Mandato tecnológico en el consejo de supervisión: NIS2, Ley de IA de la UE y brecha de competencias

20.05.2026

9 min de lectura

En la última conferencia de prensa de balance de un grupo DAX, un miembro del consejo de supervisión tenía un mandato explícito de inteligencia artificial. En los otros trece, no había ninguno. Esto no es estadística, es la situación de gobernanza. Quien habla de responsabilidad directiva bajo NIS2, el Ley de IA de la UE y la resiliencia de las cadenas de suministro en mayo de 2026 habla de temas que rara vez tienen un asiento responsable en el consejo de supervisión.

Lo más importante en resumen

El mandato de tecnología en el consejo de supervisión no será un «nice-to-have» en 2026: La responsabilidad de la dirección de NIS2, el Ley de IA de la UE con un marco de sanciones a partir de febrero de 2026 y la cadena de datos CSRD en curso obligarán a los órganos de supervisión a cuestiones técnicas detalladas para las cuales muchos comités no están personalmente preparados.
El brecha de competencias es medible, no una percepción: En un análisis DSW sobre los consejos de supervisión DAX y MDAX, menos de una quinta parte de los miembros en una autoevaluación dijeron que podían tomar decisiones sobre riesgos relacionados con la IA sin consultar a un externo.
Los comités de auditoría y riesgos son los principales responsables: Quien otorga mandatos de tecnología sin estructurar el comité de auditoría con habilidades técnicas está desplazando el riesgo a un órgano que no puede evaluarlo. La consecuencia son propuestas de decisión que la dirección y el consejo de supervisión aceptan formalmente sin que alguien valide independientemente el contenido.

RelacionadoIA en el consejo: ¿Quién decide, quién responde?/Los portafolios SaaS necesitan una estrategia de salida

Lo que se ha desplazado

Hace diez años, la argumentación común contra un mandato de tecnología en el consejo de supervisión era que los temas operativos debían pertenecer a la dirección y que el consejo de supervisión debía centrarse en estrategia, finanzas y preguntas de personal. Esta argumentación se ha agotado. La situación regulatoria ha empujado al consejo de supervisión a asumir responsabilidades técnicas, independientemente de si quería o no.

Tres desplazamientos lo llevan a esto. Primero: NIS2 hace que la dirección sea responsable personalmente por la falta de ciberseguridad, lo que obliga al consejo de supervisión a supervisar esta obligación. Segundo: El Ley de IA de la UE requiere para sistemas de alto riesgo un manejo de riesgos, gobernanza de datos y evaluaciones de conformidad que el consejo de supervisión como un órgano de control no puede delegar sin entrar en su propia deber de diligencia. Tercero: La declaración CSRD obliga a los consejos de supervisión a una evaluación de calidad de los datos que no funcionará de manera seria sin comprensión de TI.

Quien experimenta tres desplazamientos estructurales al mismo tiempo y no reacciona en la planificación del personal del consejo de supervisión tendrá una brecha que se mencionará en los informes de auditoría en los próximos trimestres.

Cómo se ve un mandato técnico en la práctica

Un mandato técnico no es una posición adicional en el consejo de supervisión con una descripción de funciones ambigua. Es una responsabilidad establecida en la reglamento interno que incluye al menos cuatro elementos específicos.

Cuatro elementos de un mandato técnico viable

Mandato de riesgo: Liderazgo en el comité de riesgos para seguridad de la información, sistemas de inteligencia artificial e tratamiento de datos, con la obligación de presentar propuestas al consejo de supervisión general
Mandato de auditoría: Participación en el comité de auditoría para la verificación de la cadena de datos CSRD y las controles internos para procesos de informes basados en inteligencia artificial
Mandato de inversión: Opinión sobre inversiones en tecnología y inteligencia artificial por encima de una línea establecida en la constitución, con una evaluación de caso de negocio más allá de la rentabilidad pura
Mandato de escalada: Canal de informes directo del CISO y CIO al mandato técnico en el consejo de supervisión, sin la intervención de la dirección general como filtro

Especialmente el mandato de escalada es el punto delicado. Crea una línea directa entre la dirección tecnológica y el consejo de supervisión, que en muchas empresas no ha sido deseada históricamente porque rompe la jerarquía de informes. En 2026, sin embargo, es el único camino para cumplir con las exigencias de NIS2 ante los órganos de supervisión.

Los perfiles que faltan ahora

La honesta observación de las conversaciones exploratorias que los asesores de personal han llevado a cabo en los últimos trimestres para las designaciones en el consejo de supervisión: Los perfiles clásicos de CIO están disponibles, pero a menudo no se alinean con la perfil de requisitos. Lo que se busca es una mezcla de responsabilidad operativa técnica, experiencia regulatoria y la habilidad de argumentar en el órgano sin usar PowerPoint.

Qué no contribuye

Ex-CIO de la empresa sin experiencia con la regulación europea
Inversor técnico con antecedentes en fondos sin experiencia operativa
Perfil universitario con cátedra de inteligencia artificial sin experiencia en la dirección
Perfil de asesor de Big Four sin responsabilidad propia en el negocio de línea
Ex-representante de la autoridad de seguridad sin papel empresarial

Qué contribuye

Ex-CIO o CISO con experiencia en industrias reguladas
Director de una empresa tecnológica con mandato en el consejo de supervisión en una empresa de grupo
CDO con responsabilidad propia para la gobernanza de inteligencia artificial en un grupo internacional
Contador con enfoque en auditoría de TI y experiencia en el consejo de supervisión
COO de una empresa tecnológica con responsabilidad probada en la dirección de ciberseguridad

Es notorio que la mayoría de estos perfiles están subrepresentados en los grupos de asesores de personal. Aunque pueden ser numerosamente presentes, a menudo no se presentan de manera activa y deben ser atractivos de manera explícita. Esto prolonga los tiempos de designación y empuja la primera intervención hacia contratos externos de asesoramiento, lo cual es una solución transitoria válida, pero una solución permanente es costosa.

