Cloud-Souveränität wird Vorstandssache: Was das EU-Tech-Sovereignty-Paket für DACH-Boards heißt
Tobias Massow
6 Min. Lesezeit Die EU hat am 27. Mai ihr Tech-Sovereignty-Paket vorgelegt. Es schlägt vor, die Nutzung ...
Zum Beitrag
9 Min. Tiempo de lectura
En la última conferencia de prensa de resultados de una empresa del DAX, había una persona en el consejo de supervisión con un mandato explícito en inteligencia artificial (IA). En trece de ellas no había nadie. Esto no es una estadística, es una situación de gobernanza. Quien habla en mayo de 2026 sobre responsabilidad por NIS2, el Acta de IA de la UE y la resiliencia de la cadena de suministro, habla sobre temas que actualmente tienen pocos responsables sentados en el consejo de supervisión.
Lo más importante en resumen
- El mandato tecnológico en el consejo de supervisión no es un lujo en 2026: La responsabilidad de la dirección por NIS2, el Acta de IA de la UE con un marco de sanciones a partir de febrero de 2026 y la continua canalización de datos de CSRD vinculan a los órganos de supervisión en cuestiones técnicas detalladas, para las que muchos comités no están preparados en términos de personal.
- La brecha de habilidades es medible, no sentida: En un análisis de DSW sobre los consejos de supervisión de DAX y MDAX, menos de una quinta parte de los miembros indicó en una autoevaluación que podía tomar decisiones responsables sobre cuestiones de riesgo relacionadas con la IA sin asesoramiento externo.
- El comité de auditoría y riesgo soporta la principal presión: Quien otorga mandatos tecnológicos sin equipar estructuralmente al comité de auditoría con competencias tecnológicas, traslada el riesgo a un lugar que no puede examinarlo. La consecuencia son propuestas de resolución que la dirección y el consejo de supervisión aprueban formalmente sin que nadie valide independientemente el contenido.
RelacionadoIA en el consejo de administración: ¿Quién decide, quién responde? / Los portfolios de SaaS necesitan una estrategia de salida
Lo que ha cambiado
Hace diez años, el argumento habitual en contra de un mandato tecnológico en el consejo de supervisión era que los temas operativos pertenecían a la dirección y que el consejo de supervisión debía centrarse en estrategia, finanzas y asuntos de personal. Este argumento ha caducado. La situación reguladora ha arrastrado al consejo de supervisión hacia responsabilidades técnicas, quieran o no.
Tres cambios lo llevan a cabo. Primero: NIS2 hace personalmente responsable a la dirección por los fallos de ciberseguridad, lo que obliga al consejo de supervisión a supervisar esta obligación. Segundo: El Acta de IA de la UE exige para los sistemas de alto riesgo la gestión de riesgos, la gobernanza de datos y las evaluaciones de conformidad, que el consejo de supervisión como órgano de control no puede delegar sin incurrir en su propia obligación de diligencia. Tercero: La presentación de informes de CSRD obliga a los consejos de supervisión a una verificación de la calidad de los datos que no funciona seriamente sin comprensión de TI.
Quien experimenta tres cambios estructurales simultáneamente y no reacciona en la planificación de personal del consejo de supervisión tiene una brecha que se mencionará en los informes de auditores en los próximos trimestres.
Cómo se ve un mandato tecnológico concreto
Un mandato tecnológico no es una posición adicional en el consejo de supervisión con una descripción de tareas difusa. Es una responsabilidad anclada en la normativa empresarial que comprende al menos cuatro elementos.
