Gobierno corporativo y ciberseguridadalgunos retos para el órgano administración

  1. ELENA F. PÉREZ CARRILLO 1
  1. 1 Derecho Mercantil. Universidad de León
Revista:
Revista de derecho de sociedades

ISSN: 1134-7686

Ano de publicación: 2023

Número: 67

Tipo: Artigo

Outras publicacións en: Revista de derecho de sociedades

Resumo

El Gobierno corporativo, y muy especialmente la adopción de decisiones desde el órgano de administración de las sociedades de capital, están llamados a ocupar un papel fundamental para hacer frente a los retos de la seguridad digital. Las Directivas (UE) DNIS1 y DNIS2 y su incorporación en España atribuyen deberes legales de gestión y de notificación a ciertas empresas. Concretamente, DNIS2 es muy explícita en este sentido y sitúa el cumplimiento corporativo de la ciberseguridad bajo la responsabilidad de los administradores. Pero, más allá de la normativa especial, la proactividad diligente de administradores y consejeros, sus competencias de dirección estratégica y de supervisión, de autoorganización, así como de estructuración corporativa son piezas clave para articular medidas de gestión y de transparencia en materia cibernética dentro de la gobernanza societaria. La ciberseguridad plantea importantes retos de gobierno corporativo.

Referencias bibliográficas

  • AGRAFIOTIS, I., “Cyber Harm: Concepts, Taxonomy and Measurement, Cyber Harm: Concepts, Taxonomy and Measurement” Saïd Business School WP 2016-23, 2016 (disponible en http://breachlevelindex.com/data-breach-risk-assessment-calculator).
  • ALFARO ÁGUILA-REAL, J., “Artículo 226. Protección de la discrecionalidad empresarial”, Comentario de la reforma del Régimen de las sociedades de capital en materia de gobierno corporativo (Ley 31/2014). Sociedades no cotizadas, JUSTE MENCÍA (Coord.). Cizur Menor, Civitas, 2015, pp. 325-360.
  • ALONSO LEDESMA, C., “La reforma del gobierno corporativo de las entidades de crédito”, Revista de Derecho Bancario y Bursátil, n.º 141, 2016 ([BIB 2016, 653] extraído de la base de Datos Aranzadi Instituciones).
  • ALONSO-MUÑUMER, M. E. “El deber de información de los administradores, su alcance y límites. El deber de secreto y deber de confidencialidad”, Las sociedades de capital, sus intereses y sus conflictos, ALCALÁ DÍEZ, M. A. (Dir.), Valencia, Tirant lo blanch, 2022, pp. 301-332.
  • ALONSO UREBA, A. “El modelo de consejo de administración de la sociedad cotizada tras la reforma legal de 2014 y el CBG de 2015”, Revista de Derecho de Sociedades, 45, 2015 ([BIB 2015, 17371] extraído de base de datos Aranzadi Instituciones).
  • ALONSO UREBA, A “Las comisiones especializadas de supervisión y control en el modelo de consejo de administración de la sociedad cotizada”, Revista de Derecho de Sociedades, n.º 55, 2019 ([BIB 2019, 1550] extraído de base de datos Aranzadi Instituciones).
  • AMPER, S. A., Informe anual de gobierno corporativo, 2021.
  • ASTARLOA, I., PIÑAR, J. L., RECALDE, A., REMÓN, E., ROJÍ, J. M., El reto de la ciberseguridad para las sociedades y para sus consejos de administración, Fundación EYS, CMS Albiñana y Suárez de Lezo, 2021 (disponible en https://cms.law/es/esp/events/el-reto- de-la-ciberseguridad-para-las-sociedades-y-sus-consejos-de-administracion).
  • BANCO SANTANDER, S. A., Información de gobierno corporativo y remuneraciones, 2021.
  • BERKELEY’S CENTER FOR LONG-TERM CYBERSECURITY. Resilient Governance for Boards of Directors (disponible en https://cltc.berkeley.edu/wp- content/uploads/2020/01/Resilient-Governance-for-Boards-of-Directors-Report.pdf).