Lo que debe estar en el calendario de percepción

Línea de tiempo: Madurez del mandato de tecnología en 12 meses

Mes 1-2: Autoevaluación de la habilidad existente del consejo de supervisión en IA, ciberseguridad y arquitectura de datos
Mes 3-4: Adaptación de la reglamento interno, definición de áreas de mandato, decisión por el consejo general
Mes 5-7: Búsqueda de personal, exploración de los miembros existentes para soluciones internas, búsqueda externa en paralelo
Mes 8-10: Incorporación, construcción del canal de escalamiento, primeras plantillas de reuniones con responsabilidad de mandato de tecnología
Mes 11-12: Primeras presentaciones periódicas a la asamblea general con declaración de mandato de tecnología

Quien no toma la adaptación de la reglamento interno en los meses 3 o 4 retrasa el camino completo al menos en un ciclo de consejo de supervisión. Las modificaciones de la reglamento interno son decisiones raras que no se pueden posponer sobre la marcha.

Riesgos de responsabilidad y riesgos silenciosos

Una observación que aparece con frecuencia en el coaching de consejos de supervisión. Los miembros del consejo de supervisión preguntan por la D&O (Directors and Officers), por cláusulas de exclusión de responsabilidad, por riesgos personales. Lo que menos preguntan es cómo un seguro puede responder en un caso de IA si el consejo de supervisión ha rechazado formalmente una propuesta que no pueden evaluar técnicamente.

Los contratos D&O contienen en la mayoría de las nuevas versiones cláusulas de la deber de diligencia. Quien cumple la deber de diligencia a través de asesoramiento externo está protegido, siempre que el asesoramiento esté documentado y el consejo de supervisión haya demostrado ser informado. Quien delega únicamente la deber de diligencia a la dirección sin capacidad propia de evaluación tiene un vacío en la protección de el seguro.

Justo este vacío es lo que cierra un mandato de tecnología. Es decir, no solo es una cuestión de higiene de gobernanza, sino también una cuestión de protección de la responsabilidad de los miembros del consejo de supervisión.

Cómo se ve al cabo de doce meses

En las pocas estructuras de empresa, donde un mandato de tecnología está institucionalizado durante 18 meses o más, se observan tres cambios operativos. Primero: Las propuestas de decisión para inversiones en TI y IA se revisan más temprano. La proporción de propuestas que se devuelven al consejo de supervisión en la primera revisión disminuye drásticamente, ya que la dirección ya incorpora la perspectiva del mandato de tecnología.

Segundo: El tiempo de reacción a incidentes de ciberseguridad que deben informar al consejo de supervisión se reduce de semanas a días. El canal de escalamiento funciona, después de haber sido usado por primera vez.

Tercero: En el informe de auditoría sobre la evaluación de gobernanza, se desvanecen las referencias a la falta de competencia en TI en el consejo de supervisión. Esto no es un efecto cosmético. Las evaluaciones de consejo de supervisión en los apéndices de los auditores se leen con mayor frecuencia por los inversores institucionales como un indicador de reputación.

Preguntas frecuentes

¿Un mandato técnico en el consejo de supervisión es obligatorio en la constitución?

No directamente, pero indirectamente. NIS2 y el Acto de la UE sobre IA exigen una competencia de supervisión que no puede ser prácticamente demostrada sin una persona en el organismo. Una incorporación en la estatutaria es más limpia que un referido informal a la consultoría externa, ya que está documentada y revisada en el apéndice del auditor.

¿Quién es considerado como un portador de un mandato técnico?

Antiguos CIO o CISOs de industrias reguladas, COOs o CDOs con responsabilidad de gobernanza de IA en empresas internacionales, así como auditores financieros con enfoque en auditoría de TI y experiencia en consejos de supervisión. Perfiles de consultoría pura sin líneas de responsabilidad operativas no llevan el mandato en la práctica.

¿Cuánto es el esfuerzo adicional de un mandato técnico además de los deberes clásicos del consejo de supervisión?

Realmente 30 a 50 por ciento más tiempo que un mandato clásico, especialmente en los primeros 12 meses después de la implementación. El esfuerzo adicional se debe a reuniones especiales para incidentes, a la integración en la entorno tecnológico específica de la empresa y al desarrollo del canal de escalamiento.

¿Qué tipo de remuneración es común para un mandato técnico?

En el entorno DAX, el aumento sobre el mandato de consejo de supervisión estándar está entre 30 y 60 por ciento, en el MDAX entre 20 y 40 por ciento. En el mercado medio, a menudo se utiliza una tarifa fija para reuniones especiales, ya que la remuneración por la reunión principal rara vez cubre el esfuerzo adicional.

¿Cómo responde D&O a un incidente de IA sin un mandato técnico?

Con limitaciones. Los contratos D&O más recientes exigen una diligencia debidamente documentada. Quienes abordan temas técnicos sin capacidad de evaluación documentada y experimentan un incidente mayor, pueden encontrarse en una situación donde la seguros exigen responsabilidad por culpa propia. Una consultoría externa con un protocolo documentado protege formalmente, pero es más costosa que un mandato técnico institucionalizado.