Cuatro elementos de un mandato tecnológico sólido
- Mandato de riesgo: Liderazgo en el comité de riesgo para seguridad informática, sistemas de inteligencia artificial y procesamiento de datos con obligación de presentar propuestas de resolución ante el consejo de supervisión en su conjunto
- Mandato de auditoría: Participación en el comité de auditoría en la verificación de la canalización de datos CSRD y los controles internos para procesos de informes basados en inteligencia artificial
- Mandato de inversión: Dictamen sobre inversiones en tecnología y inteligencia artificial por encima de un umbral definido en los estatutos, con examen del caso empresarial más allá de la mera rentabilidad
- Mandato de escalada: Canal de informes directo del CISO y CIO al mandato tecnológico en el consejo de supervisión, sin que la dirección general actúe como filtro
Especialmente el mandato de escalada es el punto incómodo. Crea una línea directa entre la alta dirección tecnológica y el consejo de supervisión, que en muchas empresas históricamente no se quería porque socava la jerarquía de informes. Sin embargo, en 2026 es la única forma de cumplir adecuadamente con los requisitos de NIS2 para el conocimiento del consejo de supervisión.
Los perfiles que ahora faltan
La observación honesta de las conversaciones exploratorias que los consultores de recursos humanos han llevado a cabo en los últimos trimestres para cubrir puestos en el consejo de supervisión: los perfiles clásicos de CIO están disponibles, pero a menudo no se ajustan a la imagen de requisitos. Lo que se busca es una mezcla de responsabilidad operativa tecnológica, experiencia reguladora y la capacidad de argumentar en el comité sin PowerPoint.
Lo que no funciona
- Ex CIO de un grupo sin experiencia en regulación de la UE
- Inversor tecnológico con experiencia en fondos sin experiencia operativa
- Perfil universitario con cátedra de inteligencia artificial sin experiencia en la alta dirección
- Perfil de consultor de las Big Four sin responsabilidad propia en el negocio
- Representante de una autoridad de seguridad sin función empresarial
Lo que funciona
- Ex CIO o CISO con experiencia en sectores regulados
- Director general de una filial tecnológica con mandato de consejo de supervisión en una estructura de grupo
- CDO con responsabilidad propia por la gobernanza de inteligencia artificial en un grupo internacional
- Auditor con enfoque en auditoría informática y experiencia en el consejo de supervisión
- COO de una empresa tecnológica con responsabilidad demostrable en la alta dirección en ciberseguridad
Es notable que la mayoría de estos perfiles están subrepresentados en los grupos de consultores de recursos humanos. No son raros en números absolutos, pero se presentan con menos frecuencia por sí mismos y deben ser abordados activamente. Esto prolonga los tiempos de cobertura y lleva la declaración inicial hacia mandatos de consultoría externos, que son sensatos como solución transitoria pero caros como solución permanente.
Qué debe estar en el calendario de percepción
Cronograma: Madurez del mandato tecnológico en 12 meses
- Mes 1-2: Autoevaluación de la competencia existente del consejo de supervisión en inteligencia artificial, ciberseguridad y arquitectura de datos
- Mes 3-4: Adaptación del reglamento interno, definición de las áreas de mandato, resolución por parte del órgano completo
- Mes 5-7: Búsqueda de personal, exploración de soluciones internas con miembros existentes, búsqueda externa en paralelo
- Mes 8-10: Capacitación, creación de un canal de escalada, primeras plantillas de reunión con responsabilidad del mandato tecnológico
- Mes 11-12: Primer informe periódico a la junta general con declaración del mandato tecnológico
Quien no incluya la adaptación del reglamento interno en el mes 3 o 4 retrasará todo el proceso al menos un ciclo del consejo de supervisión. Los cambios en el reglamento interno son decisiones raras que no se pueden intercalar.
Sombra de responsabilidad y riesgos silenciosos
Una observación que surge repetidamente en los asesoramientos para la dirección. Los miembros del consejo de supervisión preguntan sobre el seguro D&O, sobre cláusulas de exención de responsabilidad, sobre riesgos personales. Lo que preguntan menos es cómo puede funcionar un seguro en caso de incidente de inteligencia artificial si los miembros del órgano de supervisión han aprobado formalmente una plantilla de resolución cuya sustancia técnica no pudieron evaluar.
Los contratos D&O contienen cláusulas de deber de diligencia en la mayoría de las versiones más recientes. Quien cumpla con el deber de diligencia a través de asesoramiento externo está asegurado, siempre que el asesoramiento esté documentado y el consejo de supervisión se haya informado de manera demostrable. Quien delegue el deber de diligencia exclusivamente en la dirección ejecutiva, sin capacidad de evaluación propia, tiene un punto ciego en la cobertura del seguro.