  • BOQUERA MATARREDONA, J., “La digitalización de las sociedades de capital españolas tras las Directivas europeas sobre la utilización de herramientas y procesos digitales en el ámbito del Derecho de sociedades”, Revista de Derecho Mercantil, n.º 320, 2021.
  • CLARK CAMPOS, R. y MARTIN, D. “Primer on Cybersecurity for Boards of Directors”. Hughes Hubbard & Reed. 2018.
  • COMISIÓN EUROPEA, “Estrategia de ciberseguridad de la Unión Europea: Un ciberespacio abierto, protegido y seguro” (COM [2013] 1 final).
  • COMPUTER EMERGENCY RESPONSE TEAM (CCN-CERT), Ciberamenazas y Tendencias, CCN-CERT IA-13/20 2020 (disponible en https://www.ccn-cert.cni.es/informes/informes-ccn- cert-publicos/5377-ccn-cert-ia-13-20-ciberamenazas-y-tendencias-edicion-2020.html).
  • CONSEJO NACIONAL DE CIBERSEGURIDAD, Guía de gestión nacional y de notificación Ciberincidentes, 21.02.2020.
  • COMISIÓN NACIONAL DEL MERCADO DE VALORES (CNMV), Guía Técnica 3/2017 sobre comisiones de auditoría de entidades de interés público, Madrid, 27.06.2017.
  • DIAZ MORENO, A., “Artículo 251. Impugnación de acuerdos del consejo de administración”, Comentario de la reforma del Régimen de las sociedades de capital en materia de gobierno corporativo (Ley 31/2014). Sociedades no cotizadas., JUSTE MENCÍA (Coord.), Cizur Menor, Civitas, 2015, pp. 541-564.
  • EDWARDS, B. P., “Cybersecurity Oversight Liability”, Georgia State University Law Review. 2019, n.º 35, pp. 663-679.
  • FARRANDO MIGUEL, I., “Reformando la Ley de Sociedades de Capital al amparo del gobierno corporativo”, La notaría, n.º 3, pp. 5472.
  • FERNÁNDEZ DE LA GÁNDARA, L. “Políticas/decisiones relevantes en materia de gestión/dirección: prohibición de delegación de facultades, reserva de decisiones estratégicas. Y relaciones al respecto entre Consejo y Dirección”, Junta general y Consejo de Administración de la Sociedad Cotizada: Estudio de las modificaciones de la Ley de Sociedades de Capital introducidas por las Leyes 31/2014, de 3 de diciembre, 5/2015, de 27 de abril, 9/2015, de 25 de mayo, 15/2015, de 2 de julio y 22/2015 de 20 de julio, así como de las Recomendaciones del Código de Buen Gobierno de febrero de 2015, RONCERO SÁNCHEZ (Coord.), RODRÍGUEZ ARTIGAS/ ALONSO UREBA/FERNÁNDEZ DE LA GÁNDARA/VELASCO SAN PEDRO/QUIJANO GONZÁLEZ/ESTEBAN VELASCO (Dirs.), vol. 2, Cizur Menor, Thomson Reuters, 2016, pp. 181-227.
  • FUERTES LÓPEZ, M. “Soberanía digital europea”, El Cronista del Estado Social y Democrático de Derecho, n.º 90-91, 2020-21, pp. 56-71.
  • GARROS FONT, I., y CONTRERAS SOLERS, B., “Análisis de la directiva europea relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”, Revista española de Derecho Administrativo n.º 189, 2018 ([BIB 2018, 6493] extraído de la base de datos Aranzadi Instituciones).
  • GIMENO BEVIÁ, J. V., “Los programas de ‘compliance’ como manifestación del deber de diligencia de los administradores”, Revista de Derecho de Sociedades, n.º 55, 2019, pp. 243- 282.
  • GOMES RAMOS, M. E. “Corporate governance, cyber-risk and director’s protection”, Revista de Derecho de Sociedades, n.º 57, 2019.
  • GUERRERO TREVIJANO, C., El deber de diligencia de los administradores en el gobierno de sociedades de capital. La incorporación de los principios de la business judgment rule al ordenamiento español, Thomson Reuters-Civitas, Cizur Menor (Navarra), 2014.
  • HAUSKEN, K., “Information sharing among firms and cyber-attacks”, Journal of Accounting and Public Policy, n.º 26(6), 639-688.
