El directorio tiene la responsabilidad de velar por el cumplimiento normativo de la organización, y la ciberseguridad no es una excepción. La ley establece que las empresas deben implementar medidas adecuadas para proteger sus sistemas y datos, lo que implica que el directorio debe supervisar que estas medidas existan y sean efectivas.
Desde una perspectiva fiduciaria, los directores tienen el deber de actuar con diligencia y cuidado en la gestión de los riesgos que puedan afectar a la organización. La ciberseguridad, al ser un riesgo crítico, debe ser incorporada en la agenda del directorio y tratada con la misma rigurosidad que otros riesgos estratégicos.
La falta de supervisión o la omisión en la toma de decisiones puede interpretarse como negligencia. En escenarios donde un incidente grave ocurre y se demuestra que no existían controles adecuados o que el directorio no ejerció su rol de supervisión, pueden generarse responsabilidades legales.
Adicionalmente, la ley introduce obligaciones específicas como la notificación de incidentes y la implementación de controles de seguridad. El directorio debe asegurarse de que la organización cuenta con los mecanismos necesarios para cumplir con estas exigencias de manera oportuna.
En este contexto, la responsabilidad del directorio no es operativa, pero sí estratégica. Su rol es garantizar que la organización cuenta con la estructura, recursos y liderazgo necesarios para gestionar adecuadamente la ciberseguridad.