Precisamente este punto ciego cierra un mandato tecnológico. Por lo tanto, no es solo una cuestión de higiene de gobernanza, sino una cuestión de protección de seguro para los propios miembros del órgano de supervisión.
Qué cambia después de doce meses
En las pocas estructuras corporativas en las que un mandato tecnológico se ha institucionalizado durante 18 meses o más, se observan tres cambios que son medibles operativamente. Primero: Las plantillas de resolución para inversiones en TI y inteligencia artificial se revisan antes. La proporción de plantillas que son devueltas por el consejo de supervisión en el primer intento disminuye significativamente, porque la dirección ejecutiva ya incluye la perspectiva del mandato tecnológico.
Segundo: El tiempo de reacción a incidentes de ciberseguridad que deberían informar al órgano de supervisión se reduce de semanas a días. El canal de escalada funciona tan pronto como se utiliza una vez.
Tercero: En el informe del auditor sobre la evaluación de gobernanza, desaparecen las indicaciones sobre la falta de competencia en TI en el consejo de supervisión. Esto no es un efecto cosmético. Las evaluaciones del órgano de supervisión en los anexos del informe del auditor son leídas cada vez más por inversores institucionales como una señal de reputación.
Preguntas frecuentes
¿Es obligatorio un mandato tecnológico en el consejo de supervisión en los estatutos?
No directamente, pero sí indirectamente. NIS2 y la Ley de IA de la UE exigen una competencia de supervisión que, sin una persona correspondiente en el órgano, no es prácticamente demostrable. Una inclusión en el reglamento interno es más limpia que la referencia informal a una consultoría externa, porque está documentada de forma comprobable en el anexo del auditor.
¿Quién puede ser portador de un mandato tecnológico?
Antiguos CIOs o CISOs de sectores regulados, COOs o CDOs con responsabilidad propia en gobernanza de IA en empresas internacionales, así como auditores con enfoque en auditoría de TI y experiencia en consejos de supervisión. Los perfiles de consultoría pura sin responsabilidad operativa en línea no llevan el mandato en la práctica.
¿Cuánto tiempo adicional requiere un mandato tecnológico además de las obligaciones clásicas del consejo de supervisión?
Realísticamente, entre un 30 y un 50 por ciento más de tiempo que un mandato clásico, especialmente en los primeros 12 meses después de su establecimiento. El tiempo adicional se genera por sesiones especiales sobre incidentes, por familiarización con el paisaje tecnológico específico de la empresa y por la construcción del canal de escalada.
¿Cuál es la remuneración habitual para un mandato tecnológico?
En el entorno del DAX, el recargo frente al mandato estándar de consejo de supervisión es de entre un 30 y un 60 por ciento, en el MDAX entre un 20 y un 40 por ciento. En el sector medio, a menudo se aplica una tarifa fija para sesiones especiales, porque la remuneración de la sesión principal rara vez cubre el tiempo adicional.
¿Cómo interviene D&O en caso de un incidente de IA sin mandato tecnológico?
Con restricciones. Los contratos de D&O más recientes exigen una obligación de diligencia demostrable. Quien aprueba temas tecnológicos sin capacidad de evaluación documentada y experimenta un incidente grave puede encontrarse en la situación de que el seguro alegue culpa propia. Una consultoría externa con protocolo documentado protege formalmente, pero es más cara que un mandato tecnológico institucionalizado.
Consejos de lectura de la redacción
- IA en el consejo de administración: ¿Quién decide, quién responde?
- Los portfolios de SaaS necesitan una estrategia de salida, no la próxima herramienta
- La política de materias primas se convierte en política tecnológica
Más del network de MBF Media
mybusinessfuture
Fuente de la imagen: E. (. SumOfUs) / Wikimedia Commons (CC BY 2.0). Captura: Presentación de las demandas para la Ley de IA de la UE, Parlamento Europeo de Estrásburgo.