  • HAYN, S., “Seven priorities for EMIA Boards to transform their 2022 agenda”, EY board matters, 20.04.2022 (disponible en https://www.ey.com/en_gl/board-matters/seven-priorities- for-emeia-boards-to-transform-their-2022-agenda) (consulta el 05.08.2022).
  • HELLER, M., “Cyber Attacks Can Cause Major Stock Drops”, C.F.O. 12.04.2007, (disponible en https:// www.cfo.com/technology/2017/04/cyber-attacks-stock-drops/).
  • HERNANDO CEBRIÁ, L., El Deber de Diligente administración en el marco de los deberes de los administradores sociales. La regla del buen juicio empresarial, Madrid, Marcial Pons, 2009.
  • HIERRO ANIBARRO, S., “Gobierno corporativo sin mercado de valores”, Gobierno corporativo en sociedades no cotizadas, HIERRO ANIBARRO (Dir.) Madrid, Marcial Pons, 2014, pp. 17-37.
  • IBÁÑEZ JIMÉNEZ, J. W. “La Comisión de control de cumplimiento normativo (Compliance Committee) del Consejo de Administración”, Revista de Derecho Bancario y Bursátil, núm. 92, 2003, pp. 89-132.
  • INDRA, Reglamento del Consejo de Administración y de sus Comisiones de Indra Sistemas, S. A., mayo 2022.
  • JOYCE, S., DOBRYGOWSKI, D., VAN DER OORD, F., “Principles for Board Governance of Cyber Risk”, Harvard Law School Forum on Corporate Governance, pp. 1-15, 10.06.2021 (disponible en https://corpgov.law.harvard.edu/2021/06/10/principles-for-board-governance- of-cyber-risk/).
  • JUAN Y MATEU, F., “El transporte marítimo y la ciberseguridad”, Revista de Derecho Mercantil, n.º 323 (extraído de la plataforma Aranzadi Proview).
  • JUSTE MENCÍA, J., “Artículo 226. Protección de la discrecionalidad empresarial”, Comentario de la ley de Sociedades de Capital. La junta general. La administración de la sociedad, GARCÍA-CRUCES GONZÁLEZ, SANCHO GARGALLO, I. (Dirs.), Valencia, Tirant lo blanch, 2021, pp. 3105-3116.
  • LACROIX, K. M. “Target Corporation Cybersecurity-Related Derivative Litigation, Dismissed”, D&O DIiary, 9.07.2016 (disponible en https://www.dandodiary.com/2016/07/articles/cyberliability/target-corporation- cybersecurity-related-derivative-litigation-dismissed/).
  • LEÓN SANZ, F. J. “‘Artículo 249. Delegación de facultades del Consejo de Administración’, Comentario de la reforma del Régimen de las sociedades de capital en materia de gobierno corporativo (Ley 31/2014), Sociedades no cotizadas”. JUSTE MENCÍA, J. (Coord.), Thomson Reuters-Civitas, Cizur Menor (Navarra), 2015.
  • MENCÍA (Coord.). Cizur Menor, Civitas, 2015, pp. 497-520.
  • LLEBOT MAJÓ, J. O. “El deber general de diligencia (Art. 225.1 LSC), Junta general y Consejo de Administración de la Sociedad Cotizada: Estudio de las modificaciones de la Ley de Sociedades de Capital introducidas por las Leyes 31/2014, de 3 de diciembre, 5/2015, de 27 de abril, 9/2015, de 25 de mayo, 15/2015, de 2 de julio y 22/2015 de 20 de julio, así como de las Recomendaciones del Código de Buen Gobierno de febrero de 2015”, RONCERO SÁNCHEZ (Coord.), RODRÍGUEZ ARTIGAS/ALONSO UREBA/FERNÁNDEZ DE LA GÁNDARA/VELASCO SAN PEDRO/QUIJANO GONZÁLEZ/ESTEBAN VELASCO (Dirs.), vol. 2, Cizur Menor, Thomson Reuters, 2016, pp. 317-343.
  • MAMBRILLA RIVERA, V. M. “Las concretas manifestaciones del deber general de diligencia de los administradores”, Junta general y Consejo de Administración de la Sociedad Cotizada: Estudio de las modificaciones de la Ley de Sociedades de Capital introducidas por las Leyes 31/2014, de 3 de diciembre, 5/2015, de 27 de abril, 9/2015, de 25 de mayo, 15/2015, de 2 de julio y 22/2015 de 20 de julio, así como de las Recomendaciones del Código de Buen Gobierno de febrero de 2015 RONCERO SÁNCHEZ (Coord.), RODRÍGUEZ ARTIGAS/ALONSO UREBA/FERNÁNDEZ DE LA GÁNDARA/VELASCO SAN PEDRO/QUIJANO GONZÁLEZ/ESTEBAN VELASCO (Dirs.), vol. 2, Cizur Menor, Thomson Reuters, 2016, pp. 345-381.
