Contacto
Contactar por WhatsApp
Volver arriba
Consejos sin formación, empresas en riesgo: qué dicen los informes más influyentes (y qué exige la ley en 2025)

Share this post

Resumen ejecutivo (para el comité): La brecha de capacidades en ciber se ha ampliado: 2 de cada 3 organizaciones reportan carencias moderadas o críticas. El coste medio de una brecha en 2025 es de USD 4,44M (baja frente a 2024 por detección/contención más rápidas, pero sigue siendo enorme). NIS2 obliga a los órganos de administración […]

Resumen ejecutivo (para el comité):

  • La brecha de capacidades en ciber se ha ampliado: 2 de cada 3 organizaciones reportan carencias moderadas o críticas.

  • El coste medio de una brecha en 2025 es de USD 4,44M (baja frente a 2024 por detección/contención más rápidas, pero sigue siendo enorme).

  • NIS2 obliga a los órganos de administración a formarse y a aprobar/supervisar las medidas de ciber-riesgo; pueden responder por incumplimientos.

  • DORA (en vigor desde el 17 de enero de 2025) formaliza la responsabilidad del “management body” sobre el riesgo TIC y los terceros críticos en el sector financiero.

  • La norma de la SEC obliga a cotizadas a declarar incidentes materiales y a describir la supervisión del consejo; ya hay casos y acuerdos que elevan el listón de diligencia.

Lo que dicen los “posts” y estudios más relevantes del mundo

1) World Economic Forum: liderazgo y brecha de talento

El Global Cybersecurity Outlook 2025 evidencia que las organizaciones reconocen la gravedad del riesgo, pero carecen de capacidades suficientes: dos tercios reportan brechas de skills. Implicación: sin formación del consejo, la estrategia se queda en TI y no en negocio.

2) NACD (EE. UU.): el propio colectivo de consejeros pide más preparación

Los análisis 2025 de NACD subrayan que, aunque mejora la comprensión, menos de la mitad de los consejeros creen tener el nivel adecuado para una supervisión efectiva del ciber-riesgo. Traducción: formación estructurada y métricas comprensibles para el consejo.

3) PwC – Global Digital Trust Insights

Los paneles 2025/2026 reflejan que muy pocas empresas se consideran “plenamente resilientes” y que la gestión de terceros y ransomware dominan la agenda. Sin un board formado, la inversión se queda táctica, no estratégica.

4) EY: el mercado “castiga” la mala gestión

El estudio 2025 de EY relaciona caídas de cotización con brechas relevantes y señala desconexiones entre C-suite y consejo. El mensaje: la gobernanza (empezando por el consejo) impacta en valor para el accionista.

5) Debate regulatorio y enforcement (EE. UU.)

La SEC exige desde 2023 divulgaciones sobre incidentes materiales y gobernanza (rol del consejo). En 2024-2025, el caso SolarWinds marcó límites y acuerdos, pero reforzó que el oversight del consejo ya no es opcional ni cosmético.

Lo que pasa cuando el consejo no se forma (sí, sucede de verdad)

  1. Más impacto financiero y reputacional
    El coste medio global de una brecha sigue en USD 4,44M (2025). En sectores regulados, la factura sube por sanciones y pérdidas de negocio. Formar al consejo acelera decisiones y recorta el tiempo de detección/contención.

  2. Ceguera frente al riesgo de terceros
    El ataque a Mango llegó vía proveedor externo de marketing: nombres, emails y teléfonos expuestos; perfecto caldo de cultivo para phishing/smishing. Sin una política de terceros aprobada y entendida por el consejo, tu perímetro real queda sin dueño.

  3. Responsabilidad personal (UE) y escrutinio público (EE. UU.)
    Con NIS2, los miembros del órgano de administración deben formarse y podrían responder por deficiencias en el sistema de gestión del ciber-riesgo. En EE. UU., la SEC examina cómo el consejo supervisa y cómo se informa a inversores.

  4. Sector financiero: terceros críticos en el punto de mira
    DORA eleva la exigencia sobre la resiliencia operacional digital y la supervisión de proveedores TIC críticos. Sin un consejo formado, el cumplimiento queda fragmentado y el riesgo agregado se subestima.

Qué exige la normativa en 2025 (y qué debe saber un consejero)

  • NIS2 (UE, Dir. 2022/2555)

    • El órgano de administración debe aprobar y supervisar las medidas de ciber-riesgo.

    • Formación obligatoria para miembros del órgano de administración; fomento de formación periódica para empleados.

    • Posible responsabilidad por infracciones.

  • DORA (UE, financiero, en vigor desde 17/01/2025)

    • Responsabilidad del management body en ICT risk, pruebas, incidentes, terceros críticos y resiliencia.

  • SEC (EE. UU.)

    • Divulgación de incidentes materiales (plazos estrictos) y descripción del oversight del consejo en informes periódicos.

¿Te interesan nuestros cursos? Consúltanos para más información
Quiero informarme
Artículos relacionados
Guía de Debida Diligencia en Ciberseguridad para Consejos de Administración
  • Sin categoría

Los 25 puntos que un consejo debe verificar para dormir tranquilo Ser consejero hoy ya

Leer más
Ejecutivo frente a una nube digital que simboliza la falsa sensación de seguridad en la nube
La falsa sensación de seguridad en la nube
  • Seguridad Digital

Durante años, la nube ha sido presentada como el refugio definitivo frente a los riesgos

Leer más
Los primeros 30 días de un consejero ante el ciber-riesgo: qué mirar, qué preguntar y qué exigir
  • Sin categoría

Ser consejero hoy no es “saber de firewalls”. Es gobernar el ciber-riesgo como riesgo empresarial,

Leer más
Contáctanos para más información

Nuestros coordinadores académicos te guiarán y explicarán cualquier detalle de los cursos e iniciativas que tenemos en aesYc.

Ubicación
  • C/ Hermosilla nº38, 28001 Madrid
  • Metro: Velázquez, línea 4

Alianza Española de Seguridad y Crisis

Contacto
Síguenos en Linkedin

© 2025 aesYc | Todos los derechos reservados | Diseñado y desarrollado por Fénix Byte