Los riesgos cibernéticos se han convertido en una prioridad para los consejos de administración y la alta dirección debido al incremento de brechas de datos, ataques de denegación de servicio (DDoS), ransomware y extorsión cibernética. Con la entrada en vigor del Reglamento (UE) 2016/679 (“GDPR”) en mayo de 2018 se intensificó la atención de los gestores de riesgos hacia la gestión de datos y notificaciones de incidentes. Y, a pesar de que la empresa sea consciente de los riesgos, la gestión no puede reducirse a “cumplimiento formal” o “tick‑box”: debe integrarse en la cultura de la organización a todos los niveles
-
Foca en granito.
En este entorno, la póliza D&O tradicional puede no cubrir ciertos gastos derivados de un incidente de seguridad digital (por ejemplo, la restauración de sistemas, interrupción del negocio, costes reputacionales), de modo que es importante evaluar conjuntamente la póliza D&O y la póliza de responsabilidad cibernética (“cyber liability”).
-
Los responsables de riesgo y los asegurados deben reflexionar y analizar sobre cómo abordar la adquisición de seguros: identificar exposiciones, definir límites, comprender exclusiones, evaluar capacidad de respuesta del asegurador y diseñar programas aseguradores adaptados al riesgo cibernético
-
Los directores y altos cargos tienen una responsabilidad activa en la supervisión del riesgo digital. La omisión o la supervisión insuficiente no solo incrementa la exposición de la empresa, sino que también puede derivar en responsabilidad personal de los administradores. Esto refuerza la idea de que la gobernanza corporativa moderna debe integrar explícitamente la gestión de riesgos cibernéticos como elemento de control interno y estrategia empresarial. La exposición personal de administradores, consejeros y altos cargos puede verse incrementada por la omisión de una adecuada supervisión del riesgo digital
La creciente complejidad del ecosistema digital europeo, reforzada por ENISA, la red CSIRTs, ECSO y ECCG, ha transformado la ciberseguridad en un componente esencial de la responsabilidad de los administradores. En este contexto, los seguros D&O de ciber riesgos son un instrumento complementario para gestionar la exposición legal y financiera derivada de incidentes de seguridad informática, fallos en la gobernanza o incumplimiento de obligaciones normativas europeas.
1. Riesgos cubiertos y vínculo con la gobernanza. Los seguros D&O de ciber riesgos protegen a los administradores frente a reclamaciones por
-
Falta de supervisión adecuada de la seguridad informática, incluyendo la omisión de implementar buenas prácticas recomendadas por ENISA.
-
Respuesta insuficiente ante incidentes coordinados por la red CSIRTs o por alertas de vulnerabilidad críticas en infraestructuras digitales.
-
Incumplimiento de obligaciones de gestión, reporte y certificación, especialmente en los sectores y entidades sometidos a DORA, DNIS2 y otros marcos regulados.
-
Decisiones empresariales que no integren recomendaciones de ECSO sobre innovación segura o gestión de riesgos tecnológicos, con consecuencias financieras o regulatorias.
2. D&O y cumplimiento normativo europeo
Los seguros D&O no reemplazan la diligencia del administrador, sino que la complementan, ofreciendo cobertura frente a riesgos residuales que puedan derivar en responsabilidades civiles o administrativas. La contratación de un seguro D&O para ciber riesgos debe entenderse dentro de un marco de compliance proactivo:
-
Una empresa que implementa medidas recomendadas por ENISA, sigue las alertas de CSIRTs, participa en iniciativas ECSO y certifica sus sistemas según ECCG reduce su exposición a incidentes.
-
En caso de un ciberataque que derive en pérdidas financieras o daño reputacional, el seguro D&O puede cubrir reclamaciones de accionistas, sanciones civiles o defensas legales, siempre que se demuestre que los administradores actuaron con diligencia y siguiendo los estándares europeos.
-
Desde la perspectiva del mercado asegurador, la existencia de certificaciones europeas y la adopción de buenas prácticas se traduce en menores primas, reflejando la menor probabilidad de reclamaciones por negligencia en ciberseguridad.
- La gestión del riesgo cibernético no puede limitarse a un enfoque “tick‑box” o cumplimiento mínimo. Debe integrarse en la cultura organizativa, involucrando a todos los niveles: desde la alta dirección hasta los empleados que manejan datos sensibles. Esta integración cultural facilita la detección temprana de incidentes y la respuesta coordinada, elementos críticos para limitar daños y preservar la reputación corporativa (Marsh, más abajo).
3. Integración en la estrategia de gobernanza
Para los administradores, la relación entre las estructuras europeas de ciberseguridad y los seguros D&O implica:
-
Evaluar riesgos: identificar qué activos, procesos y sistemas críticos podrían generar responsabilidades en caso de fallo de seguridad.
-
Adoptar medidas preventivas: implementación de estándares y certificaciones europeas, participación en alertas y ejercicios de CSIRTs, seguimiento de recomendaciones de ENISA y ECSO.
-
Documentar decisiones: mantener evidencia de políticas, procedimientos y medidas adoptadas para demostrar diligencia ante reclamaciones potenciales.