  • MONITORING COMMISSIE CORPORATE GOVERNANCE CODE, The Ducht Corporate Governance Code, 2016.
  • MORENO DE LA SANTA GARCÍA, E., “La función de apoyo del compliance officer a los administradores de las sociedades de capital. Distribución de deberes y responsabilidades”, Revista de Derecho Bancario y Bursátil, n.º 151, 2018, ([BIB 2018, 1082] extraído de la base de datos Aranzadi Instituciones).
  • MUÑOZ PAREDES, J. M., La información de los consejeros en la sociedad anónima, Cizur Menor, Aranzadi, 1999.
  • MUÑOZ VELA, J. M., “La UE regula la gestión de riesgos por los proveedores de servicios digitales”. Diario la Ley, 20.02.2018, (LA LEY 1710/2018) (extraído de la Base de Datos La Ley 360).
  • NAVARRO FRÍAS, I., “El deber de legalidad de los administradores sociales. Algunas reflexiones acerca de la infracción eficiente de la ley y la ‘legal judgment rule’”, Revista de Derecho Mercantil, n.º 311, 2019 ([BIB 2019, 698] extraído de la base de datos Aranzadi Instituciones).
  • NÚÑEZ, A., “Sostenibilidad, profesionalización y transparencia; una nueva agenda para el Gobierno Corporativo”, n.º 1 Aranzadi digital, Cizur Menor, Aranzadi., 2020.
  • PAZ-ARES RODRÍGUEZ, C., “La responsabilidad de los administradores como instrumento de gobierno corporativo”, Revista de Derecho de Sociedades, n.º 20, 2003, pp. 67-109.
  • PEÑAS MOYANO, M. J. “La función de las comisiones internas del consejo sobre el control societario”, en FERNÁNDEZ-ALBOR y PÉREZ CARRILLO (Dirs.) Actores, actuaciones y controles del buen gobierno societario y financiero, Madrid, Marcial Pons, 2018, pp. 351-366.
  • PHELPS, B., CLEAVELAND, A., WEBER, S., “Resilient Governance for Boards of Directors: Considerations for Effective Oversight of Cyber Risk”, Center for Long-Term Cybersecurity and Booz Allen Hamilton, UC Berkley, 2020.
  • PÉREZ CARRILLO, E. F., La administración de la sociedad anónima: obligaciones, responsabilidad y su aseguramiento, Madrid, Marcial Pons, 1999.
  • PÉREZ CARRILLO, E. F., “Anotaciones sobre ciberseguridad de operadores de servicios esenciales y prestadores de servicios digitales”, 4.ª Revolución industrial: retos de la sociedad y economía digital en la era Pos-Covid 19, TORRES CARLOS (Coord.), GARCÍA NOVOA/ OTERO GONZÁLEZ (Dir.), 2020, Cizur Menor, Aranzadi, 2020, pp. 219-246.
  • PÉREZ CARRILLO, E. F., “Hacia una gobernanza y supervisión coherentes de la gestión de datos personales y de infraestructuras en las entidades del sector financiero”, Revista de Derecho del Mercado de Valores, n.º 29, 2021, (LA LEY 13564/2021, extraído de la base de datos LEY DIGITAL).
  • PÉREZ CARRILLO, E. F., “Gobernanza corporativa del entorno digital en empresas de algunos sectores supervisados en Estados Unidos y en la Unión Europea, Estudios del impacto de la digitalización en la economía”, TORRES CARLOS, (Coord.), LADO SESTAYO/GARCÍA NOVOA/VIVEL BÚA (Dir.), Cizur Menor, Aranzadi, 2022, pp. 99-118.
  • QUIJANO GONZÁLEZ, J., La responsabilidad civil de los administradores de la sociedad anónima. 1.ª Edición. Valladolid: Simancas Ediciones. 1989.
  • QUIJANO GONZÁLEZ, J., “Protección de datos y adaptación del deber de diligencia”, Revista de estudios europeos, n.º 78, 2021, pp. 239-254.
  • RADU, C. y SMAILI, N. “Board gender diversity and corporate response to cyber risk: evidence from cybersecurity related disclosure”, Journal of Business Ethics, n.º 177, 2022, pp. 351-374, disponible en https://doi.org/10.1007/s10551-020-04717-9.
