba los mecanismos de resiliencia de la organización, como parte de los planes de ciberseguridad y la creación, implementación, prueba y mejora continua de los mecanismos de “ciberresiliencia”. Esto no obsta, sin embargo, para la incorporación de evaluaciones independientes respecto a la unidad de ciberseguridad que concedan un punto de vista adicional y complementario del correcto estado del programa de gestión de los riesgos de ciberseguridad y de los procesos críticos de la organización, que, adicionalmente, alcanza a la cadena de suministro.
Aguas arriba de la organización, la recomendación 19, en orden a la prevención, atribuye al “comité de ciberseguridad” la información a la dirección y al órgano de administración de las “ciberamenazas” que podrían afectar a los objetivos de la organización, en relación, al menos, con los principales actores y aquellas principales y más recientes, y su potencial impacto sobre las operaciones de la organización. En este contexto, la estructura informativa reclama que el director de seguridad de la información reporte periódicamente al consejo de administración y que este, o las comisiones encargadas o relacionadas con estos asuntos, incluyan en sus puntos del orden del día cuestiones relacionadas con la ciberseguridad. En relación con lo anterior, la recomendación 21 señala, al menos, la información relativa al estado de la ciberseguridad y la evolución del grado de madurez y del ciberriesgo y de las amenazas; la asignación de los recursos destinados a la seguridad de las redes y los sistemas de información; los incidentes significativos gestionados, si los hubiera; el estado de la seguridad de las operaciones de la cadena de suministro que dependan de terceros; y cualquier decisión con relevancia en materia de ciberseguridad adoptada por el equipo directivo que pueda afectar sustancialmente a la actividad de la organización.
De otra parte, junto a las informaciones sobre los obstáculos o impedimentos para que el director pueda llevar a cabo un adecuado desempeño de su actividad, estas materias son igualmente objeto de atención en asuntos relevantes de inversión en la recomendación 22, cuando se trate de acuerdos relativos a “grandes iniciativas de transformación digital, implementación de nuevas tecnologías y grandes inversiones en activos tecnológicos, fusiones y adquisiciones, expansión de instalaciones o grandes actualizaciones”. Con igual significación se ha de hacer especial hincapié en los llamados “procesos críticos de la compañía”, y en la implicación de la “cadena de suministro” en tales aspectos, en la terminología que emplea la recomendación 23.
Con todo ello en las manos se advierte una atención creciente, tanto en el Código de buen gobierno de las sociedades cotizadas, pero, sobre todo en los informes de gobierno corporativo de las entidades emisoras de valores admitidos a negociación en mercados regulados, en torno a la ciberseguridad, los riesgos que entraña para estas entidades y las dificultades de su control con motivo de la celeridad de los cambios tecnológicos a los que se han de enfrentar. Sus recomendaciones tratan, al menos y en parte, de ser mitigados mediante estructuras corporativas encargadas de tomar en consideración tales asuntos. Sin embargo, el enfoque del principio de cumplir o explicar, dentro de los márgenes que autoriza el Código de buen gobierno de las sociedades cotizadas, resulta excepcionado a través del acogimiento voluntario del Código de buen gobierno de la ciberseguridad por cualquier entidad sometida a riesgos cibernéticos. El Código de buen gobierno de la ciberseguridad incide, en mayor medida, tanto en la conformación de estructuras organizativas específicas, como en la delimitación de los riesgos y de las medidas a adoptar en relación con la ciberseguridad. En consecuencia, ambos modelos de tratamiento, general y especial, de los riesgos asociados a la digitalización, la ciberdelincuencia y a los fallos en los sistemas operativos informáticos han de ser vistos de forma complementaria, en aras a la asunción de aquellas buenas prácticas que redunden en la mejora del gobierno corporativo de las entidades que las adopten.