-
Contratar cobertura D&O adecuada: asegurar que la póliza cubre riesgos cibernéticos emergentes, incluyendo brechas de datos, ataques de ransomware o fallos en la gestión de proveedores críticos.
4. Medias previas a contratar el seguro.
Evaluación integral de riesgos.
Antes de contratar un seguro D&O o cibernético, la empresa debe identificar los riesgos críticos a los que están expuestos los administradores, incluyendo fallos en seguridad de la información, brechas de datos, ataques de ransomware y fallos de proveedores. La evaluación debe integrar la normativa europea de ciberseguridad y los estándares de certificación aplicables. También se deben analizar otras coberturas contratadas por la empresa, en particular si se cuenta con pólizas de ciber riesgos , por evitar duplicidades o solapamientos de cobertura, pero también para evitar incurrir en situaciones de infra seguro o de falta de cobertura
Selección de coberturas adecuadas
Las pólizas deben cubrir responsabilidades derivadas de decisiones negligentes o incumplimientos regulatorios relacionados con la ciberseguridad. Abundando en lo que se acaba de indicar, es fundamental revisar la interacción entre D&O y seguros cibernéticos y evitar superposiciones o lagunas de cobertura.
Integración con la gobernanza corporativa
Los administradores deben documentar políticas y procedimientos de ciberseguridad, evidenciando cumplimiento con estándares europeos y buenas prácticas. La existencia de certificaciones, adopción de estándares o buenas prácticas reconocidas y la participación en alertas CSIRTs reduce el riesgo de reclamaciones y, por tanto, el coste del seguro.
Gestión del siniestro
A nivel de empresa, conviene establecer protocolos claros de notificación de incidentes, asegurando coordinación entre la empresa, los administradores y la aseguradora. También, definir responsabilidades internas y externas, evitando conflictos entre la gestión del siniestro y la defensa de los administradores.
Formación y actualización continua
Los administradores deben recibir formación sobre ciberriesgos, obligaciones regulatorias y evolución tecnológica. Entre las buenas prácticas destacables está la de realizar simulacros de incidentes y revisiones periódicas de las coberturas de seguro D&O, alineadas con la estrategia de ciberseguridad de la empresa.
Diferencias entre las coberturas de las pólizas de responsabilidad de administradores y directivos (D&O) y las pólizas de responsabilidad cibernética (“cyber liability”) frente a incidentes de ciberseguridad, enfatizando la importancia de un programa de seguros combinado para cubrir riesgos de manera integral (Recomendaciones de la aseguradora Aon, en el enlace que se facilita más abajo).
Las pólizas D&O protegen principalmente a directivos frente a reclamaciones por actos de gestión, incumplimientos de los fiduciarios o mala gestión, pero no están diseñadas, en principio, para ciber riesgos. Por ello, por ejemplo, pueden contar con exclusiones de gastos generados por un ciberataque, como notificaciones a afectados o recuperación de sistemas (Aon).
Piedritas de la playa sobre fondo azul
Las pólizas cibernéticas cubren tanto daños “first‑party” (la propia organización: investigación forense, restauración, interrupción del negocio, reputación) como “third‑party” (terceros afectados: demandas, defensa, indemnizaciones) ante incidentes cibernéticos
La activación de cobertura D&O al uso tras un ciberincidente depende de la redacción de la póliza. Es habitual hoy encontrar exclusiones específicas para daños cibernéticos , por lo que tal eventualidad debe ser considerada y negociada antes de contratar .
Se recomienda un programa combinado de D&O y póliza cibernética, con redacción adecuada, para gestionar de manera completa los riesgos cibernéticos (Aon), teniendo en cuenta que:
-
En compañías cotizadas, la cobertura habitual D&O por eventos cibernéticos suele limitarse a reclamaciones de accionistas y no a demandas de clientes o terceros afectados (indicado por Aon).
-
En compañías no cotizadas, la cobertura D&O tiende a ser más amplia, pero los aseguradores están incorporando exclusiones explícitas para riesgos cibernéticos (indicado por Aon).
-
Dado el aumento de incidentes cibernéticos y su complejidad, los consejos de administración y equipos de dirección deben considerar la gestión del riesgo cibernético como una cuestión de gobernanza corporativa, revisando coberturas, documentación y procedimientos de respuesta
Ver También
Aon. “Responding to Cyber Attacks: How Directors and Officers and Cyber Policies Differ.” Aon Insights, 24 Jul. 2024. Disponible en: https://www.aon.com/en/insights/articles/responding-to-cyber-attacks-how-directors-and-officers-and-cyber-policies-differ
Duque, Ruth. “Las pólizas cibernéticas y su implicación para el órgano de Administración” (1 octubre 2024) (https://www.cuatrecasas.com/es/spain/servicios-financieros-seguros/art/seguros-proteccion-administradore)
Marsh. “Understanding cyber Directors & Officers liability risks and buying insurance.” White paper (UK), Marsh, 2018. Disponible en: https://www.marsh.com/content/dam/marsh/Documents/PDF/UK-en/Understanding%20Cyber%20Directors%20&%20Officers%20Liability%20Risks%20and%20Buying%20Insurance.pdf