  • RECALDE CASTELLS, A., “La prueba en la regla de la discrecionalidad empresarial (business judgement rule)”, Derecho de sociedades: revisando el derecho de sociedades de capital, OLMEDO PERALTA (Coord.), GALACHO ABOLAFIO/ GONZÁLEZ FERNÁNDEZ/COHEN BENCHETRIT (Dirs.), 2018, Valencia, Tirant lo blanch, pp. 1185-1213.
  • RODRÍGUEZ ARTIGAS, F., Consejeros delegados, comisiones ejecutivas y consejos de administración, Madrid, Montecorvo, 1971.
  • RONCERO SÁNCHEZ, A., “Transparencia sobre la composición del consejo de administración en sociedades cotizadas: entre la clasificación y la cualificación de los consejeros”, Sociedades cotizadas y transparencia en los mercados, RONCERO SÁNCHEZ (Coord.) RODRÍGUEZ ARTIGAS/ FERNÁNDEZ DE LA GÁDARA/ QUIJANO GONZÁLEZ/ALONSO UREBA/ESTEBAN VELASCO (Dirs.) Cizur Menor, Thomson Aranzadi Reuters, 2019, tomo I, pp. 793-838.
  • RONCERO SÁNCHEZ, A., “Las competencias indelegables del consejo de administración en la sociedad cotizada”, Comentario de la reforma del Régimen de las sociedades de capital en materia de gobierno corporativo (Ley 31/2014). Sociedades no cotizadas. JUSTE MENCÍA (Coord.). Cizur Menor, Civitas, 2015, v. 2, 2017, pp. 263-302.
  • RONCERO SÁNCHEZ, A., “Protección de la discrecionalidad empresarial y cumplimiento del deber de diligencia”, Junta general y Consejo de Administración de la Sociedad Cotizada: Estudio de las modificaciones de la Ley de Sociedades de Capital introducidas por las Leyes 31/2014, de 3 de diciembre, 5/2015, de 27 de abril, 9/2015, de 25 de mayo, 15/2015, de 2 de julio y 22/2015 de 20 de julio, así como de las Recomendaciones del Código de Buen Gobierno de febrero de 2015, RONCERO SÁNCHEZ (Coord.), RODRÍGUEZ ARTIGAS/ ALONSO UREBA/FERNÁNDEZ DE LA GÁNDARA/VELASCO SAN PEDRO/QUIJANO GONZÁLEZ/ESTEBAN VELASCO (Dirs.), vol. 2, Cizur Menor, Thomson Reuters, 2016, pp. 383-425.
  • RONCERO SÁNCHEZ, A., “Capítulo 13. ‘Big Data’ y responsabilidad de los administradores de sociedades de capital”, en Revolución digital, derecho mercantil y Token economía, DE LA ORDEN DE LA CRUZ, M. C.; MARTÍNEZ LABURTA, C., MUÑOZ PÉREZ, A. F. Madrid, Tecnos, 2019, pp. 340-360. SÁNCHEZ CALERO, F., Los administradores en las sociedades de capital, (2.ª ed.,) Cizur Menor, Thomson-Civitas, 2007.
  • SÁNCHEZ-CALERO GUILARTE, J., “Los consejeros independientes: análisis de su presencia en el IBEX-35”, Documentos de trabajo del Departamento de Derecho Mercantil, n.º 1, 2006.
  • SECURITIES EXCHANGE COMMISSION (SEC), Commission Statement and Guidance on Public Company Cybersecurity Disclosures, 2018.
  • SUMNER, PH., DAY, J., MAHONEY, M., “Cybersecurity: An evolving Governance Challenge”, 15.03.2020, pp. 4-7 (disponible en https://corpgov.law.harvard.edu/2020/03/15/cybersecurity-an-evolving-governance- challenge/).
  • TELEFÓNICA, Reglamento del Consejo de administración, “Telefónica, S.A.”, 2021.
  • VELASCO SAN PEDRO, L., “La información en el Consejo de Administración: derechos y deberes del Consejo y de los consejeros”, El gobierno de las sociedades cotizadas, ESTEBAN VELASCO, G. (Coord.), Madrid, Marcial Pons, 1999, pp. 305-372.
  • VELASCO SAN PEDRO, L., “Las facultades del consejo de administración legalmente indelegables tras la reforma de la Ley 31/2014”, Liber Amicorum Fernando Rodríguez Artigas y Gaudencio Esteban Velasco, (volumen II) JUSTE, J. / ESPÍN Ch., (Coord.), Cizur Menor, Aranzadi, 2017, pp. 213-302.
  • WEILL, P. “It Pays to Have Digitally Savvy Board”, MIT Sloan Management Review, 12 de marzo de 2019 (disponible en: https://sloanreview.mit.edu/article/it-pays-to-have-a-digitally- savvy-board/).